S3SSE2A:硬件PQC锁定量子时代的安全性

请仔细想一想，您的手机里存储了哪些重要信息。 其中包含登录信息、财务数据，甚至是你的生物特征数据——所有这些都至关重要。 如果你的手机遭到黑客攻击，所有数据都可能被泄露。 当然，安全解决方案在迅速发展，但黑客攻击策略也在不断进化。 事实上，能够利用卓越的计算速度破解现有安全系统的量子计算机正在研发中，并且几乎可以确定，它们将在未来某个时刻向公众开放。 这并非毫无根据的推测:全球风险研究所（GRI）对顶级专家进行了调查，结果显示，在未来15年内，“颠覆性的量子威胁”发生的可能性在33%至54%之间。这意味着“许多组织可能已经面临不可接受的风险水平，需要立即采取紧急措施。” 既然我们已经知道这一迫在眉睫的威胁最终将成为现实，就必须立即采取预防措施，并且这些措施必须基于技术创新。 对此，三星系统LSI开发了S3SSE2A，这是业内首款配备硬件后量子密码学（PQC）的安全芯片。 借助 S3SSE2A，您手机中的关键数据可以免受量子计算威胁的侵害。¹
 

高级计算带来高级威胁

随着技术的进步，威胁也在同步升级。 预计将在2030年后进入商业化的量子计算机利用量子力学现象，以远超传统计算机的速度解决复杂问题。 尽管量子计算机的商业化最终将在许多方面让生活变得更加便捷，但基于公钥密码学的现有安全系统将变得脆弱，因为这些系统将不再难以被破解。 即使不等到2030年，假设量子计算机的发展达到最快速度，现有的安全系统和算法最早可能在2028年——也就是短短三年后——就变得不堪一击。
 

为了说明这一可能性，让我们来看一下量子位（qubit），这是衡量量子计算机性能的基本单位。 假设量子位（qubit）的数量每 7 至 9 个月翻一番，那么到 2028 年，可能会实现拥有 100 万量子位（1M-qubit）的量子计算机，由 10 个模块组成，每个模块包含 10 万（100k）量子位。 凭借这一计算能力，RSA-2048 算法可能在约 160 小时内被破解。 然而，这并不意味着可以等到三年后才开始为量子计算机带来的安全威胁做准备。 “先收集，后解密”（HNDL）攻击已成为当前威胁，黑客会提前收集数据，并在获得量子计算机的计算能力后加以解密，即使他们目前无法破解所窃取的信息。 用户数据可能已经暴露在此类量子威胁之下，这一事实凸显了采用后量子密码学（PQC）的迫切性。²
 

一石二鸟，双重防护

为未来做好准备意味着你必须在过去就已完成必要的工作。 自 2020 年推出首款面向移动设备的 SE 一站式解决方案 S3K250AF 以来，三星系统LSI在安全技术领域积累了多年的专业经验。 凭借 S3SSE2A——业内首款配备硬件后量子密码学（PQC）的解决方案，三星系统LSI电路正在进一步巩固其在移动安全市场的领先地位。
 

S3SSE2A 采用硬件后量子密码学（PQC），实现独立的安全处理和信息存储，因此无论应用处理器（AP）如何，都能提供更安全的安全环境。 现有解决方案 S3K250AF 几乎是一种安全形式的非易失性存储器（NVM），因为它在应用处理器（AP）的安全模块中执行安全操作/处理，并在内部存储关键信息。 然而，S3SSE2A 实现了真正的安全性，因为它同时执行安全处理和信息存储，仅将处理结果发送至应用处理器（AP）。 三星系统LSI已完成该卓越产品的开发，并已提供样品供出货。 此外，S3SSE2A 还具备独特能力，可高效处理后量子密码学（PQC）运算。 美国国家标准与技术研究院（NIST）已公布三项标准——《联邦信息处理标准》（FIPS）203、204 和 205，这些标准规定了关键的密钥交换和数字签名方案，旨在抵御未来量子计算机的攻击，而量子计算机已对当前安全标准构成威胁。 S3SSE2A 在其硬件中实现了 FIPS 204 操作，这是一项采用模块化格（module-lattice）算法的数字签名标准。 其优势在于，通过将硬件与软件结合用于后量子密码学（PQC）运算，计算速度可比纯软件实现的 PQC 运算快约 17 倍。
 

