芯耀
与非AI
286
伴随量子计算技术的迅猛发展,往昔被视为绝对安全的传统密码体系正遭遇前所未有的挑战。对于承担着身份认证、数据加密、密钥管理等核心安全功能的安全芯片来说,预先开展抗量子设计并非可选项,而是攸关长期安全性的必选项。
量子计算为何会威胁传统安全芯片?
传统安全芯片的安全根基在哪里?几乎所有主流安全芯片的加密逻辑,都依赖于数学难题的不可解性。比如我们常用的 RSA 算法,依赖于大整数分解的计算复杂度;ECC 椭圆曲线算法,依赖于离散对数问题的求解难度。在经典计算机环境下,即便是最先进的算力,要破解 2048 位的 RSA 密钥也需要上千年,这让传统安全芯片的安全性有了坚实保障。
但量子计算的出现,彻底改变了这种算力与复杂度的平衡。1994 年,数学家肖尔(Shor)提出了一种量子算法,能将大整数分解和离散对数问题的求解时间从指数级缩短到多项式级——这意味着,一旦大规模通用量子计算机实现,当前主流的 2048 位 RSA、256 位 ECC 加密体系,可能在几小时甚至几分钟内被破解。而我们现在广泛使用的安全芯片,无论是用于智能手机的身份认证、物联网设备的通信加密,还是金融领域的密钥存储,大多基于这些传统算法构建。
更关键的是,安全芯片的使用寿命往往长达 5-10 年(比如工业物联网设备、汽车电子芯片),而量子计算技术的发展速度正在加快。如果现在部署的安全芯片仍采用传统密码体系,等到量子计算机成熟时,这些芯片承载的敏感数据(如历史通信记录、用户身份信息)可能被回溯攻击,造成不可逆的安全风险。因此,抗量子设计不是未来的事,而是需要从现在开始融入安全芯片的研发流程中。
抗量子设计不只是换算法,而是全链路防护
提到抗量子设计,很多开发者会第一时间想到替换加密算法——确实,抗量子密码算法是核心,但真正的抗量子安全芯片,绝非简单地把 RSA 换成抗量子算法就够了。我们需要从算法选型、硬件适配、密钥管理、兼容性过渡 4 个维度,构建全链路的抗量子防护体系,既要保证抗量子安全性,又要兼顾现有设备的兼容性和实际应用场景的性能需求。
算法选型
目前国际上已涌现出多种抗量子算法,但并非所有算法都适合安全芯片——有些算法虽然理论上抗量子,但硬件实现复杂度高、功耗大,不适合资源受限的芯片;有些算法的安全性尚未经过长期验证,存在潜在的安全漏洞。因此,选型时需遵循标准化、低复杂度、高安全性三个原则。
对于安全芯片而言,优先选择这些经过标准化的算法,不仅能保证安全性经过全球密码学界的验证,还能确保后续与其他设备的兼容性(比如不同厂商的安全芯片采用同一标准算法,可实现跨设备互通)。
硬件适配
既有安全芯片的硬件模块(如加密引擎、密钥存储单元)是为传统算法设计的,直接移植抗量子算法会面临水土不服的问题。以格密码算法为例,其核心运算包括多项式乘法、模约减,这些运算与 RSA 的大整数乘法差异很大,如果用通用处理器(CPU)软件实现,会导致效率低、功耗高;而如果设计专用的硬件加速引擎,就能大幅提升运算效率。
通过这些硬件适配措施,抗量子算法的运算效率可提升 10-100 倍,满足安全芯片在不同场景下的性能需求。同时,硬件层面还需考虑侧信道攻击防护——比如抗量子算法的运算过程中,可能会泄露功耗、时序等信息,攻击者可通过这些信息破解密钥。因此,在硬件设计时,需加入恒定时间运算、功耗平衡等防护措施,确保抗量子算法的硬件实现不仅抗量子,还能抵御传统的侧信道攻击。
密钥管理
安全芯片的核心功能之一是密钥管理,抗量子设计也需要同步升级密钥管理体系。传统安全芯片的密钥管理,主要关注密钥的存储安全;而抗量子时代的密钥管理,还需要解决两个新问题:
密钥长度的适配。抗量子算法的密钥长度通常比传统算法更长——比如 Kyber-768 的公钥长度为 1184 字节,私钥长度为 2400 字节,而 2048 位 RSA 的公钥长度仅为 256 字节,私钥长度为 512 字节。这意味着安全芯片的密钥存储单元需要更大的容量,同时密钥传输过程中(如 OTA 升级时的密钥协商)也需要更多的带宽。因此,在密钥管理设计时,需重新规划存储资源,优化密钥传输的协议,避免因密钥长度增加导致的性能瓶颈。
密钥的向后兼容性。目前大多数设备仍采用传统密码体系,安全芯片不能直接一刀切地只支持抗量子算法——否则会无法与现有设备通信。因此,需要设计双密钥体系:安全芯片同时存储传统密钥和抗量子密钥,在与现有设备通信时,使用传统密钥;在与支持抗量子的设备通信时,使用抗量子密钥。同时,密钥管理模块需支持密钥的平滑过渡——比如当系统检测到所有通信设备都已支持抗量子算法时,可自动禁用传统密钥,完全切换到抗量子模式,避免人工干预带来的安全风险。
兼容性过渡
抗量子设计不是一蹴而就的,而是一个长期的过渡过程——毕竟,要让所有设备都升级到支持抗量子的安全芯片,需要数年甚至十几年的时间。因此,安全芯片的抗量子设计必须考虑兼容性,确保新芯片能与现有系统无缝对接,避免因升级抗量子功能导致现有业务中断。
具体来说,兼容性过渡可从两个层面实现:
协议层面的兼容:在安全芯片的通信协议(如 TLS、蓝牙 BLE 的安全协议)中,加入抗量子扩展字段——当芯片与其他设备建立连接时,先通过协议协商确定对方是否支持抗量子算法。如果支持,则使用抗量子算法进行密钥协商和签名;如果不支持,则自动降级为传统算法,确保通信不中断。
应用层面的兼容:安全芯片的接口(如 SPI、I2C)和指令集,需保持与传统芯片的兼容——开发者无需修改现有应用代码,只需通过软件配置,即可启用抗量子功能。
抗量子设计不是一项孤立的技术升级,而是安全芯片从经典安全向量子安全转型的长期战略。它需要我们从现在开始,将抗量子思维融入芯片的需求分析、算法选型、硬件设计、密钥管理、应用适配等各个环节,既要应对当前量子计算的威胁,又要考虑未来技术发展的不确定性。
目前,珈港科技已经在抗量子加密算法的实践和标准建设方面开展工作,深耕研发,不断优化算法性能与安全性。未来,珈港科技还将进一步深化抗量子设计在更多安全芯片产品中的应用,加强与行业内其他企业的合作交流,共同推动安全芯片从经典安全向量子安全的平稳过渡,为构建更加安全可靠的信息安全环境贡献力量。
关于珈港
珈港科技是科创板首批上市、国际领先的红外芯片企业睿创微纳旗下的安全芯片专业子公司,是国密 SM2 算法的第一发明人单位。
珈港科技总部位于山东烟台,在武汉、北京和深圳设有全资子公司。 依托国际一流水平的片上资产保护、密码算法和安全认证技术,珈港科技自主研发了一系列的安全 MCU、安全 SoC、物联网操作系统及云中间件等产品,为国内外客户提供先进的智能家居、工业控制和物联网解决方案。
