緊湊的Aigis-sig數字簽名方案軟硬件協同實現方法

周朕，何德彪，羅敏，李莉

緊湊的Aigis-sig數字簽名方案軟硬件協同實現方法

周朕1,2，何德彪1,2，羅敏1,2，李莉1,2

（1.空天信息安全與可信計算教育部重點實驗室，湖北 武漢 430072； 2.武漢大學國家網絡安全學院，湖北 武漢 430072）

基于理想格構造的Aigis-sig數字簽名方案具有實現效率高、簽名長度短、抗量子攻擊等優勢。針對Aigis-sig方案，構造了一種改進的模乘計算元件，設計了一種基于快速數論變換（NTT）算法實現環上多項式運算的緊湊硬件架構；同時以此架構為基礎，提出了Aigis-sig數字簽名方案的FPGA軟硬件協同實現方法。實驗表明，在Xilinx Zynq-7000 SoC平臺上，CPU頻率和硬件頻率分別設置為666.66MHz和150MHz時，該實現方案相較于純軟件實現，簽名階段和驗簽階段分別取得約26%和17%的性能提升。

后量子密碼；數字簽名；Aigis-sig；現場可編程邏輯門陣列；快速數論變換

1 引言

隨著量子計算技術的不斷發展與成熟，量子研究學者對可實用量子計算機的研制不斷取得突破性的進展[1]。量子計算機在帶給人們強大算力的同時，也對基于大整數分解、離散對數問題的傳統公鑰密碼體系構成了一定的威脅。Shor等[2]提出了可以在多項式時間內破解大整數分解問題和離散對數問題的量子算法，一旦足夠成熟的量子計算機研制成功并投入使用，傳統的密碼體系將不再能提供安全性保障。因此，學者對新興的后量子密碼產生了濃厚興趣，并積極研究如何構造高效安全可實用的后量子密碼方案。

作為公認可以抵抗量子計算機攻擊的一類密碼算法——后量子密碼的研發是密碼學者應對量子計算威脅的防范措施之一[3]。主流的后量子密碼算法主要包括：格密碼、編碼密碼、哈希密碼、多變量密碼。2012年，美國國家標準技術研究所（NIST，National Institute of Standards and Technology）正式啟動了后量子密碼的研究工作，并于2016年開展全球范圍內的后量子密碼算法標準的征集和篩選[4-6]。截至2020年7月，NIST已經完成了3輪的篩選工作，并確定了7個最終方案和8個候選方案，預計近幾年將最終確認新一代公鑰密碼算法標準。基于格的密碼方案是研究熱度較高的后量子密碼體系之一，這主要是由于格密碼具有實現效率高、密鑰長度較短、允許最壞情況困難假設等優點，除此之外，基于格的密碼方案在同態加密技術領域極具研究價值，可以真正意義上支持全同態的加密算法均為格密碼方案。在NIST后量子密碼標準化進程第3輪的7個最終方案中，有5個方案都屬于格密碼體系。 2019年，中國密碼學會舉辦了全國密碼算法設計競賽[7-8]，公鑰密碼組的參賽方案中包含大量的后量子密碼方案，其中基于格的參賽密碼方案占據了一定的比例，如Aigis-sig/enc、LAC.PKE/KEX、AKCN、Fatseal等[7]。

在基于格的密碼體系中，錯誤學習問題（LWE，learning with error）[9]和小整數解問題（SIS，short integer solution）[10]是密碼學者構造方案時經常涉及和使用的數學困難問題。除此之外，兩類困難問題在環上（RLWE/RSIS，ring-LWE/ ring-SIS）和模格上（MLWE/MSIS，module-LWE/ module-SIS）的版本也受到密碼學者們的廣泛關注，其主要原因是理想格具備一些標準格所不具備的額外代數結構和代數特性，更準確地說，以特定多項式環上的多項式乘法代替大維數的矩陣或向量乘法，可以使環或模格上所構造的密碼方案能夠通過一定的算法技巧實現極大程度的性能改進[11]。在2019年全國密碼算法設計競賽的眾多方案中，如Aigis-sig/enc，LAC.PKE/KEX，AKCN等獲得優秀名次的參賽方案都是在環或模格結構基礎之上所提出的格密碼方案[8]。然而，關于這些優秀方案在不同平臺上的高性能實現方面的研究工作非常少。

