内容简介

抗量子密码芯片是实现传统公钥密码向抗量子攻击密码体系过渡、实现量子计算时代数据与信息安全的基础。本书首先在对抗量子密码算法概念与标准化进展进行介绍的情况下，阐述抗量子攻击密码芯片的设计挑战与研究现状。随后，在对主流抗量子密码算法进行介绍的基础上，分别在计算架构、运算电路、编译技术与物理安全防护等角度讨论如何设计实现兼顾能量效率、功能灵活性与物理安全性的抗量子密码芯片。最后，本书对未来抗量子密码芯片设计领域出现的高能效计算、面向安全设计等新的技术方向进行了展望与分析。

本书面向信息安全、密码芯片与物理安全专业领域的本科生、研究生阅读，同样适用于相关领域的技术从业人员参考。

目录

第1章 绪论
1.1 抗量子攻击密码概述
1.1.1 抗量子密码的产生背景
1.1.2 抗量子密码算法的标准化现状
1.1.3 抗量子密码迁移的紧迫性
1.2 标准化过程中的抗量子密码硬件加速技术
1.2.1 指令驱动的通用处理器实现
1.2.2 可编程逻辑器件FPGA
1.3 抗量子密码芯片的需求与挑战
参考文献
第2章 抗量子密码算法
2.1 基于格的抗量子密码算法
2.1.1 密码算法介绍
2.1.2 算法计算特性分析
2.2 基于编码的抗量子密码算法
2.2.1 密码算法介绍
2.2.2 算法计算特性分析
2.3 基于哈希的抗量子密码算法
2.3.1 “SPHINCS+”算法
2.3.2 算法计算特性分析
2.4 其他抗量子密码算法
2.4.1 基于超奇异同源的抗量子密码算法及特性分析
2.4.2 基于多变量的抗量子密码算法及特性分析
2.5 密码核心功能的高效实现算法
2.5.1 高效乘Karatsuba算法
2.5.2 高效乘TOOM-COOK算法
2.5.3 高效乘NTT算法
2.5.4 扩展欧几里得求逆算法
参考文献
第3章 抗量子密码芯片架构
3.1 抗量子密码芯片设计空间
3.2 基于指令集扩展的抗量子密码芯片架构
3.2.1 MIT Sapphire
3.2.2 TUM RISQ-V
3.3 面向特定算法的全定制硬件加速架构
3.3.1 面向基于格的密码算法的全定制硬件设计
3.3.2 面向基于编码的密码算法的全定制硬件设计
3.3.3 面向基于哈希算法的全定制硬件设计
3.4 粗粒度可重构抗量子密码芯片架构
3.4.1 可重构抗量子密码芯片RePQC
3.4.2 可重构抗量子密码芯片QPu
参考文献
第4章 芯片数据通路
4.1 公钥密码芯片的数据通路
4.1.1 经典公钥密码数据通路
4.1.2 抗量子公钥密码数据通路
4.2 算术/逻辑计算单元
4.2.1 基于NTT的多项式计算
4.2.2 基于Karatsuba的多项式计算
4.2.3 其他任务级模块
4.2.4 存储映射方式
4.3 数据采样与对齐模块
4.3.1 均匀分布和拒绝采样模块
4.3.2 离散高斯分布和离散高斯采样模块
4.3.3 二项分布和二项采样模块
4.3.4 随机前缀和恒定时间排序模块
4.3.5 Fisher-Yates算法及其模块
4.3.6 对齐模块
参考文献
第5章 芯片编译映射系统
5.1 通用编译技术
5.2 开源编译器框架LLVM
5.2.1 基于LLVM编译器的高级设计架构
5.2.2 LLVM IR概述
5.2.3 LLVM后端
5.2.4 LLVM工作流程总结
5.3 面向密码应用的编译技术
5.3.1 构建领域定制加速的自动化编译器
5.3.2 伽罗瓦域加速处理器的混合编译
5.3.3 面向粗粒度CGRA的动态编译器
5.4 抗量子密码芯片的编译框架
5.4.1 任务算子层面
5.4.2 密码算法层面
5.4.3 领域定制的硬件模块层面
5.5 抗量子密码芯片的编译框架实现
5.5.1 用户语言设置
5.5.2 编译、任务调度
5.5.3 地址映射
5.5.4 LLVM实现
5.5.5 工作展望
5.6 本章总结
参考文献
第6章 芯片物理安全设计
6.1 抗量子密码芯片的物理安全威胁
6.1.1 侧信道攻击与故障注入攻击
6.1.2 对密钥封装机制的侧信道攻击
6.1.3 对密钥封装机制的故障注入攻击
6.1.4 对数字签名的侧信道攻击
6.1.5 对数字签名的故障注入攻击
6.2 抗量子密码芯片的物理安全防护设计
6.2.1 侧信道攻击经典防护方法
6.2.2 故障注入攻击经典防护方法
6.2.3 抗量子密码的物理安全防护挑战
6.2.4 基于动态重构的物理安全防护机制
参考文献
第7章 未来趋势展望
7.1 抗量子密码算法的演进和趋势
7.1.1 抗量子密码算法演进
7.1.2 抗量子密码算法发展趋势
7.1.3 抗量子密码的应用
7.2 抗量子密码芯片的发展趋势
7.2.1 可迁移抗量子密码芯片
7.2.2 高能效抗量子密码芯片设计
7.2.3 面向物理安全的密码芯片设计
参考文献
后记

