清華團隊要趕在量子計算機正式應用前，提前布局芯片！中國大陸首篇后量子密碼芯片頂會論文出爐

CHES 成立至今已有 22 年，由國際密碼學研究協(xié)會（IACR）主辦，據(jù)劉雷波介紹，這篇論文是中國大陸首次以第一作者身份在該會議上發(fā)表的后量子密碼芯片方向文章。
報告人張能是論文第一作者，目前正在清華大學微電子所攻讀博士學位，論文通訊作者是清華大學微電子與納電子學系/微電子學研究所教授劉雷波，主要合作者還有楊博翰、陳晨、尹首一。
DeepTech 就該論文和劉雷波進行了深入交流。他表示，該論文介紹了一種低計算復雜度數(shù)論變換與逆變換方法，并提出一種實現(xiàn)后量子密碼算法的硬件架構。
當前，公鑰密碼已經(jīng)廣為使用，無論去線下****、還是在網(wǎng)上****辦業(yè)務，都要證明個人身份以避免被人冒用，訪問電商網(wǎng)站或使用手機支付時，其數(shù)據(jù)也需加密。
除民用用途之外，公鑰密碼算法在海陸空通信方面也有著特定用途，設備間的通信都需要數(shù)據(jù)加密和身份驗證。比如，對面過來一架飛機，遠處看到一艘船，往往需要判斷對方到底是友是敵，這時也需要用公鑰密碼算法來保護傳輸數(shù)據(jù)。
隨著量子計算能力的提高，目前已經(jīng)從數(shù)學上證明，經(jīng)典公鑰密碼算法肯定會被量子計算機所攻破。當前，整個互聯(lián)網(wǎng)系統(tǒng)安全和網(wǎng)絡安全，都會用到密碼技術，而目前最不可被取代的正是公鑰密碼模塊。
公鑰密碼算法一旦被量子計算機攻破，整個互聯(lián)網(wǎng)將“轟然倒塌”，那時我們將沒法去****，也沒法用電，甚至沒法坐飛機和高鐵。整個互聯(lián)網(wǎng)系統(tǒng)會因為失去安全而癱瘓，各種網(wǎng)絡攻擊事件將不斷出現(xiàn)。
可以說，全人類都面臨著量子攻擊的風險。因此，學術界正在研究能替換經(jīng)典公鑰密碼算法的算法，即后量子密碼算法，以有效應對量子計算機技術進步帶來的嚴峻挑戰(zhàn)。
能有效抵御量子計算機攻擊的密碼算法，統(tǒng)稱為后量子密碼 (Post-Quantum Cryptography) 或抗量子攻擊密碼 (Quantum-Resistant Cryptography)。后量子 ，主要是指針對量子計算機時代的安全威脅，所發(fā)展出的密碼算法體系。
后量子密碼算法分五大類：第一類是基于格的，第二類是基于編碼的，第三類是基于多變量的，第四類是基于哈希的，第五類是基于超奇異同源的。
其中，第一類基于格的后量子密碼算法由于其計算的相對高效性和通用性，成為最主流的候選算法種類。
后量子密碼算法的設計是一個數(shù)學問題，數(shù)學家們已經(jīng)證明它是可以抵御量子計算攻擊的算法，但算法如何被應用到電子設備和系統(tǒng)中去，仍需進一步研究。
算法的最終載體是芯片，魏少軍、劉雷波團隊在本次研究中，把后量子密碼算法高效地實現(xiàn)在 FPGA 芯片上。之所以開展這樣的研究工作，是因為如果要做到用能抵御量子計算機攻擊的后量子密碼算法來替代經(jīng)典公鑰密碼算法、以及實現(xiàn)廣泛應用，就必須研究后量子密碼算法如何在芯片上進行高效實現(xiàn)的方法。
