CHES 成立至今已有 22 年，由國(guó)際密碼學(xué)研究協(xié)會(huì)（IACR）主辦，據(jù)劉雷波介紹，這篇論文是中國(guó)大陸首次以第一作者身份在該會(huì)議上發(fā)表的后量子密碼芯片方向文章。
報(bào)告人張能是論文第一作者，目前正在清華大學(xué)微電子所攻讀博士學(xué)位，論文通訊作者是清華大學(xué)微電子與納電子學(xué)系/微電子學(xué)研究所教授劉雷波，主要合作者還有楊博翰、陳晨、尹首一。
DeepTech 就該論文和劉雷波進(jìn)行了深入交流。他表示，該論文介紹了一種低計(jì)算復(fù)雜度數(shù)論變換與逆變換方法，并提出一種實(shí)現(xiàn)后量子密碼算法的硬件架構(gòu)。
當(dāng)前，公鑰密碼已經(jīng)廣為使用，無(wú)論去線下****、還是在網(wǎng)上****辦業(yè)務(wù)，都要證明個(gè)人身份以避免被人冒用，訪問(wèn)電商網(wǎng)站或使用手機(jī)支付時(shí)，其數(shù)據(jù)也需加密。
除民用用途之外，公鑰密碼算法在海陸空通信方面也有著特定用途，設(shè)備間的通信都需要數(shù)據(jù)加密和身份驗(yàn)證。比如，對(duì)面過(guò)來(lái)一架飛機(jī)，遠(yuǎn)處看到一艘船，往往需要判斷對(duì)方到底是友是敵，這時(shí)也需要用公鑰密碼算法來(lái)保護(hù)傳輸數(shù)據(jù)。
隨著量子計(jì)算能力的提高，目前已經(jīng)從數(shù)學(xué)上證明，經(jīng)典公鑰密碼算法肯定會(huì)被量子計(jì)算機(jī)所攻破。當(dāng)前，整個(gè)互聯(lián)網(wǎng)系統(tǒng)安全和網(wǎng)絡(luò)安全，都會(huì)用到密碼技術(shù)，而目前最不可被取代的正是公鑰密碼模塊。
公鑰密碼算法一旦被量子計(jì)算機(jī)攻破，整個(gè)互聯(lián)網(wǎng)將“轟然倒塌”，那時(shí)我們將沒(méi)法去****，也沒(méi)法用電，甚至沒(méi)法坐飛機(jī)和高鐵。整個(gè)互聯(lián)網(wǎng)系統(tǒng)會(huì)因?yàn)槭グ踩c瘓，各種網(wǎng)絡(luò)攻擊事件將不斷出現(xiàn)。
可以說(shuō)，全人類都面臨著量子攻擊的風(fēng)險(xiǎn)。因此，學(xué)術(shù)界正在研究能替換經(jīng)典公鑰密碼算法的算法，即后量子密碼算法，以有效應(yīng)對(duì)量子計(jì)算機(jī)技術(shù)進(jìn)步帶來(lái)的嚴(yán)峻挑戰(zhàn)。
能有效抵御量子計(jì)算機(jī)攻擊的密碼算法，統(tǒng)稱為后量子密碼 (Post-Quantum Cryptography) 或抗量子攻擊密碼 (Quantum-Resistant Cryptography)。后量子 ，主要是指針對(duì)量子計(jì)算機(jī)時(shí)代的安全威脅，所發(fā)展出的密碼算法體系。
后量子密碼算法分五大類：第一類是基于格的，第二類是基于編碼的，第三類是基于多變量的，第四類是基于哈希的，第五類是基于超奇異同源的。
其中，第一類基于格的后量子密碼算法由于其計(jì)算的相對(duì)高效性和通用性，成為最主流的候選算法種類。
后量子密碼算法的設(shè)計(jì)是一個(gè)數(shù)學(xué)問(wèn)題，數(shù)學(xué)家們已經(jīng)證明它是可以抵御量子計(jì)算攻擊的算法，但算法如何被應(yīng)用到電子設(shè)備和系統(tǒng)中去，仍需進(jìn)一步研究。
算法的最終載體是芯片，魏少軍、劉雷波團(tuán)隊(duì)在本次研究中，把后量子密碼算法高效地實(shí)現(xiàn)在 FPGA 芯片上。之所以開(kāi)展這樣的研究工作，是因?yàn)?strong style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important;">如果要做到用能抵御量子計(jì)算機(jī)攻擊的后量子密碼算法來(lái)替代經(jīng)典公鑰密碼算法、以及實(shí)現(xiàn)廣泛應(yīng)用，就必須研究后量子密碼算法如何在芯片上進(jìn)行高效實(shí)現(xiàn)的方法。