基于模块格（module-lattice）的算法是格密码学（lattice-based cryptography）的一个分支，能够提供对大规模量子计算机具有抗性的加密技术。 其基础是一种称为数值格（numerical lattice）的数学结构，并通过增强形式提升了计算效率和可扩展性，从而形成模块格（module lattice）。

格密码学（lattice-based cryptography）依赖于两个数学难题的计算复杂性——最短向量问题（SVP）和最近向量问题（CVP）——来确保安全性。 最短向量问题（SVP）涉及在格（lattice）中找到最接近原点的向量，而最近向量问题（CVP）则涉及找到最接近给定点的格点。 这些问题不仅对经典计算机而言难以高效求解，对量子计算机同样具有极高的计算难度。 因此，利用这两个难题可以有效应对未来的安全威胁。
 

S3SSE2A 全方位保护您的安全

如前所述，S3SSE2A 不仅仅是一颗独立的芯片，而是一个涵盖硬件与软件的安全元件（SE）一站式解决方案。 这种集成解决方案是必不可少的，因为黑客攻击通常同时针对硬件和软件，以窃取用户信息。 一个典型例子是旁道攻击（Side Channel Attacks），它通过分析功耗、电磁信号等物理特征来窃取电子签名加密密钥。这种攻击方式常见于物联网（IoT）设备进行用户身份验证时，以及内置集成电路（IC）的电子护照中执行电子签名算法时。 在硬件逆向攻击（Hardware Reverse Attack）中，黑客会对硬件进行解构，以分析其设计、功能和结构，目的是获取加密密钥、专有算法或通往后端服务器的访问路径等敏感信息。 故障注入攻击是当前另一种安全威胁，它通过人为制造系统错误来干扰其正常运行。 此类攻击会引发比特翻转、操作跳过或重复等瞬时错误，并被用于绕过安全机制，从而破坏用于执行安全性的关键数据。

虽然这些攻击手段的存在可能令人担忧，但三星系统LSI的专有防御系统，如 Active Shield 和 S-Laser，专门设计用于抵御此类攻击。
 

如前所述，S3SSE2A 不仅仅是一颗独立的芯片，而是一个涵盖硬件与软件的安全元件（SE）一站式解决方案。 这种集成解决方案是必不可少的，因为黑客攻击通常同时针对硬件和软件，以窃取用户信息。 一个典型例子是旁道攻击（Side Channel Attacks），它通过分析功耗、电磁信号等物理特征来窃取电子签名加密密钥。这种攻击方式常见于物联网（IoT）设备进行用户身份验证时，以及内置集成电路（IC）的电子护照中执行电子签名算法时。 在硬件逆向攻击（Hardware Reverse Attack）中，黑客会对硬件进行解构，以分析其设计、功能和结构，目的是获取加密密钥、专有算法或通往后端服务器的访问路径等敏感信息。 故障注入攻击是当前另一种安全威胁，它通过人为制造系统错误来干扰其正常运行。 此类攻击会引发比特翻转、操作跳过或重复等瞬时错误，并被用于绕过安全机制，从而破坏用于执行安全性的关键数据。

虽然这些攻击手段的存在可能令人担忧，但三星系统LSI的专有防御系统，如 Active Shield 和 S-Laser，专门设计用于抵御此类攻击。

* 呈现的所有图片仅用于展示之目的，与实际产品不一定完全一致。 所有图片均以数字方式编辑、修改或增强。

* 所有产品规格均基于内部测试结果，可能因用户系统配置不同而有所差异。 实际性能可能会因使用条件和环境而有所不同。

_{¹⁾ 量子威胁时间表报告 2023（2024 年 1 月），全球风险研究所（GRI）可访问链接:《量子威胁时间表报告 2023》
²⁾ 在通用准则（Common Criteria，CC）认证这一国际安全标准中，IC 安全认证（EAL 4+ 及以上）要求的最低攻击抵抗时间被规定为一周（168 小时），如果未达到该要求，则表示不符合相应的安全认证级别。
³⁾ 基于 FIPS 204 的 ML_DSA65 签名，纯软件实现的计算时间为 335.97ms，而硬件与软件结合实现的计算时间为 19.02ms（200兆赫兹）。
⁴⁾ Denisa O. C. Greconici、Matthias J. Kannwischer 和 Amber Sprenkels，2021 年。
Cortex-M3 和 Cortex-M4 上的紧凑型 Dilithium 实现 IACR Transactions on Cryptographic Hardware and Embedded Systems, 2021(1):1–24, 2020 年 12 月。}