業(yè)界的一些產(chǎn)業(yè)巨頭已經(jīng)在后量子密碼算法的應用方面進行了一些探索。谷歌于 2016 年在其實驗版瀏覽器中實現(xiàn)了后量子密鑰交換算法 NewHope，雖然可以證明其對量子攻擊防護的一定有效性，但其執(zhí)行效率限制了其進一步推廣應用。
微軟研究院已推出后量子密碼算法 Picnic 算法和后量子 VPN 算法，亞馬遜公司目前也在其 AWS 密鑰管理系統(tǒng)中的傳輸層安全（Transport layer security, TLS）網(wǎng)絡加密協(xié)議中提供后量子密鑰交換支持。
后量子密碼算法的應用難題在于，一方面需從數(shù)學上證明它能夠抵御量子攻擊中的 Shor 和 Grover 算法；另一方面，需證明后量子密碼算法能否在芯片上運行。
如果無法在上芯片運行、或者運行非常慢，那就無法投入實際應用。例如，當訪問網(wǎng)絡時，需要很長時間才能算出結果，那就沒有任何意義。因此，后量子密碼算法需同時滿足在數(shù)學和芯片層面均可行。
目前，全球尚未就后量子密碼算法形成統(tǒng)一的標準。美國國家標準與技術研究院（National Institute of Standards and Technology，下稱 NIST）正在開展后量子密碼算法的標準化工作，目前已經(jīng)推進到第三輪。
對于征集到的每個候選算法，NIST 及密碼領域的研究人員都會對其進行安全評估、數(shù)學評估、以及實現(xiàn)性能評估（包括軟件實現(xiàn)和硬件實現(xiàn)）。最終通過評估的算法，將會成為 NIST 的推薦標準。
除 NIST 以外，歐盟的歐洲電信標準化協(xié)會、美國 IEEE 和中國的相關機構也在征集算法。但 NIST 的后量子標準化是影響力最大，同時進展最快的，其從第一輪征集到的 69 個候選算法，到目前第三輪僅剩下 15 個算法，預計至 2021 年底還會淘汰大半，僅選出不到五個算法，直到最后沉淀出的算法成為 NIST 推薦的國際標準。
由于后量子密碼算法要抵抗未來的量子攻擊和當前的經(jīng)典計算攻擊，因此需考慮未來數(shù)年計算機的發(fā)展。更重要的是，后量子密碼算法的布局一定要先于量子計算機進入應用。
同時，公鑰密碼的應用廣泛，不計其數(shù)的軟硬件主體和企業(yè)都在使用公鑰密碼，替換它們將是一個超大系統(tǒng)工程，需提前三至五年布局。
算法站得住，芯片也需要站得住
劉雷波表示，后量子密碼算法能否用起來，至少取決于兩個因素：第一，算法站得住，即算法本身能否抵御后量子攻擊和經(jīng)典性攻擊；第二，芯片站得住，有了算法還得有物質載體來高效運行和快速執(zhí)行這些算法。
劉雷波的專業(yè)背景是微納電子學與數(shù)字集成電路設計，其研究工作主要是針對算法中的計算、存儲等瓶頸問題進行改進，進一步實現(xiàn)算法和硬件的協(xié)同設計，并最終完成相應的芯片實現(xiàn)。
當前后量子密碼算法尚未站住。美國 NIST 第三輪候選算法中，還包括不同種類的 7 個算法需要進行進一步的安全、計算效率及硬件性能評估。
后量子密碼芯片設計的現(xiàn)狀是在低開銷、高性能等設計目標驅動下，完成相應算法的計算架構設計，并在 FPGA（Field Programmable Gate Array）平臺上完成功能驗證和性能評估。
FPGA 實現(xiàn)的優(yōu)點在于可以在避免高昂芯片流片成本的前提下，完成特定芯片的功能驗證和應用評估。在產(chǎn)業(yè)需求成熟及算法最終收斂時，可以實現(xiàn)相應芯片的快速產(chǎn)業(yè)化。