業(yè)界的一些產(chǎn)業(yè)巨頭已經(jīng)在后量子密碼算法的應(yīng)用方面進(jìn)行了一些探索。谷歌于 2016 年在其實(shí)驗(yàn)版瀏覽器中實(shí)現(xiàn)了后量子密鑰交換算法 NewHope，雖然可以證明其對(duì)量子攻擊防護(hù)的一定有效性，但其執(zhí)行效率限制了其進(jìn)一步推廣應(yīng)用。
微軟研究院已推出后量子密碼算法 Picnic 算法和后量子 VPN 算法，亞馬遜公司目前也在其 AWS 密鑰管理系統(tǒng)中的傳輸層安全（Transport layer security, TLS）網(wǎng)絡(luò)加密協(xié)議中提供后量子密鑰交換支持。
后量子密碼算法的應(yīng)用難題在于，一方面需從數(shù)學(xué)上證明它能夠抵御量子攻擊中的 Shor 和 Grover 算法；另一方面，需證明后量子密碼算法能否在芯片上運(yùn)行。
如果無(wú)法在上芯片運(yùn)行、或者運(yùn)行非常慢，那就無(wú)法投入實(shí)際應(yīng)用。例如，當(dāng)訪問(wèn)網(wǎng)絡(luò)時(shí)，需要很長(zhǎng)時(shí)間才能算出結(jié)果，那就沒(méi)有任何意義。因此，后量子密碼算法需同時(shí)滿足在數(shù)學(xué)和芯片層面均可行。
目前，全球尚未就后量子密碼算法形成統(tǒng)一的標(biāo)準(zhǔn)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，下稱 NIST）正在開(kāi)展后量子密碼算法的標(biāo)準(zhǔn)化工作，目前已經(jīng)推進(jìn)到第三輪。
對(duì)于征集到的每個(gè)候選算法，NIST 及密碼領(lǐng)域的研究人員都會(huì)對(duì)其進(jìn)行安全評(píng)估、數(shù)學(xué)評(píng)估、以及實(shí)現(xiàn)性能評(píng)估（包括軟件實(shí)現(xiàn)和硬件實(shí)現(xiàn)）。最終通過(guò)評(píng)估的算法，將會(huì)成為 NIST 的推薦標(biāo)準(zhǔn)。
除 NIST 以外，歐盟的歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)、美國(guó) IEEE 和中國(guó)的相關(guān)機(jī)構(gòu)也在征集算法。但 NIST 的后量子標(biāo)準(zhǔn)化是影響力最大，同時(shí)進(jìn)展最快的，其從第一輪征集到的 69 個(gè)候選算法，到目前第三輪僅剩下 15 個(gè)算法，預(yù)計(jì)至 2021 年底還會(huì)淘汰大半，僅選出不到五個(gè)算法，直到最后沉淀出的算法成為 NIST 推薦的國(guó)際標(biāo)準(zhǔn)。
由于后量子密碼算法要抵抗未來(lái)的量子攻擊和當(dāng)前的經(jīng)典計(jì)算攻擊，因此需考慮未來(lái)數(shù)年計(jì)算機(jī)的發(fā)展。更重要的是，后量子密碼算法的布局一定要先于量子計(jì)算機(jī)進(jìn)入應(yīng)用。
同時(shí)，公鑰密碼的應(yīng)用廣泛，不計(jì)其數(shù)的軟硬件主體和企業(yè)都在使用公鑰密碼，替換它們將是一個(gè)超大系統(tǒng)工程，需提前三至五年布局。
算法站得住，芯片也需要站得住
劉雷波表示，后量子密碼算法能否用起來(lái)，至少取決于兩個(gè)因素：第一，算法站得住，即算法本身能否抵御后量子攻擊和經(jīng)典性攻擊；第二，芯片站得住，有了算法還得有物質(zhì)載體來(lái)高效運(yùn)行和快速執(zhí)行這些算法。