本文的主要研究目標在于針對Aigis-sig方案[12]提出FPGA平臺上緊湊高效的軟硬件協同實現方法，該實現方案中的核心工作是構造出一種針對Aigis-sig方案參數選擇的多項式運算硬件實現架構。實驗表明，CPU頻率和硬件頻率分別設置為666.66 MHz和150 MHz時，本文的實現方法相較于同FPGA平臺下的純軟件實現在簽名和驗簽方面分別有26%和17%的提升。

2 研究現狀

基于格的密碼體系是近幾年發展較為迅速、理論較為成熟的后量子密碼體系之一，同時，針對格密碼方案的安全快速實現也是后量子密碼研究人員的關注點之一[13]。對于理想格上密碼方案的高性能實現，研究者的關注點主要集中于多項式乘法的快速實現、特定噪聲分布的安全實現、高速哈希函數實現等方面。其中針對多項式乘法，在特定環上可以采用快速數論變換（NTT，number theoretic transform）方法從算法層面上大幅提升性能。

在軟件實現方面，2015年，De C等[14]提出了一種ARM Cortex-M4F微處理器平臺上基于RLWE公鑰加密方案的快速軟件實現方法；2016年，Yuan等[15]提出了一種格密碼方案的可移植JavaScript實現，該實現方法可以應用于網頁瀏覽器、安卓系統；同年，Stebila等[16]設計了一個名為“開源量子安全”的軟件平臺，該平臺不僅內置了許多格密碼方案的C語言實現，同時還具備將軟件實現整合到實際產品中的功能。

在開源庫方面，NFLlib是針對理想格上多項式運算快速實現的函數庫之一[17]，該庫基于C++語言開發，并且還在不斷地完善；除此之外，微軟公司研發了針對格上BFV和CKKS全同態加密方案的函數庫SEAL[18]，同樣基于C++語言。

在硬件實現方面，G?ttert等[19]于2012年提出了Virtex-7平臺上RLWE加密方案的硬件實現，該硬件架構實現了相當大的數據吞吐量，其運算可以達到數百倍于相應軟件實現的運算速度，同時占用了較大的面積資源；2014年，P?ppelmann等[20]在Spartan-6和Virtex-5系列平臺上設計了一種輕量級格密碼硬件實現引擎，該架構的面積資源消耗非常低，因此在資源較少的嵌入式平臺上有很強的應用價值；針對NTT算法，Roy等[21]在2014年設計了一個非常緊湊的硬件協處理器，該工作對后續許多針對NTT的硬件實現均具有啟發性的指導作用。2019年，Basu等[22]針對NIST第二輪候選方案中的大量后量子方案進行了基于高層次綜合（HLS）方法的硬件實現測試，并提供了性能對比結果；同年，Dang等[23]針對提交到NIST的FrodoKEM、Round5、Saber 3個密鑰封裝方案提出了軟硬件協同實現方法，與純軟件實現相比，性能大幅提升；Banerjee等[24]設計了針對許多格密碼方案的可配置協處理器Sapphier，該協處理器可以高效完成多項式乘法運算與噪聲采樣任務；2020年，Xin等[25]提供了特定域上的向量化處理器，可以支持并行NTT算法和向量式的噪聲采樣，其性能在Sapphier的基礎上提高了一個數量級。

3 背景知識

本節將對Aigis-sig中涉及的相關數學定義、重要算法以及簽名方案流程等進行簡單介紹。

3.1 符號定義

文中主要使用的數字符號及其定義如下。

3.2 多項式環上的加法與乘法

3.3 快速數論變換

算法1 正向NTT算法

2) for=2 to,=2

4) for=0 to/2?1,=+1

5) for=0 to?1,=+

8) end for

10) end for

11) end for

算法2 反向NTT算法

1) for=to 2,=/2

3) for=0 to/2?1,=+1

4) for=0 to?1,=+

7) end for

9) end for

10) end for

3.4 Aigis-sig數字簽名方案

本文中所實現的方案Aigis-sig為Schnorr簽名在格密碼上的延伸。本文主要研究Aigis-sig方案在推薦參數組PARAMS-Ⅱ下的實現，下面給出Aigis-sig方案簡略的流程，更詳細的方案介紹可參考官方設計文檔[12]。參數組PARAMS-Ⅱ的部分參數如表1所示。