那么，是否能直接采用現(xiàn)有芯片（如 CPU、FPGA 及 DSP 等）實現(xiàn)后量子密碼算法呢？現(xiàn)有芯片在執(zhí)行后量子算法時效率非常低，遠不能滿足應用需求。因此，只有針對后量子密碼算法完成領域定制的專用芯片，才能最大化地滿足應用需求。
在很多特定場合中，如物聯(lián)網(wǎng)終端需要面積特別小、功耗特別低的芯片。此時就更需要專門為算法去定制專用芯片，從而實現(xiàn)高性能、低開銷和低功耗的設計目標。
比同類研究平均速度快 2.5 倍左右
在算法的硬件設計過程中，仍然需要在算法及計算架構層面，解決一系列的硬件問題，如怎樣存儲中間數(shù)據(jù)、怎么有效降低計算復雜度、怎樣降低功耗等。
為解決上述問題，魏少軍、劉雷波團隊提出一種低計算復雜度的快速數(shù)論轉換與逆變換方法，并首先在算法的軟件實現(xiàn) (C 語言)上進行改進并顯著降低了算法的運算量，該方法的好處是獨立于特定的芯片架構設計，具有普適的通用性。
基于該方法，高效執(zhí)行的硬件架構可以進一步挖掘和發(fā)揮方法的有效性。研究團隊設計了一款后量子密碼硬件架構，進一步降低了基于格的后量子密碼算法計算復雜度的同時，顯著減少了硬件資源開銷。
劉雷波坦言，由于目前尚無國際標準，因此廠商不愿投資芯片流片，不過業(yè)界對后量子密碼算法的標準化工作保持著持續(xù)關注。
幾年前，阿里云已有在云計算上部署后量子密碼算法的意向，雖然距最終部署仍有一段距離，但已有企業(yè)開始重點關注這個方向并開始有所布局。
按照國際慣例，在后量子密碼算法標準出臺后的一年之內，芯片可完成研發(fā)并進行部署?，F(xiàn)在，該團隊正從兩方面著手，一方面是跟國際頂尖算法團隊開展合作。在算法開發(fā)及評估階段就參與到算法硬件實現(xiàn)性能評估工作中，并致力于共同發(fā)現(xiàn)與解決芯片實現(xiàn)過程中的瓶頸問題。
另一方面，該團隊跟國家密碼管理局保持著密切聯(lián)系，國家密碼管理局也在征集后量子密碼算法，且就此和中國科學院信息工程技術研究所開展合作。屆時，該團隊也將負責對此過程中后量子密碼算法的硬件評估。
為進一步評估研究成果的先進性，魏少軍、劉雷波團隊跟麻省理工學院、德國慕尼黑工業(yè)大學、比利時魯汶大學、紐約大學及英國布里斯托大學等團隊的相關研究進行了對比，結果表明計算速度上平均快 2.5 倍以上，面積效率提高近 5 倍以上。

量子攻擊迫在眉睫
當前，全球都處于后量子密碼算法標準未定、后量子密碼芯片架構設計空白的局面。假如某個算法通過 NIST 的完整評估并最終成為國際標準，將是一件能帶來巨大學術榮譽和學術影響力的事情。
劉雷波認為，在此情況下我國必須擁有自己的算法標準和相應的后量子密碼芯片。這也是本篇論文的重要意義所在，為密碼學領域作出學術創(chuàng)新貢獻的同時，也能提高中國的學術影響力，更重要的是能解決中國的實際問題。
目前，該團隊正在利用其在芯片計算架構方面多年的技術積累和學術成果，為國家的相關算法做性能測試，并為未來的技術推廣提前做技術儲備。以便在算法標準、測試方法和論證方法最終確定時快速響應，實現(xiàn)具有抗量子攻擊能力的后量子公鑰密碼體系切換。
