23、后量子密码学中的配对硬件实现与Dilithium方案FPGA实现

后量子密码学中的配对硬件实现与Dilithium方案FPGA实现

配对硬件实现相关要点

在受限设备中，对于更新后的128位安全级别，GMT8可能是合适的选择。曲线在时间×面积方面的排名不仅与以往估计不同，而且在不同平台上也存在差异，所以根据具体应用和平台选择曲线很有必要。

Kim和Barbulescu的攻击改变了局面，BN曲线不再是无可争议的配对首选。研究人员对新曲线进行了研究，这意味着专用硬件实现应支持多种算术运算以提高灵活性。以往配对复杂度估计仅考虑模乘法复杂度，而实际上像模加法这类被忽视的运算对实现性能也有显著影响，在特定架构中，模加法占总计算时间的25%。

基于最佳曲线候选方案，提出了一种灵活的硬件架构，该架构旨在加速模运算。它具有可重构模数，能支持不同曲线，并允许在乘法过程中进行并行计算，可将性能提高约15%，使额外操作成本降低到仅考虑乘法。

首次实现了更新后的128位和192位安全级别的配对硬件。与以往轻量级实现相比，新实现的时间×面积乘积比之前的方案好三倍。不同FPGA移植结果表明，在更新后的128位安全级别下，最佳曲线的复杂度相似，这说明在该安全级别下没有最优的配对选择。使用该架构时，GMT8曲线在时间和时间×面积性能方面表现最佳，但它需要比BLS24或BLS12更大的协处理器，而BLS24则比GMT8需要更多的内存。

曲线选择的影响因素表格

曲线	时间×面积表现	协处理器需求	内存需求