表1 參數組PARAMS-Ⅱ的部分參數

密鑰生成算法如下所示。

算法3 密鑰生成算法

輸出 公鑰pk，私鑰sk

算法4 簽名算法

輸入 私鑰sk，消息

驗簽算法如下所示。

算法5 驗簽算法

輸出 簽名驗證結果{合法，不合法}

7) 輸出簽名合法

4 算法設計

本節將對本文所使用的關鍵算法以及相應的設計優化進行介紹。

4.1 模乘

在Aigis-sig方案中，多項式乘法在整體計算開銷中占據了相當大的比重，而Z上的模乘運算是多項式乘法中的重要運算單元，因此，根據硬件的實現特性，對模乘運算進行算法層面上的優化對提高整個簽名方案的實現性能極具幫助。模乘運算可以分為標準數乘和模約減兩個階段，在本文中，標準數乘所對應的比特長度為22，利用模數(=3 870 721)本身的比特分布特點和數學性質，設計了一種針對該模數的改進模乘算法。

對于FPGA上的硬件實現而言，數乘是通過調用平臺內置DSP資源中的乘法器來完成的，而乘法器的比特長度是固定的，對于超過乘法器長度的乘法任務可以通過多個乘法器拼接的方式來實現，但這意味著額外的乘法器用量以及過長的硬件路徑。然而通過采用Karastuba乘法算法，不僅可以從算法層面減少數乘所需要的乘法器數量，而且通過流水線設計，可以將硬件路徑拆分，從而增大硬件模塊所能承受的最大頻率。本文通過采取兩段式的Karastuba算法來實現硬件上的標準數乘，具體算法如下。

算法6 標準數乘算法

通過除法確定商的方式來完成模約減，運算復雜度是除數長度的立方級，因此在實現模約減階段時，通常采用Barret、Montgomery等快速約減算法。這兩種算法會涉及與固定常數相乘的運算操作，對于形式特殊的常數，甚至可以不通過乘法運算而僅通過加法和移位等簡單操作獲得正確結果。本文通過分析模數自身的特性，采用Montgomery算法來實現模約減階段，如算法7所示。

算法7 Montgomery約減算法

4.2 多項式乘法

算法8 本文設計的正向NTT算法

3) for r=2 to,=2

6) for=0 to?1,=+2

13) end for

15) end for

16) end for

算法9 本文設計的反向NTT算法

1) for=to 2,=/2

3) for=0 to/2?1,=+1

4) for=0 to?1,=+2

11) end for

13) end for

14) end for

5 硬件架構設計

本節主要介紹本文設計的基于NTT算法的多項式乘法硬件架構，其主要包括各個硬件組件的設計、功能、組件之間的連接方式以及該硬件架構的調用方法。

5.1 硬件模塊

（1）地址生成模塊

該模塊主要負責生成硬件架構工作時，RAM的讀地址、寫地址序列以及相對應的使能信號序列。

（2）旋轉因子生成模塊

該模塊主要負責生成架構在進行NTT算法時所需要的旋轉因子序列。

（3）運算模塊

該模塊主要負責完成架構工作時待處理數據所需進行的模加、模減、模乘運算以及數據對的調整。

（4）驅動信號分流模塊

該模塊主要負責將總線的驅動信號通過連續寄存的方式分流成其余各模塊需要的驅動信號，以校正各模塊驅動信號的時鐘差。

5.2 地址序列生成

圖1 地址生成方式圖解

Figure 1 Diagram of address generation

5.3 算數模塊

在本文的硬件架構中，算數模塊主要負責完成NTT算法中的蝶形運算以及多項式的逐點乘法和逐點加法，對于NTT算法，該模塊還同時承擔了數據對重排的作用。架構中的模乘元件是其中比較重要的元件，如3.1節所述，本架構中的模乘是通過標準數乘與特殊模數下的Montgomery約減所實現的，但為了進一步提升硬件架構的性能，額外地使用了一些微妙的流水線設計技巧，流水線級數為6。本架構中流水線模乘算法如下所示。

算法10 流水線模乘算法

//第一級

//第二級

//第三級

//第四級

//第五級

//第六級

圖2 NTT數據流向實例

Figure 2 An instance of data flow instance

5.4 旋轉因子生成元件

圖3 旋轉因子生成部分過程（正向階段5）

Figure 3 Partial process of twiddle factor generation (forward stage 5)

