清華團隊要趕在量子計算機正式應用前，提前布局晶片

近日，在第 22 屆密碼硬體與嵌入式系統會議（CHES 2020）上，清華大學魏少軍、劉雷波教授團隊作了題為 「《採用低複雜度快速數論變換和逆變換技術在 FPGA 上高效實現 NewHope-NIST 算法的硬體架構》（Highly Efficient Architecture of NewHope-NIST on FPGA using Low-Complexity NTT/INTT）」 的論文報告。

圖 | 論文一作張能同學在作報告（來源：受訪者）

CHES 成立至今已有 22 年，由國際密碼學研究協會（IACR）主辦，據劉雷波介紹，這篇論文是中國大陸首次以第一作者身份在該會議上發表的後量子密碼晶片方向文章。

報告人張能是論文第一作者，目前正在清華大學微電子所攻讀博士學位，論文通訊作者是清華大學微電子與納電子學系/微電子學研究所教授劉雷波，主要合作者還有楊博翰、陳晨、尹首一。

DeepTech 就該論文和劉雷波進行了深入交流。他表示，該論文介紹了一種低計算複雜度數論變換與逆變換方法，並提出一種實現後量子密碼算法的硬體架構。

當前，公鑰密碼已經廣為使用，無論去線下銀行、還是在網上銀行辦業務，都要證明個人身份以避免被人冒用，訪問電商網站或使用手機支付時，其數據也需加密。

除民用用途之外，公鑰密碼算法在海陸空通信方面也有著特定用途，設備間的通信都需要數據加密和身份驗證。比如，對面過來一架飛機，遠處看到一艘船，往往需要判斷對方到底是友是敵，這時也需要用公鑰密碼算法來保護傳輸數據。

隨著量子計算能力的提高，目前已經從數學上證明，經典公鑰密碼算法肯定會被量子計算機所攻破。當前，整個網際網路系統安全和網絡安全，都會用到密碼技術，而目前最不可被取代的正是公鑰密碼模塊。

公鑰密碼算法一旦被量子計算機攻破，整個網際網路將「轟然倒塌」，那時我們將沒法去銀行，也沒法用電，甚至沒法坐飛機和高鐵。整個網際網路系統會因為失去安全而癱瘓，各種網絡攻擊事件將不斷出現。

可以說，全人類都面臨著量子攻擊的風險。因此，學術界正在研究能替換經典公鑰密碼算法的算法，即後量子密碼算法，以有效應對量子計算機技術進步帶來的嚴峻挑戰。

能有效抵禦量子計算機攻擊的密碼算法，統稱為後量子密碼 (Post-Quantum Cryptography) 或抗量子攻擊密碼 (Quantum-Resistant Cryptography)。後量子 ，主要是指針對量子計算機時代的安全威脅，所發展出的密碼算法體系。

後量子密碼算法分五大類：第一類是基于格的，第二類是基於編碼的，第三類是基於多變量的，第四類是基於哈希的，第五類是基於超奇異同源的。

其中，第一類基于格的後量子密碼算法由於其計算的相對高效性和通用性，成為最主流的候選算法種類。

後量子密碼算法的設計是一個數學問題，數學家們已經證明它是可以抵禦量子計算攻擊的算法，但算法如何被應用到電子設備和系統中去，仍需進一步研究。

算法的最終載體是晶片，魏少軍、劉雷波團隊在本次研究中，把後量子密碼算法高效地實現在 FPGA 晶片上。之所以開展這樣的研究工作，是因為如果要做到用能抵禦量子計算機攻擊的後量子密碼算法來替代經典公鑰密碼算法、以及實現廣泛應用，就必須研究後量子密碼算法如何在晶片上進行高效實現的方法。

業界的一些產業巨頭已經在後量子密碼算法的應用方面進行了一些探索。谷歌於 2016 年在其實驗版瀏覽器中實現了後量子密鑰交換算法 NewHope，雖然可以證明其對量子攻擊防護的一定有效性，但其執行效率限制了其進一步推廣應用。

微軟研究院已推出後量子密碼算法 Picnic 算法和後量子 VPN 算法，亞馬遜公司目前也在其 AWS 密鑰管理系統中的傳輸層安全（Transport layer security, TLS）網絡加密協議中提供後量子密鑰交換支持。

後量子密碼算法的應用難題在於，一方面需從數學上證明它能夠抵禦量子攻擊中的 Shor 和 Grover 算法；另一方面，需證明後量子密碼算法能否在晶片上運行。

如果無法在上晶片運行、或者運行非常慢，那就無法投入實際應用。例如，當訪問網絡時，需要很長時間才能算出結果，那就沒有任何意義。因此，後量子密碼算法需同時滿足在數學和晶片層面均可行。

