[ 背景 ]

近期Google宣布了其全新的量子計算芯片Willow。這款芯片在不到5分鐘完成一項標準計算，而如今最快的超級計算機完成同樣的任務，足足要花費超過102? 年的時間。Willow不僅擁有105個量子比特，還在量子糾錯和隨機電路采樣方面表現出色，進一步展示了量子計算的巨大潛力。

隨著量子計算的發展，RSA 和 ECC 等傳統加密算法的安全性越來越受到威脅。雖然能夠破解這些算法的量子計算機尚未成為現實，但未來量子攻擊的可能性已促成了抗量子加密(也稱為后量子加密 (PQC，Post-Quantum Cryptography))的發展。各國政府和領先的科技公司已經開始將 PQC 集成到他們的系統中，用來抵御當前和未來的安全威脅。

去年3月蘋果公司宣布將后量子加密技術整合到iMessage中，這凸顯了采用抗量子計算加密方法的緊迫性和重要性。我們正在進入一個量子計算威脅到當前加密協議安全性的時代，特別是圍繞“現在獲取，以后解密”(HNDL，harvest now, decrypt later)的攻擊：使用當前存儲通信數據的能力獲取盡可能多的密文，一旦將來有了功能齊全的量子計算機就能實現破解。對于可以被物理攻擊的嵌入式系統，我們甚至需要更進一步：抗硬件攻擊的PQC。蘋果的這一聲明為討論實現后量子加密算法的挑戰提供了機會。

有趣的是，側信道或故障注入攻擊并沒有在聲明中提到。對于消息傳遞應用程序來說，這是有道理的，因為硬件攻擊是本地化的，而設備本地攻擊不會針對通信協議。然而，還有其他與本地攻擊相關的目標。

[ 嵌入式系統中PQC的需求與挑戰 ]

以普通的嵌入式SoC為例。它帶有信任根，通常在運行系統代碼之前使用橢圓曲線加密算法(ECC)對其進行身份驗證。使用量子計算機，只要知道公鑰，就可以破解ECC私鑰。這會導致繞過代碼身份驗證，允許攻擊者在系統上運行任意代碼，并繞過任何本地安全控制。

現在假設我們將在5-10年內擁有量子計算。嵌入式系統，作為從汽車到物聯網設備的無數應用中不可或缺的一部分，由于其使用壽命長(例如汽車行業長達20年)并且容易受到物理攻擊，因此將面臨相關風險。

在嵌入式系統中實現PQC帶來了新的挑戰。這些系統通常在有限的處理能力、內存和功耗下運行，這些限制在ASIC芯片和軟件實現中都被放大了。此外，潛在的側信道和故障注入攻擊要求PQC在設計時就要考慮到這些漏洞。

[ 嵌入式系統中PQC的現狀 ]

許多嵌入式系統的不可更新特性，例如實現信任根的不可修改ROM代碼，突出了今天納入PQC考量的緊迫性。然而，PQC作為相對新的算法(去年SIKE算法被破解就說明了這一點)，需要格外謹慎對待。將ECC和PQC結合在一起的“皮帶和吊帶”方法，就像在蘋果的iMessage協議中呈現的那樣，成為一種實用的臨時解決方案。這并非沒有風險：我們從經驗中知道，代碼越多意味著越多的FI故障注入攻擊機會，如果ECC被QC量子計算破壞，我們仍然需要PQC可以抵抗本地攻擊。

然而，由于嵌入式設備的功能和性能限制，組合多種算法可能并不總是可行的。隨著該領域的發展，驗證PQC實現中的SCA和FI抵御能力的需求在客戶中越來越普遍，特別是當他們尋求安全性和性能之間的平衡時。

[ 最佳實踐 ]

隨著PQC的不斷發展，堅持最新的對策研究，避免盲目地采用沒有SCA和FI保護的開源“vanilla”是至關重要的。未來發展的方向包括為某些PQC算法可能被破壞做好準備，這需要一種加密靈活性策略，以遷移到加密算法的替代解決方案或減輕被破壞的嵌入式系統的影響。隨著認證方案的發展，逐步淘汰過時或被破解的算法，這種方法將成為不可缺的一部分。

[ 結論 ]

嵌入式系統中集成抗側信道攻擊和抗故障注入的后量子密碼算法不僅是技術上的需要，更是防御量子計算和物理攻擊雙重威脅的戰略需要。Keysight Riscure已經并且將持續開發分析模塊，以確保PQC實現在硅前模擬和硅后測試中的韌性。研究人員和工程師需要共同努力，建立(和打破)對策，平衡安全性和可用性，以應對安全挑戰并確保嵌入式系統的未來。

Keysight Riscure推出的Inspector 2023.3 版本率先采用 Crystals-Dilithium 進行后量子密碼學研究，集成了模擬、pi?ata實現和一階 CPA 攻擊等突破性組件。它使設備和芯片供應商能夠在設計周期中識別和修復硬件漏洞。Keysight Riscure 是您在后量子加密轉型中的合作伙伴。

在本白皮書中，我們探討了嵌入式設備和物聯網中采用 PQC 的挑戰，研究了 PQC 標準化的最新發展，并根據性能和資源要求比較了各種算法，強調了安全實現對于防范潛在漏洞的重要性。

關于Riscure

自2001年成立以來，Riscure一直是全球硬件安全的先驅和技術領導者。我們擁有超過20年的行業經驗，客戶遍及科技企業、政府部門、科研院所、高校、汽車、航空航天等領域。Riscure為國內外客戶提供專業的側信道、故障注入、硅前(RTL)安全仿真測試等工具、培訓和安全認證、測評及咨詢服務。 2024年3月， Keysight收購Riscure。Keysight將和Riscure一起，基于豐富的安全產品和應用，為業界提供更有效的測試解決方案。

關于是德科技

是德科技(NYSE：KEYS)啟迪并賦能創新者，助力他們將改變世界的技術帶入生活。作為一家標準普爾 500 指數公司，我們提供先進的設計、仿真和測試解決方案，旨在幫助工程師在整個產品生命周期中更快地完成開發和部署，同時控制好風險。我們的客戶遍及全球通信、工業自動化、航空航天與國防、汽車、半導體和通用電子等市場。我們與客戶攜手，加速創新，創造一個安全互聯的世界。