表2 正向與反向NTT各階段所需的旋轉因子

5.5 整體架構

在本文中，各個硬件模塊組合成完整的硬件架構之后通過總線協議與平臺上內置的CPU軟核相連接，與之共同完成Aigis-sig方案的軟硬件協同實現。本文的整體硬件架構如圖4所示。

CPU與硬件部分通過總線通信，傳遞內容主要有兩種：一是通過總線將待處理多項式系數數據寫入硬件的RAM中以及將RAM中經過處理的系數數據讀出；二是通過總線向硬件發送相應的驅動信號以及監聽硬件部分拋出的完成信號。架構中的地址生成模塊、旋轉因子生成模塊以及算數模塊均包含有限狀態機（FSM），但均僅包含“空閑”和“工作”兩種狀態，當接收到相應的開始驅動信號時，模塊從“空閑”進入“工作”狀態，完成相應任務，完成之后將自動切換回“空閑”狀態，并由地址生成模塊負責產生完成信號。由于3個FSM之間開始工作的時鐘周期存在一定偏差，因此需要驅動信號分流模塊將總開始信號按照校正值分流出3個開始信號來保證各模塊間的正常運行。

圖4 整體硬件架構

Figure 4 Overall hardware architecture

5.6 架構功能與調用方式

本文的硬件架構中的RAM可以同時存儲4個多項式，分別記為0號、1號、2號、3號位，架構可以完成的所有操作指令主要有以下6種。

（1）寫多項式：向硬件模塊的0號、1號、 2號、3號寫入多項式。

（2）讀多項式：從硬件模塊的0號、1號、 2號、3號讀出多項式。

（3）正向NTT：0號、1號多項式進行正向NTT操作。

（4）反向NTT：2號、3號多項式進行反向NTT操作。

（5）逐點相乘：0號多項式與1號多項式逐點相乘之后存入2號多項式位。

（6）逐點相加：2號多項式與3號多項式逐點相加之后存入3號多項式位。

算法11 多項式向量內積算法

1) 3號多項式位清零

2) for=0 to 3,=+1:

5) 對0號多項式進行正向NTT

6) 對1號多項式進行正向NTT

7) 執行逐點相乘

8) 執行逐點相加

9) end for

10) 對3號多項式進行反向NTT

11) 將3號多項式讀出賦值給

12) 將多項式寫入0號位

13) 將多項式寫入1號位

14) 執行逐點相乘

15) 將2號多項式讀出賦值給

然而，在具體實現Aigis-sig方案中的多項式運算時，并不需要嚴格按照最完整的過程執行所有步驟。例如，矩陣的行向量作為多項式向量內積運算輸入之一，依照方案，該矩陣為隨機矩陣，因而可以直接視為NTT表達形式，不需要額外的正向NTT變換；又如矩陣與向量進行乘法運算時，需要計算次內積，但向量是公共的，因此不需要對其重復執行正向NTT變換。

6 軟硬協同實現

6.1 軟件實現

在本文所描述的實現方法中，軟件部分所使用的C語言程序代碼是Aigis-sig方案設計團隊在全國密碼算法設計競賽中所提交的參考實現代碼的基礎上修改而來的[12]，代碼的修改主要是將一些本文的實驗平臺所不支持的數據結構、函數指令以及外源依賴庫等全部替換為平臺支持且邏輯完全相同的功能實現。修改之后的C程序代碼即本文在實驗階段用于性能對比的純軟件實現代碼。

6.2 協同實現

本文所提出的軟硬件協同實現方法本質上是將純軟件實現中涉及多項式運算的部分由軟件CPU實現轉化為硬件架構實現。平臺內置的CPU為主設備，硬件架構為從設備，軟件部分由CPU獨自實現，硬件部分則是CPU通過相應的總線協議，將待處理數據以及處理指令傳送給硬件架構，從而調用其完成相應的邏輯功能，再將處理完的數據返還給CPU。圖5為純軟件實現與軟硬件協同實現的簡單說明。

圖5 純軟件實現與軟硬件協同實現

Figure 5 Software-only implementation and software/hardware cooperative implementation