劉雷波的專業(yè)背景是微納電子學(xué)與數(shù)字集成電路設(shè)計(jì)，其研究工作主要是針對(duì)算法中的計(jì)算、存儲(chǔ)等瓶頸問(wèn)題進(jìn)行改進(jìn)，進(jìn)一步實(shí)現(xiàn)算法和硬件的協(xié)同設(shè)計(jì)，并最終完成相應(yīng)的芯片實(shí)現(xiàn)。
當(dāng)前后量子密碼算法尚未站住。美國(guó) NIST 第三輪候選算法中，還包括不同種類的 7 個(gè)算法需要進(jìn)行進(jìn)一步的安全、計(jì)算效率及硬件性能評(píng)估。
后量子密碼芯片設(shè)計(jì)的現(xiàn)狀是在低開(kāi)銷、高性能等設(shè)計(jì)目標(biāo)驅(qū)動(dòng)下，完成相應(yīng)算法的計(jì)算架構(gòu)設(shè)計(jì)，并在 FPGA（Field Programmable Gate Array）平臺(tái)上完成功能驗(yàn)證和性能評(píng)估。
FPGA 實(shí)現(xiàn)的優(yōu)點(diǎn)在于可以在避免高昂芯片流片成本的前提下，完成特定芯片的功能驗(yàn)證和應(yīng)用評(píng)估。在產(chǎn)業(yè)需求成熟及算法最終收斂時(shí)，可以實(shí)現(xiàn)相應(yīng)芯片的快速產(chǎn)業(yè)化。
那么，是否能直接采用現(xiàn)有芯片（如 CPU、FPGA 及 DSP 等）實(shí)現(xiàn)后量子密碼算法呢？現(xiàn)有芯片在執(zhí)行后量子算法時(shí)效率非常低，遠(yuǎn)不能滿足應(yīng)用需求。因此，只有針對(duì)后量子密碼算法完成領(lǐng)域定制的專用芯片，才能最大化地滿足應(yīng)用需求。
在很多特定場(chǎng)合中，如物聯(lián)網(wǎng)終端需要面積特別小、功耗特別低的芯片。此時(shí)就更需要專門為算法去定制專用芯片，從而實(shí)現(xiàn)高性能、低開(kāi)銷和低功耗的設(shè)計(jì)目標(biāo)。
比同類研究平均速度快 2.5 倍左右
在算法的硬件設(shè)計(jì)過(guò)程中，仍然需要在算法及計(jì)算架構(gòu)層面，解決一系列的硬件問(wèn)題，如怎樣存儲(chǔ)中間數(shù)據(jù)、怎么有效降低計(jì)算復(fù)雜度、怎樣降低功耗等。
為解決上述問(wèn)題，魏少軍、劉雷波團(tuán)隊(duì)提出一種低計(jì)算復(fù)雜度的快速數(shù)論轉(zhuǎn)換與逆變換方法，并首先在算法的軟件實(shí)現(xiàn) (C 語(yǔ)言)上進(jìn)行改進(jìn)并顯著降低了算法的運(yùn)算量，該方法的好處是獨(dú)立于特定的芯片架構(gòu)設(shè)計(jì)，具有普適的通用性。
基于該方法，高效執(zhí)行的硬件架構(gòu)可以進(jìn)一步挖掘和發(fā)揮方法的有效性。研究團(tuán)隊(duì)設(shè)計(jì)了一款后量子密碼硬件架構(gòu)，進(jìn)一步降低了基于格的后量子密碼算法計(jì)算復(fù)雜度的同時(shí)，顯著減少了硬件資源開(kāi)銷。
劉雷波坦言，由于目前尚無(wú)國(guó)際標(biāo)準(zhǔn)，因此廠商不愿投資芯片流片，不過(guò)業(yè)界對(duì)后量子密碼算法的標(biāo)準(zhǔn)化工作保持著持續(xù)關(guān)注。
幾年前，阿里云已有在云計(jì)算上部署后量子密碼算法的意向，雖然距最終部署仍有一段距離，但已有企業(yè)開(kāi)始重點(diǎn)關(guān)注這個(gè)方向并開(kāi)始有所布局。