前言/序言

　　密码事关政治、经济、国防和信息安全，是保护党和国家根本利益的国之重器。近年来，量子计算机技术飞速发展，对传统的公钥密码算法及协议体系的安全性造成了颠覆性的影响，与经典计算机兼容、具备抵抗量子计算攻击能力的抗量子密码应运而生。2016年，美国国家标准与技术研究院（NIST）率先启动了抗量子密码算法竞赛，经过三轮评选，NIST选定了4种抗量子公钥密码算法进行标准化，并在持续征集新的密码算法。2018年，中国密码学会启动了全国密码算法设计竞赛，并于2020年1月公布了获胜的抗量子密码算法； 2025年，我国商用密码标准研究院发起了新一代商用密码算法征集活动，来推动我国抗量子密码算法的标准化建设。欧盟、英国、澳大利亚、日本等国家和地区也在积极推动抗量子密码算法的标准化工作。随着抗量子密码算法标准的陆续发布，世界各主要国家也已经启动了抗量子密码算法的迁移工作，为应对量子计算机带来的巨大安全威胁做准备。

　　2006年起，著者团队开始研究动态可重构计算芯片。2009年，我们尝试基于动态可重构技术开展密码处理器设计，经过6~7年的努力，研制出能够兼顾能量效率、功能灵活性和物理安全性的密码处理器芯片，这是其他传统技术方案难以实现的。2017年，我们对这项研究工作进行了总结，撰写了《可重构计算密码处理器》一书，并得以出版，随后，该书的英文版Reconfigurable Cryptographic Processor在施普林格出版社出版。2019年，我们对这项知识产权进行了转化，创立了无锡沐创集成电路设计有限公司，依托该公司，我们实现了技术的产业化应用，目前，无锡沐创集成电路设计有限公司已经发展成为我国密码芯片领域重要的民营企业之一。2016年，我们注意到抗量子密码算法的发展，由于抗量子密码算法正在持续演进，且算法的复杂度要远高于传统的公钥密码算法，抗量子密码芯片想要兼顾能量效率、功能灵活性（特别是对持续推出的新算法的有效支持）和物理安全性将更加困难，但考虑到量子计算机对信息安全带来的潜在威胁，我们果断将研究重点转向了动态可重构抗量子密码芯片的研究，在国家重点研发计划项目、国家自然科学基金面上项目等国家计划的持续支持下，经过近十年的努力，我们先后攻克了功能灵活的高能效抗量子密码芯片架构设计、敏捷公钥密码计算通路设计、自适应物理安全防护机制等多项关键技术，并联合无锡沐创集成电路设计有限公司研发了两款商用的抗量子密码芯片，在此过程中，我们陆续将研究工作发表在ISSCC、CHES、HOST等会议上，其中，发表在ISSCC 2022的论文介绍了团队研发的全球首款支持多个数学难题的抗量子密码芯片，发表在ISSCC 2024的论文介绍了团队研发的全球首款能够支持国内外主流抗量子密码方案的芯片，我们的研究工作也获得了国内外同行的认可，张能博士于2023年获评中国密码学会优秀博士论文奖（该学会首篇芯片方向优博），朱益宏博士于2024年获评IEEE固态电路学会博士生成就奖（全球每年评20余人），并有多位团队成员受邀担任CHES和ISSCC的TPC委员。

　　本书共分为7章。第1章首先介绍抗量子密码算法的概念、标准化进展及抗量子密码迁移的紧迫性，接下来进一步总结标准化过程中抗量子密码芯片现状并讨论抗量子密码芯片所面临的设计挑战。第2章对主流的抗量子密码算法的数学原理进行分析，并重点讨论核心计算模块的高效计算方法。第3章对当前领域定制抗量子密码芯片研究进行介绍，并在此基础上阐述粗粒度可重构抗量子密码芯片架构的设计方法。第4章从抗量子密码核心计算功能出发，介绍具体的电路级可重构设计方法。第5章从软件映射的角度解释如何在单一硬件架构上实现对多种抗量子密码算法的高效映射与优化。第6章从物理安全设计的角度分析目前抗量子密码芯片所面临的一系列侧信道攻击威胁，以及相应的防护方法。第7章对具有抗量子攻击属性的密码算法发展趋势和芯片技术发展趋势进行展望。

　　本书凝聚了清华大学硬件安全与密码芯片实验室近十年的科研成果，并总结了国内外最新的研究进展，力争向读者完整地介绍抗量子密码芯片的技术体系和发展趋势。感谢朱文平、朱益宏、杨博翰、赵灿坤、陈相任、卢思佳、王汉宁、赵琪、刘江雪、孙骏文、赵航、龚新胜、张燃、彭硕航、欧阳屹、杨明远、张佳男、张能、李重阳、戴彤蔚等同事和同学的持续努力。感谢魏少军教授对本书撰写工作的指导。最后，还要感谢我的爱人和孩子们对我工作的理解和宽容，你们的爱是我前进的重要动力！

　　本书得到国家重点研发计划项目（No.2023YFB4403500）和国家自然科学基金项目（No. 62274102）的支持！

刘雷波

2025年3月于清华园