7 實驗

7.1 平臺及測試方法

為了更客觀地評估本文所提出的實現方案的性能，采用與同一平臺上的純軟件實現進行對比的方式展示相關數據。本文所使用的FPGA平臺為Xilinx Zynq 7000 Soc XC7Z020-2CLG400I，內置PS端Cortex-A9 ARM 處理器與PL端Artix-7架構可編程邏輯資源，軟件與硬件（PS端與PL端）之間采用AXI總線協議傳遞相關數據。本文的對比實驗包括NTT算法和簽名、驗簽兩個層面，針對NTT算法的性能評估，本文提供一些已存在且性能較優的硬件設計的相關數據，并從硬件面積和時鐘周期消耗數兩個方面進行比較。

7.2 多項式運算性能

對Aigis-sig方案的實現而言，環上多項式乘法的實現效率很大程度上影響整個方案的性能。本文利用NTT算法實現多項式相乘是硬件架構主要實現的功能之一。表3給出了本架構的硬件部分在本文實驗平臺的邏輯資源消耗、時鐘周期、最大頻率等數據，其中資源消耗指標包括查找表（LUT）、數字信號處理器（DSP）、塊存儲器（Bram），同時給出一些具有對比價值的設計成果用于參照。

表3的數據表明，與Roy等在文獻[21]中的設計相比，本文的架構消耗了更多的DSP和LUT資源，最大頻率則大約是文獻[21]的50%～60%，這主要是模數7 681和12 289的比特長度較短，模乘本身復雜度就低，然而本文的架構可以在更少的時鐘周期內完成256次多項式的NTT算法。Feng等在文獻[26]中給出的硬件設計其所需的時鐘周期僅為工作的20%，然而本文的架構所消耗的LUT資源僅相當于文獻[26]的10%左右，對于資源受限的應用設備，本文的硬件架構設備更具優勢。模數僅在Aigis-sig方案中出現，因此目前還沒有模數相同，更具有公平參照價值的現有研究成果用作對比。

在密碼算法方案的軟硬件協同實現方法中，硬件模塊執行相關運算的時間消耗即便是在低時鐘頻率驅動的前提下一般也是非常低的，遠小于將軟核內的待處理數據通信傳輸到硬件模塊，或將硬件模塊中的結果數據返還給CPU軟核所消耗的時間，表4給出了本文的實驗測試結果，可以看出NTT算法硬件執行時間僅占總消耗時間的6.2%左右。正是出于這個原因，本文的實驗架構中才選擇加入了逐點乘和逐點累加的功能，這種方法使在計算多項式向量內積操作時可以節約通信次數，從而提高實現的時間性能。

表3 NTT性能對比（多項式長度n=256）

注：“—”表示無法獲得。

表4 總線通信性能

7.3 數字簽名性能

本文所實現的Aigis-sig方案的參數組為PARAMS Ⅱ，該組參數為推薦參數。表5、表6分別給出了在本文的FPGA平臺上，不同的實現方法中簽名階段和驗簽階段在本架構上實現的時間消耗。除此之外，為了說明本文的硬件架構對方案性能提升的程度，本文也給出了在FPGA平臺上純ARM核實現的時間消耗結果。實驗測試中，軟硬件協同實現和純軟件實現的CPU軟核頻率設置均為666.66 MHz，該設置為本文所使用的開發板推薦的默認設置，同時也是保證程序實現正常運行的最大頻率。在表3中已說明本文的硬件模塊正常運行的最大時鐘頻率為168MHz，因此將硬件架構的時鐘頻率設置為150MHz，即不超過最大頻率前提下，便于平臺晶振準確生成的最大頻率。

表5 簽名階段性能

表6 驗證階段性能

由表5和表6可知，CPU頻率和硬件頻率分別設置為666.66 MHz和150 MHz時，本文設計的硬件架構設計的引入最終使Aigis-sig方案的性能在簽名階段和驗簽階段，相較于同樣平臺下的純ARM核軟件實現，分別取得約26.93%和17.08%的提升。在本文之前尚未有Aigis-sig方案在嵌入式平臺上實現的相關工作發表和展開，因此沒有對比數據，然而單從FF、LUT、DSP、Bram消耗量上來看，本文實現的資源消耗是很少的。