按照國(guó)際慣例，在后量子密碼算法標(biāo)準(zhǔn)出臺(tái)后的一年之內(nèi)，芯片可完成研發(fā)并進(jìn)行部署。現(xiàn)在，該團(tuán)隊(duì)正從兩方面著手，一方面是跟國(guó)際頂尖算法團(tuán)隊(duì)開(kāi)展合作。在算法開(kāi)發(fā)及評(píng)估階段就參與到算法硬件實(shí)現(xiàn)性能評(píng)估工作中，并致力于共同發(fā)現(xiàn)與解決芯片實(shí)現(xiàn)過(guò)程中的瓶頸問(wèn)題。
另一方面，該團(tuán)隊(duì)跟國(guó)家密碼管理局保持著密切聯(lián)系，國(guó)家密碼管理局也在征集后量子密碼算法，且就此和中國(guó)科學(xué)院信息工程技術(shù)研究所開(kāi)展合作。屆時(shí)，該團(tuán)隊(duì)也將負(fù)責(zé)對(duì)此過(guò)程中后量子密碼算法的硬件評(píng)估。
為進(jìn)一步評(píng)估研究成果的先進(jìn)性，魏少軍、劉雷波團(tuán)隊(duì)跟麻省理工學(xué)院、德國(guó)慕尼黑工業(yè)大學(xué)、比利時(shí)魯汶大學(xué)、紐約大學(xué)及英國(guó)布里斯托大學(xué)等團(tuán)隊(duì)的相關(guān)研究進(jìn)行了對(duì)比，結(jié)果表明計(jì)算速度上平均快 2.5 倍以上，面積效率提高近 5 倍以上。

量子攻擊迫在眉睫
當(dāng)前，全球都處于后量子密碼算法標(biāo)準(zhǔn)未定、后量子密碼芯片架構(gòu)設(shè)計(jì)空白的局面。假如某個(gè)算法通過(guò) NIST 的完整評(píng)估并最終成為國(guó)際標(biāo)準(zhǔn)，將是一件能帶來(lái)巨大學(xué)術(shù)榮譽(yù)和學(xué)術(shù)影響力的事情。
劉雷波認(rèn)為，在此情況下我國(guó)必須擁有自己的算法標(biāo)準(zhǔn)和相應(yīng)的后量子密碼芯片。這也是本篇論文的重要意義所在，為密碼學(xué)領(lǐng)域作出學(xué)術(shù)創(chuàng)新貢獻(xiàn)的同時(shí)，也能提高中國(guó)的學(xué)術(shù)影響力，更重要的是能解決中國(guó)的實(shí)際問(wèn)題。
目前，該團(tuán)隊(duì)正在利用其在芯片計(jì)算架構(gòu)方面多年的技術(shù)積累和學(xué)術(shù)成果，為國(guó)家的相關(guān)算法做性能測(cè)試，并為未來(lái)的技術(shù)推廣提前做技術(shù)儲(chǔ)備。以便在算法標(biāo)準(zhǔn)、測(cè)試方法和論證方法最終確定時(shí)快速響應(yīng)，實(shí)現(xiàn)具有抗量子攻擊能力的后量子公鑰密碼體系切換。
劉雷波表示，技術(shù)不用就等于 0，論文的研究成果也是為了促進(jìn)國(guó)家后量子密碼芯片體系的建立，只有這樣才能解決產(chǎn)業(yè)發(fā)展的關(guān)鍵難題，當(dāng)然這其中需要政府機(jī)構(gòu)、學(xué)校和企業(yè)的多方聯(lián)動(dòng)。
他告訴 DeepTech，量子攻擊迫在眉睫，假設(shè)量子計(jì)算機(jī)十年后正式投入使用，即便從現(xiàn)在開(kāi)始做算法開(kāi)發(fā)、芯片設(shè)計(jì)及產(chǎn)業(yè)培育，時(shí)間都未必夠用。
團(tuán)隊(duì)希望在這方面能夠?yàn)槲覈?guó)在相關(guān)關(guān)鍵技術(shù)的突破做出一點(diǎn)貢獻(xiàn)。在此過(guò)程中，產(chǎn)出了一篇在國(guó)際頂級(jí)會(huì)議 CHES 發(fā)表的論文。
雖然本次發(fā)布的僅僅是一篇論文，但本質(zhì)是為實(shí)現(xiàn)對(duì)量子攻擊有效防御的后量子密碼芯片技術(shù)攻關(guān)，最終目的是讓中國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施在技術(shù)進(jìn)步過(guò)程當(dāng)中不至于崩潰。