目前，全球尚未就後量子密碼算法形成統一的標準。美國國家標準與技術研究院（National Institute of Standards and Technology，下稱 NIST）正在開展後量子密碼算法的標準化工作，目前已經推進到第三輪。

對於徵集到的每個候選算法，NIST 及密碼領域的研究人員都會對其進行安全評估、數學評估、以及實現性能評估（包括軟體實現和硬體實現）。最終通過評估的算法，將會成為 NIST 的推薦標準。

除 NIST 以外，歐盟的歐洲電信標準化協會、美國 IEEE 和中國的相關機構也在徵集算法。但 NIST 的後量子標準化是影響力最大，同時進展最快的，其從第一輪徵集到的 69 個候選算法，到目前第三輪僅剩下 15 個算法，預計至 2021 年底還會淘汰大半，僅選出不到五個算法，直到最後沉澱出的算法成為 NIST 推薦的國際標準。

由於後量子密碼算法要抵抗未來的量子攻擊和當前的經典計算攻擊，因此需考慮未來數年計算機的發展。更重要的是，後量子密碼算法的布局一定要先於量子計算機進入應用。

同時，公鑰密碼的應用廣泛，不計其數的軟硬體主體和企業都在使用公鑰密碼，替換它們將是一個超大系統工程，需提前三至五年布局。

算法站得住，晶片也需要站得住

劉雷波表示，後量子密碼算法能否用起來，至少取決於兩個因素：第一，算法站得住，即算法本身能否抵禦後量子攻擊和經典性攻擊；第二，晶片站得住，有了算法還得有物質載體來高效運行和快速執行這些算法。

劉雷波的專業背景是微納電子學與數字集成電路設計，其研究工作主要是針對算法中的計算、存儲等瓶頸問題進行改進，進一步實現算法和硬體的協同設計，並最終完成相應的晶片實現。

當前後量子密碼算法尚未站住。美國 NIST 第三輪候選算法中，還包括不同種類的 7 個算法需要進行進一步的安全、計算效率及硬體性能評估。

後量子密碼晶片設計的現狀是在低開銷、高性能等設計目標驅動下，完成相應算法的計算架構設計，並在 FPGA（Field Programmable Gate Array）平臺上完成功能驗證和性能評估。

FPGA 實現的優點在於可以在避免高昂晶片流片成本的前提下，完成特定晶片的功能驗證和應用評估。在產業需求成熟及算法最終收斂時，可以實現相應晶片的快速產業化。

那麼，是否能直接採用現有晶片（如 CPU、FPGA 及 DSP 等）實現後量子密碼算法呢？現有晶片在執行後量子算法時效率非常低，遠不能滿足應用需求。因此，只有針對後量子密碼算法完成領域定製的專用晶片，才能最大化地滿足應用需求。

在很多特定場合中，如物聯網終端需要面積特別小、功耗特別低的晶片。此時就更需要專門為算法去定製專用晶片，從而實現高性能、低開銷和低功耗的設計目標。

比同類研究平均速度快 2.5 倍左右

在算法的硬體設計過程中，仍然需要在算法及計算架構層面，解決一系列的硬體問題，如怎樣存儲中間數據、怎麼有效降低計算複雜度、怎樣降低功耗等。

為解決上述問題，魏少軍、劉雷波團隊提出一種低計算複雜度的快速數論轉換與逆變換方法，並首先在算法的軟體實現 (C 語言)上進行改進並顯著降低了算法的運算量，該方法的好處是獨立於特定的晶片架構設計，具有普適的通用性。

基於該方法，高效執行的硬體架構可以進一步挖掘和發揮方法的有效性。研究團隊設計了一款後量子密碼硬體架構，進一步降低了基于格的後量子密碼算法計算複雜度的同時，顯著減少了硬體資源開銷。

劉雷波坦言，由於目前尚無國際標準，因此廠商不願投資晶片流片，不過業界對後量子密碼算法的標準化工作保持著持續關注。

幾年前，阿里雲已有在雲計算上部署後量子密碼算法的意向，雖然距最終部署仍有一段距離，但已有企業開始重點關注這個方向並開始有所布局。

按照國際慣例，在後量子密碼算法標準出臺後的一年之內，晶片可完成研發並進行部署。現在，該團隊正從兩方面著手，一方面是跟國際頂尖算法團隊開展合作。在算法開發及評估階段就參與到算法硬體實現性能評估工作中，並致力於共同發現與解決晶片實現過程中的瓶頸問題。

另一方面，該團隊跟國家密碼管理局保持著密切聯繫，國家密碼管理局也在徵集後量子密碼算法，且就此和中國科學院信息工程技術研究所開展合作。屆時，該團隊也將負責對此過程中後量子密碼算法的硬體評估.

