MIT-onderzoekers hebben een nieuw cryptografiecircuit ontwikkeld dat kan worden gebruikt om apparaten met een laag vermogen "internet of things" (IoT) te beschermen in het komende tijdperk van quantum computing.

Quantumcomputers kunnen in principe berekeningen uitvoeren die vandaag de dag praktisch onmogelijk zijn voor klassieke computers. Het online en op de markt brengen van kwantumcomputers kan op een dag vooruitgang mogelijk maken in medisch onderzoek, medicijnontdekking en andere toepassingen. Maar er is een addertje onder het gras: als hackers ook toegang hebben tot kwantumcomputers, kunnen ze mogelijk de krachtige coderingsschema's doorbreken die momenteel gegevens beschermen die tussen apparaten worden uitgewisseld.

Het meest veelbelovende kwantumbestendige versleutelingsschema van vandaag wordt "roostergebaseerde cryptografie" genoemd, dat informatie verbergt in extreem gecompliceerde wiskundige structuren. Tot op heden kan geen enkel bekend kwantumalgoritme zijn verdediging doorbreken. Maar deze schema's zijn veel te rekenintensief voor IoT-apparaten, die alleen genoeg energie kunnen besparen voor eenvoudige gegevensverwerking.

In een paper gepresenteerd op de recente International Solid-State Circuits Conference, beschrijven MIT-onderzoekers een nieuwe circuitarchitectuur en statistische optimalisatietrucs die kunnen worden gebruikt om op roosters gebaseerde cryptografie efficiënt te berekenen. De chips van 2 millimeter in het kwadraat die het team heeft ontwikkeld, zijn efficiënt genoeg voor integratie in elk bestaand IoT-apparaat.

De architectuur is aanpasbaar om plaats te bieden aan de meerdere op roosters gebaseerde schema's die momenteel worden bestudeerd ter voorbereiding op de dag dat kwantumcomputers online komen. "Dat kan over een paar decennia zijn, maar het duurt lang om erachter te komen of deze technieken echt veilig zijn", zegt eerste auteur Utsav Banerjee, een afgestudeerde student elektrotechniek en informatica. "Het lijkt misschien vroeg, maar eerder is altijd beter."

Bovendien, zeggen de onderzoekers, is het circuit het eerste in zijn soort dat voldoet aan de normen voor op roosters gebaseerde cryptografie die zijn opgesteld door het National Institute of Standards and Technology (NIST), een agentschap van het Amerikaanse ministerie van Handel dat voorschriften voor de hedendaagse encryptie schema's.

Naast Banerjee op het papier zijn Anantha Chandrakasan, decaan van de MIT's School of Engineering en de Vannevar Bush Professor of Electrical Engineering and Computer Science, en Abhishek Pathak van het Indian Institute of Technology.

Efficiënte bemonstering

Halverwege de jaren negentig ontwikkelde MIT-professor Peter Shor een kwantumalgoritme dat in wezen alle moderne cryptografieschema's kan doorbreken. Sindsdien heeft NIST geprobeerd de veiligste postquantum-encryptieschema's te vinden. Dit gebeurt in fasen; elke fase bevat een lijst met de meest veilige en praktische schema's. Twee weken geleden ging het bureau de tweede fase in voor postquantumcryptografie, waarbij op roosters gebaseerde schema's de helft van de lijst uitmaken.

In de nieuwe studie implementeerden de onderzoekers eerst op commerciële microprocessors verschillende NIST-roostergebaseerde cryptografieschema's uit de eerste fase van het bureau. Dit bracht twee knelpunten aan het licht voor efficiëntie en prestaties: het genereren van willekeurige getallen en gegevensopslag.

Het genereren van willekeurige getallen is het belangrijkste onderdeel van alle cryptografieschema's, omdat die getallen worden gebruikt om veilige encryptiesleutels te genereren die niet kunnen worden voorspeld. Dat wordt berekend via een tweeledig proces dat 'sampling' wordt genoemd.