該團(tuán)隊(duì)所做的后量子密碼芯片設(shè)計(jì)，目前國(guó)內(nèi)從事相關(guān)研究的高校、機(jī)構(gòu)等不超過(guò)五家。四年前立項(xiàng)時(shí)，他之所以選擇該方向，首先是因?yàn)闈撛谛枨蟠?，同時(shí)技術(shù)難度，國(guó)內(nèi)研究力量不足。國(guó)內(nèi)科研院所和大型央企在后量子密碼芯片方面的研究特別少，但是不能等到別人來(lái)卡脖子時(shí)再做。
而該團(tuán)隊(duì)從四年前，就開(kāi)始著手這方面研究。之所以有這樣的前瞻性，是因?yàn)樵搱F(tuán)隊(duì)不僅專注于密碼芯片技術(shù)，同時(shí)還深入開(kāi)展通信、人工智能等相關(guān)領(lǐng)域的芯片設(shè)計(jì)及核心計(jì)算架構(gòu)研究。
該團(tuán)隊(duì)的學(xué)術(shù)研究方向選擇遵循兩大原則：第一是不做主流，但也不偏離主流。當(dāng)前的中國(guó)安全技術(shù)主流之一是網(wǎng)絡(luò)安全和軟件安全，這已經(jīng)有大批人員在做。同樣做安全，該團(tuán)隊(duì)關(guān)注的是芯片安全，即從芯片層面解決問(wèn)題。這雖然不是主流，但是主流的核心基礎(chǔ)。
第二個(gè)學(xué)術(shù)原則是，在學(xué)生做課題設(shè)計(jì)時(shí)就要考慮長(zhǎng)遠(yuǎn)。比如，一個(gè)直博生大概需要五、六年才能畢業(yè)，因此劉雷波在指導(dǎo)博士生進(jìn)行選題時(shí)在考慮學(xué)術(shù)價(jià)值、技術(shù)難度的同時(shí)，會(huì)努力讓其研究在畢業(yè)后成為業(yè)界有競(jìng)爭(zhēng)力的技術(shù)。
除后量子密碼芯片之外，劉雷波也開(kāi)展了其他密碼芯片的研究和設(shè)計(jì)，并已經(jīng)孵化出兩家從事安全相關(guān)產(chǎn)業(yè)的創(chuàng)業(yè)公司。
其中一家注冊(cè)在無(wú)錫的公司沐創(chuàng)集成電路設(shè)計(jì)有限公司，主要致力于向業(yè)界提供支持經(jīng)典密碼算法的芯片及系統(tǒng)服務(wù)。在該方面的研究最早可追溯到 2012 年，目前估值達(dá)五億元。
他認(rèn)為，密碼芯片產(chǎn)業(yè)化對(duì)于工業(yè)界來(lái)說(shuō)門檻太高，小公司想的是今年研發(fā)，明年就要掙錢；中等企業(yè)想的是今年研發(fā)，三到四年就要掙錢；大公司想的是今年研發(fā)，五到六年左右一定要掙錢。不掙錢就不行，這就是中國(guó)產(chǎn)業(yè)的現(xiàn)狀。
那么，八到十年、十到十五年才能掙錢的技術(shù)誰(shuí)來(lái)做？舉個(gè)例子，現(xiàn)在應(yīng)用在英特爾可穿戴芯片中的可重構(gòu)計(jì)算技術(shù)（Reconfigurable Computing Technology），是其從十幾年前就開(kāi)始研發(fā)的。
劉雷波認(rèn)為，企業(yè)今天不創(chuàng)新，明天就會(huì)死掉。谷歌等大公司的技術(shù)都是十多年前布局的。但在中國(guó)，包括華為在內(nèi)的企業(yè)也達(dá)不到這一點(diǎn)，因?yàn)楝F(xiàn)在做的技術(shù)研發(fā)，五六年以后不掙錢企業(yè)就會(huì)死掉。
而學(xué)校主要做關(guān)鍵技術(shù)突破，并非以盈利為目的，為的是解決科學(xué)問(wèn)題，因此能在國(guó)家項(xiàng)目支持下布局到十年以后。當(dāng)工業(yè)界需要該技術(shù)時(shí)，公司就能實(shí)現(xiàn)盈利。所以，只有產(chǎn)學(xué)研結(jié)合起來(lái)，才能提前布局關(guān)鍵技術(shù)。