8 結束語

基于理想格構造的密碼方案的快速實現在量子計算機不斷發展的時代背景下具有強大的研究價值和應用前景。本文基于Aigis-sig方案設計了一種多項式運算的緊湊硬件架構，并以此為基礎，提出了FPGA平臺下Aigis-sig方案的軟硬件協同快速實現方法。實驗結果表明，在Xilinx Zynq-7000 SoC平臺上，CPU頻率和硬件頻率分別設置為666.66 MHz和150 MHz時，本實現方法使Aigis-sig的簽名階段和驗簽階段分別取得約26.93%和17.08%的性能提升。

[1] KELLY, J, BARENDS R, FOWLER A G, et al. State preservation by repetitive error detection in a superconducting quantum circuit[J]. Nature, 2015, 519(7541): 66-69.

[2] SHOR P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer[J]. SIAM Review, 1999, 41(2): 303 -332.

[3] 楊妍玲. 后量子密碼在信息安全中的應用與分析[J].信息與電腦(理論版), 2020, 32(8): 177-181.

YANG Y L. Application and analysis of post-quantum cryptography in information security[J]. Information and Computers (Theoretical), 2020, 32(8): 177-181.

[4] CHEN L, JORDAN S, LIU Y K, et al. Report on post-quantum cryptography[M]. Maryland: National Institute of Standards and Technology, 2016.

[5] ALAGIC G, ALPERIN-SHERIFF J, APON D, et al. Status report on the first round of the NIST post-quantum cryptography standardization process[M]. Maryland: National Institute of Standards and Technology, 2019.

[6] ROMA C A, TAI C A, HASAN M A. Energy consumption of round 2 submissions for NIST PQC standards[R]. Maryland: National Institute of Standards and Technology, 2019.

[7] 中國密碼學會. 全國密碼算法設計競賽進入第2輪公鑰算法[EB].

Chinese Association for Cryptologic Research. Public key scheme selected to the second-round competition of national cryptographic algorithm competition[EB].

[8] 中國密碼學會. 關于全國密碼算法設計競賽算法評選結果的公示[EB].

Chinese Association for Cryptologic Research. Announcement of the selection results of the national cryptographic algorithm competition[EB].

[9] REGEV O. On lattices, learning with errors, random linear codes, and Cryptography[J]. Journal of the ACM (JACM), 2009, 56(6): 1-40.

[10] AJTAI M. Generating hard instances of lattice problems[C]//Proceedings of the twenty-eighth annual ACM symposium on Theory of Computing. 1996: 99-108.

[11] LYUBASHEVSKY V, PEIKERT C, REGEV O. On ideal lattices and learning with errors over rings[J]. Journal of the ACM (JACM) 2013, 60(6): 1-35.

[12] 中國密碼學會. 數字簽名方案Aigis-sig算法提交文檔[EB]. Chinese Association for Cryptologic Research. Submitted document of the digital signature scheme Aigis-sig [EB].

[13] NEJATOLLAHI H, DUTT N, RAY S, et al. Software and hardware implementation of lattice-cased cryptography schemes[J]. University of California Irvine, CECSTR 17 4 (2017).

[14] DE C R, ROY S S, VERCAUTEREN F, et al. Efficient software implementation of Ring-LWE encryption[C]//Proceedings of the Design, Automation & Test in Europe Conference & Exhibition (DATE′15). 2015.

[15] YUAN Y J, CHENG C M, KIYOMOTO S, et al. Portable implementation of lattice-based cryptography using JavaScript[J]. International Journal of on Computing and Networking. 2016, 6(3): 309-327.

[16] STEBILA D, MOSCA M. Post-quantum key exchange for the internet and the open quantum safe project[R]. Cryptology ePrint Archive, 2016.

[17] AGUILAR-MELCHOR C, BARRIER J, GUELTON S, et al. NFLlib: NTT-based fast lattice library[C]//RSA Conference. 2016: 341-356.

[18] CHEN H, HAN K, HUANG Z, et al. Simple encrypted arithmetic library - seal (v2.3)[R]. 2017.

[19] G?TTERT N, FELLER T, SCHNEIDER M, et al. On the design of hardware building blocks for modern lattice-based encryption schemes[C]//Proceedings of the International Conference on Cryptographic Hardware and Embedded Systems (CHES′12). 2012.