劉雷波表示，技術不用就等于 0，論文的研究成果也是為了促進國家后量子密碼芯片體系的建立，只有這樣才能解決產(chǎn)業(yè)發(fā)展的關鍵難題，當然這其中需要政府機構、學校和企業(yè)的多方聯(lián)動。
他告訴 DeepTech，量子攻擊迫在眉睫，假設量子計算機十年后正式投入使用，即便從現(xiàn)在開始做算法開發(fā)、芯片設計及產(chǎn)業(yè)培育，時間都未必夠用。
團隊希望在這方面能夠為我國在相關關鍵技術的突破做出一點貢獻。在此過程中，產(chǎn)出了一篇在國際頂級會議 CHES 發(fā)表的論文。
雖然本次發(fā)布的僅僅是一篇論文，但本質是為實現(xiàn)對量子攻擊有效防御的后量子密碼芯片技術攻關，最終目的是讓中國網(wǎng)絡基礎設施在技術進步過程當中不至于崩潰。
該團隊所做的后量子密碼芯片設計，目前國內從事相關研究的高校、機構等不超過五家。四年前立項時，他之所以選擇該方向，首先是因為潛在需求大，同時技術難度，國內研究力量不足。國內科研院所和大型央企在后量子密碼芯片方面的研究特別少，但是不能等到別人來卡脖子時再做。
而該團隊從四年前，就開始著手這方面研究。之所以有這樣的前瞻性，是因為該團隊不僅專注于密碼芯片技術，同時還深入開展通信、人工智能等相關領域的芯片設計及核心計算架構研究。
該團隊的學術研究方向選擇遵循兩大原則：第一是不做主流，但也不偏離主流。當前的中國安全技術主流之一是網(wǎng)絡安全和軟件安全，這已經(jīng)有大批人員在做。同樣做安全，該團隊關注的是芯片安全，即從芯片層面解決問題。這雖然不是主流，但是主流的核心基礎。
第二個學術原則是，在學生做課題設計時就要考慮長遠。比如，一個直博生大概需要五、六年才能畢業(yè)，因此劉雷波在指導博士生進行選題時在考慮學術價值、技術難度的同時，會努力讓其研究在畢業(yè)后成為業(yè)界有競爭力的技術。
除后量子密碼芯片之外，劉雷波也開展了其他密碼芯片的研究和設計，并已經(jīng)孵化出兩家從事安全相關產(chǎn)業(yè)的創(chuàng)業(yè)公司。
其中一家注冊在無錫的公司沐創(chuàng)集成電路設計有限公司，主要致力于向業(yè)界提供支持經(jīng)典密碼算法的芯片及系統(tǒng)服務。在該方面的研究最早可追溯到 2012 年，目前估值達五億元。
他認為，密碼芯片產(chǎn)業(yè)化對于工業(yè)界來說門檻太高，小公司想的是今年研發(fā)，明年就要掙錢；中等企業(yè)想的是今年研發(fā)，三到四年就要掙錢；大公司想的是今年研發(fā)，五到六年左右一定要掙錢。不掙錢就不行，這就是中國產(chǎn)業(yè)的現(xiàn)狀。
那么，八到十年、十到十五年才能掙錢的技術誰來做？舉個例子，現(xiàn)在應用在英特爾可穿戴芯片中的可重構計算技術（Reconfigurable Computing Technology），是其從十幾年前就開始研發(fā)的。
劉雷波認為，企業(yè)今天不創(chuàng)新，明天就會死掉。谷歌等大公司的技術都是十多年前布局的。但在中國，包括華為在內的企業(yè)也達不到這一點，因為現(xiàn)在做的技術研發(fā)，五六年以后不掙錢企業(yè)就會死掉。
而學校主要做關鍵技術突破，并非以盈利為目的，為的是解決科學問題，因此能在國家項目支持下布局到十年以后。當工業(yè)界需要該技術時，公司就能實現(xiàn)盈利。所以，只有產(chǎn)學研結合起來，才能提前布局關鍵技術。