Sampling genereert eerst pseudo-willekeurige getallen uit een bekende, eindige reeks waarden die een gelijke kans hebben om geselecteerd te worden. Vervolgens converteert een "nabewerking" -stap die pseudowillekeurige getallen naar een andere kansverdeling met een gespecificeerde standaarddeviatie - een limiet voor hoeveel de waarden van elkaar kunnen verschillen - die de getallen verder willekeurig maakt. In principe moeten de willekeurige getallen voldoen aan zorgvuldig gekozen statistische parameters. Dit moeilijke wiskundige probleem verbruikt ongeveer 80 procent van alle rekenenergie die nodig is voor op roosters gebaseerde cryptografie.

Na analyse van alle beschikbare methoden voor bemonstering, ontdekten de onderzoekers dat één methode, SHA-3 genaamd, veel pseudo-willekeurige getallen twee of drie keer efficiënter kan genereren dan alle andere. Ze hebben SHA-3 aangepast om op roosters gebaseerde cryptografie-sampling aan te kunnen. Bovendien pasten ze enkele wiskundige trucs toe om pseudo-willekeurige steekproeven en de nabewerkingsconversie naar nieuwe distributies sneller en efficiënter te maken.

Ze voeren deze techniek uit met behulp van energiezuinige aangepaste hardware die slechts 9 procent van het oppervlak van hun chip in beslag neemt. Uiteindelijk maakt dit het proces van het bemonsteren van twee ordes van grootte efficiënter dan traditionele methoden.

De gegevens splitsen

Aan de hardwarekant hebben de onderzoekers innovaties doorgevoerd in de datastroom. Op roosters gebaseerde cryptografie verwerkt gegevens in vectoren, dit zijn tabellen van een paar honderd of duizend getallen. Om die gegevens op te slaan en te verplaatsen, zijn fysieke geheugencomponenten nodig die ongeveer 80 procent van het hardwaregebied van een circuit in beslag nemen.

Traditioneel worden de gegevens opgeslagen op een enkel RAM-apparaat (Random Access Memory) met twee of vier poorten. Apparaten met meerdere poorten maken de hoge gegevensdoorvoer mogelijk die vereist is voor coderingsschema's, maar ze nemen veel ruimte in beslag.

Voor hun circuitontwerp hebben de onderzoekers een techniek aangepast die "getaltheoretische transformatie" (NTT) wordt genoemd, die op dezelfde manier werkt als de Fourier-transformatie-wiskundige techniek die een signaal ontleedt in de meerdere frequenties waaruit het bestaat. De gewijzigde NTT splitst vectorgegevens en wijst delen toe aan vier RAM-apparaten met één poort. Elke vector is nog steeds in zijn geheel toegankelijk voor bemonstering alsof deze op een enkel multipoort-apparaat is opgeslagen. Het voordeel is dat de vier REM-apparaten met één poort ongeveer een derde minder totale oppervlakte innemen dan één apparaat met meerdere poorten.

"We hebben in feite de manier aangepast waarop de vector fysiek in het geheugen wordt afgebeeld en de gegevensstroom aangepast, zodat deze nieuwe afbeelding kan worden opgenomen in het bemonsteringsproces. Met behulp van deze architectuurtrucs hebben we het energieverbruik en de bezette oppervlakte verminderd, terwijl we de gewenste doorvoer hebben behouden”, zegt Banerjee.

Het circuit bevat ook een kleine instructiegeheugencomponent die kan worden geprogrammeerd met aangepaste instructies om verschillende bemonsteringstechnieken aan te kunnen - zoals specifieke kansverdelingen en standaarddeviaties - en verschillende vectorgroottes en -bewerkingen. Dit is vooral handig, omdat op roosters gebaseerde cryptografieschema's de komende jaren en decennia waarschijnlijk licht zullen veranderen.

Instelbare parameters kunnen ook worden gebruikt om de efficiëntie en veiligheid te optimaliseren. Hoe complexer de berekening, hoe lager de efficiëntie en vice versa. In hun paper beschrijven de onderzoekers hoe ze met hun instelbare parameters door deze afwegingen kunnen navigeren. Vervolgens zijn de onderzoekers van plan om de chip aan te passen om alle op roosters gebaseerde cryptografieschema's uit te voeren die in de tweede fase van NIST worden vermeld.

Het werk werd ondersteund door Texas Instruments en het TSMC University Shuttle Program.