[20] P?PPELMANN T, GüNEYSU T. Area optimization of lightweight Lattice-based encryption on reconfigurable hardware[C]// Proceedings of the IEEE International Symposium on Circuits and Systems (ISCAS′14). 2014.

[21] ROY S S, VERCAUTEREN F, MENTENS N, et al. Compact ring-LWE cryptoprocessor[C]//Proceedings of the International Conference on Cryptographic Hardware and Embedded Systems (CHES′14). 2014.

[22] BASU K, SONI D, NABEEL M, et al. NIST post-quantum cryptography-a hardware evaluation study[C]//IACR Cryptology ePrint Archive. 2019: 47.

[23] DANG V B, FARAHMAND F, ANDRZEJCZAK M, et al. Implementing and benchmarking three lattice-based post-quantum cryptography algorithms using software/hardware codesign[C]//2019 International Conference on Field-Programmable Technology (ICFPT). 2019: 206-214.

[24] BANERJEE U, UKYAB T S, CHANDRAKASAN A P. Sapphire: a configurable crypto-processor for post-quantum Lattice-based protocols (Extended Version)[C]//IACR Crypto. ePrint Arch. 2019: 1140.

[25] XIN G Z, HAN J, YIN T Y, et al. VPQC: a domain-specific vector processor for post-quantum cryptography based on RISC-V architecture[J]. IEEE Transactions on Circuits and Systems I-regular Papers 2020, 67(8): 2672-2684.

[26] FENG X, LI S G, XU S F. RLWE-oriented high-speed polynomial multiplier utilizing multi-lane stockham NTT algorithm[J]. IEEE Transactions on Circuits and Systems Ⅱ: Express Briefs, 2019, 99: 1.

[27] DU C H, BAI G Q. Towards efficient polynomial multiplication for Lattice-based cryptography[C]//2016 IEEE International Symposium on Circuits and Systems (ISCAS). 2016: 1178-1181.

Compact software/hardware co-design and implementation method of Aigis-sig digital signature scheme

ZHOU Zhen1,2, HE Debiao1,2, LUO Min1,2, LI Li1,2

1. Key Laboratory of Aerospace Information Security and Trusted Computing, Ministry of Education, Wuhan 430072, China 2. China School of Cyber Science and Engineering, Wuhan University, Wuhan 430072, China

Digital signature scheme Aigis-sig, constructed on ideal lattice, takes the advantages of high efficiency, short signature length and resistant to quantum attack, etc. An optimized modular multiplication arithmetic component was constructed and a compact hardware architecture for polynomial operation over a ring based on number theory transformation (NTT) algorithm for Aigis-sig was designed. Besides, based on this architecture, software/hardware co-design and implementation for Aigis-sig scheme on FPGA platform in cryptography was proposed. Experimental results show that the speed of signature phase and verification phase are increased by about 26% and 17% respectively, compared with the pure software implementation on Xilinx Zynq-7000 SoC platform when CPU clock frequency and hardware clock frequency are set as 666.66MHz and 150MHz respectively.

post-quantum cryptography, digital signature, Aigis-sig, FPGA, number theory transformation

TN918

A

10.11959/j.issn.2096?109x.2021026

2020?11?14；

2021?01?09

何德彪，hedebiao@163.com

國家自然科學基金（61972294, 61932016）

TheNational Natural Science Foundation of China (61972294, 61932016)

周朕, 何德彪, 羅敏, 等. 緊湊的Aigis-sig數字簽名方案軟硬件協同實現方法[J]. 網絡與信息安全學報, 2021, 7(2): 64-76.

ZHOU Z, HE D B, LUO M, et al. Compact software/hardware co-design and implementation method of Aigis-sig digital signature scheme[J]. Chinese Journal of Network and Information Security, 2021, 7(2): 64-76.

周朕（1996? ），男，安徽亳州人，武漢大學碩士生，主要研究方向為后量子密碼、密碼算法設計實現。

何德彪（1980? ），男，山東陽谷人，武漢大學教授、博士生導師，主要研究方向為密碼學、區塊鏈安全等。

羅敏（1974? ），男，湖北武漢人，武漢大學副教授，主要研究方向為密碼學、區塊鏈安全等。

李莉（1976? ），女，湖北武漢人，武漢大學副教授，主要研究方向為密碼學、區塊鏈安全等。