Partager

Accélérateur étroitement couplé à un coeur RISC-V pour la cryptographie post-quantique

#cryptographie #Cybersécurité et numérique de confiance #quantique #Technologies de sécurisation
image numérique
La cryptographie post-quantique, conçue pour faire face à la menace que l’ordinateur quantique apporte à la cryptographie moderne, s’impose progressivement dans l’écosystème industriel. HQC, un des schémas de cryptographie postquantique récemment standardisés par le NIST, présente des temps d’exécution relativement élevés sur les microcontrôleurs des systèmes embarqués. Pour relever ce défi, nous proposons TYRCA, un accélérateur pour HQC développé spécifiquement pour processeurs RISC-V.

Les ordinateurs quantiques, susceptibles de révolutionner la médecine, les matériaux et l’intelligence artificielle, menacent la sécurité des communications. Les systèmes cryptographiques comme RSA, Diffie-Hellman et ECC sont vulnérables aux attaques quantiques, ce qui motive le développement de la cryptographie post-quantique (PQC). HQC, un schéma fondé sur un formalisme mathématique dérivé de la théorie des codes et sélectionné comme standard par le NIST en 2025, présente des performances relativement faibles par rapport aux autres candidats, basés sur des réseaux euclidiens. Bien que plus rapides, les implémentations matérielles sont coûteuses en surface silicium, la multiplication polynomiale sur de polynômes de très grande taille constituant le principal goulot d’étranglement.

 


Schéma d’architecture d’un système sur puce avec le coprocesseur TYRCA couplé au coeur RISC-V CV32E40PX. Le coprocesseur est constitué d’un contrôleur CV-X-IF et d’un ensemble d’accélérateurs matérielles spécifiques pour certains opérations d’HQC, notamment Keccak, la multiplication polynomial (Karatsuba) et le décodage de Reed-Solomon (RS).


 

Une alternative aux méthodes classiques d’accélération matérielle est l’accélération étroitement couplée, qui encapsule les opérations récurrentes de l’algorithme dans des instructions personnalisées ajoutées au jeu d’instruction du processeur. Grâce à l’interface Core-V eXtension (CV-X-IF), l’accélérateur s’intègre parfaitement dans le pipeline d’exécution des processeurs RISC-V, offrant un gain de vitesse transparent tout en surmontant les défis traditionnels d’extension de l’ISA.

 


Figure 1 : Stratégie d’intégration dans le pipeline RISC-V avec CV-X-IF


 

Nous avons appliqué cette nouvelle stratégie d’accélération étroitement couplée et conçu trois blocs d’accélération matérielle dédiés ciblant les principaux goulots d’étranglement de l’algorithme HQC. La R-Unit accélère la multiplication polynomiale via une approche Karatsuba en plusieurs étapes sur des blocs de 32 bits avec quatre instructions personnalisées pour gérer complètement le résultat. Le RS-Decoder accélère les opérations clés sur les champs de Galois, dont la multiplication sans retenue et le comptage des zéros finaux, grâce à plusieurs instructions spécialisées éliminant boucles et résultats intermédiaires.
Enfin, l’accélérateur Keccak gère l’état de permutation de 1600 bits avec un registre dédié et trois instructions personnalisées pour un chargement, un traitement et un stockage efficaces, minimisant les surcoûts par rapport aux approches classiques faiblement couplées.
En appliquant cette stratégie d’accélération étroitement couplée, TYRCA montre des améliorations de performance par rapport à l’implémentation logicielle originale de HQC.
À tous les niveaux de sécurité (HQC-128/192/256), les opérations de génération de clé (KeyGen), d’encapsulation et décapsulation (Encaps, Decaps) voient une réduction d’environ 95 % du nombre de cycles d’horloge. L’utilisation de la mémoire d’instructions est également fortement réduite. Implémenté sur une cible FPGA Kintex-7, TYRCA occupe moins de 26 % de la surface totale du système sur-puce, le R-Unit fournissant le gain de performance le plus élevé tout en utilisant moins de 10 % de cette surface.
Les métriques de vitesse normalisées (vitesse/surface) confirment que TYRCA surpasse les approches faiblement couplées précédentes.

 


Figure 2 : Décomposition de Karatsuba utilisée dans la R-unit

Figure 3 : Réduction du nombre de cycles total sur HQC montrant les gains en performance

En savoir plus

Publication majeure

  • « TYRCA: A RISC-V Tightly-coupled accelerator for Code-based Cryptography ». Dolmeta, A., Di Matteo, S.,
    Valea, E., Carmona, M., Loiseau, A., Martina, M., & Masera, G. (2025, March). In 2025 Design, Automation & Test in Europe Conference (DATE) (pp. 1-7). https://doi.org/10.23919/DATE64628.2025.10993202Cet article a été retenu comme “Best Paper Candidate” lors de la conférence DATE (12 articles sélectionnés sur 330 acceptés à la conférence et plus de 1200 soumissions). Il montre des accélérations d’un facteur 20 par rapport à l’implémentation logicielle de référence du schéma de cryptographie post-quantique HQC.

 

Ont contribué à l’écriture de cet article

  • Stefano Di Matteo, Ingénieur-chercheur, CEA-List
  • Emanuele Valea, Ingénieur-chercheur, CEA-List

À lire également

#algorithme quantique #architectures de calcul #pile logicielle #quantique
Programmes de recherche

Calcul quantique
Le CEA-List s’est fixé comme objectif de rendre possible la programmation des futurs ordinateurs quantiques, en faisant le lien entre applications, algorithmes et matériel quantique.
Lire la suite
#cybersécurité #échanges de données #Rapport Activité #RISC-V
Avancées technologiques

14 Octobre 2024 | Première mise en œuvre d’une application de chiffrement sur un circuit utilisant le calcul proche mémoire
L’un des enjeux en matière de cybersécurité est le maintien de la confidentialité des données traitées dans les circuits intégrés. Les travaux réalisés visent à exploiter la confidentiali...
Lire la suite