為進一步評估研究成果的先進性，魏少軍、劉雷波團隊跟麻省理工學院、德國慕尼黑工業大學、比利時魯汶大學、紐約大學及英國布裡斯託大學等團隊的相關研究進行了對比，結果表明計算速度上平均快 2.5 倍以上，面積效率提高近 5 倍以上。

圖 | 和世界其他高校相關研究的對比

量子攻擊迫在眉睫

當前，全球都處於後量子密碼算法標準未定、後量子密碼晶片架構設計空白的局面。假如某個算法通過 NIST 的完整評估並最終成為國際標準，將是一件能帶來巨大學術榮譽和學術影響力的事情。

劉雷波認為，在此情況下我國必須擁有自己的算法標準和相應的後量子密碼晶片。這也是本篇論文的重要意義所在，為密碼學領域作出學術創新貢獻的同時，也能提高中國的學術影響力，更重要的是能解決中國的實際問題。

目前，該團隊正在利用其在晶片計算架構方面多年的技術積累和學術成果，為國家的相關算法做性能測試，並為未來的技術推廣提前做技術儲備。以便在算法標準、測試方法和論證方法最終確定時快速響應，實現具有抗量子攻擊能力的後量子公鑰密碼體系切換。

劉雷波表示，技術不用就等於 0，論文的研究成果也是為了促進國家後量子密碼晶片體系的建立，只有這樣才能解決產業發展的關鍵難題，當然這其中需要政府機構、學校和企業的多方聯動。

他告訴 DeepTech，量子攻擊迫在眉睫，假設量子計算機十年後正式投入使用，即便從現在開始做算法開發、晶片設計及產業培育，時間都未必夠用。

團隊希望在這方面能夠為我國在相關關鍵技術的突破做出一點貢獻。在此過程中，產出了一篇在國際頂級會議 CHES 發表的論文。

雖然本次發布的僅僅是一篇論文，但本質是為實現對量子攻擊有效防禦的後量子密碼晶片技術攻關，最終目的是讓中國網絡基礎設施在技術進步過程當中不至於崩潰。

該團隊所做的後量子密碼晶片設計，目前國內從事相關研究的高校、機構等不超過五家。四年前立項時，他之所以選擇該方向，首先是因為潛在需求大，同時技術難度，國內研究力量不足。國內科研院所和大型央企在後量子密碼晶片方面的研究特別少，但是不能等到別人來卡脖子時再做。

而該團隊從四年前，就開始著手這方面研究。之所以有這樣的前瞻性，是因為該團隊不僅專注於密碼晶片技術，同時還深入開展通信、人工智慧等相關領域的晶片設計及核心計算架構研究。

該團隊的學術研究方向選擇遵循兩大原則：第一是不做主流，但也不偏離主流。當前的中國安全技術主流之一是網絡安全和軟體安全，這已經有大批人員在做。同樣做安全，該團隊關注的是晶片安全，即從晶片層面解決問題。這雖然不是主流，但是主流的核心基礎。

第二個學術原則是，在學生做課題設計時就要考慮長遠。比如，一個直博生大概需要五、六年才能畢業，因此劉雷波在指導博士生進行選題時在考慮學術價值、技術難度的同時，會努力讓其研究在畢業後成為業界有競爭力的技術。

除後量子密碼晶片之外，劉雷波也開展了其他密碼晶片的研究和設計，並已經孵化出兩家從事安全相關產業的創業公司。

其中一家註冊在無錫的公司沐創集成電路設計有限公司，主要致力於向業界提供支持經典密碼算法的晶片及系統服務。在該方面的研究最早可追溯到 2012 年，目前估值達五億元。

他認為，密碼晶片產業化對於工業界來說門檻太高，小公司想的是今年研發，明年就要掙錢；中等企業想的是今年研發，三到四年就要掙錢；大公司想的是今年研發，五到六年左右一定要掙錢。不掙錢就不行，這就是中國產業的現狀。

那麼，八到十年、十到十五年才能掙錢的技術誰來做？舉個例子，現在應用在英特爾可穿戴晶片中的可重構計算技術（Reconfigurable Computing Technology），是其從十幾年前就開始研發的。

劉雷波認為，企業今天不創新，明天就會死掉。谷歌等大公司的技術都是十多年前布局的。但在中國，包括華為在內的企業也達不到這一點，因為現在做的技術研發，五六年以後不掙錢企業就會死掉。

而學校主要做關鍵技術突破，並非以盈利為目的，為的是解決科學問題，因此能在國家項目支持下布局到十年以後。當工業界需要該技術時，公司就能實現盈利。所以，只有產學研結合起來，才能提前布局關鍵技術。

*清華鄧辰辰博士、朱文平博士對本文亦有貢獻。