当前位置：首页 > news >正文

FPGA轻量级NTT故障检测架构设计与实现

news 2026/5/29 1:15:45

1. FPGA轻量级NTT故障检测架构设计背景

在当今量子计算快速发展的时代，后量子密码学(Post-Quantum Cryptography, PQC)已成为信息安全领域的重要研究方向。数论变换(Number Theoretic Transform, NTT)作为众多PQC算法(如Kyber、Dilithium等)的核心运算单元，其硬件实现的安全性直接关系到整个密码系统的可靠性。然而，硬件实现面临着两大主要威胁：

自然故障：随着半导体工艺尺寸的不断缩小，FPGA等硬件设备更容易受到电磁辐射、离子干扰等因素影响，导致计算错误。在28nm及更先进工艺节点中，单个逻辑单元的平均软错误率可达10^-14-10^-15/位/小时，这使得长时间运行的密码硬件面临严峻挑战。

恶意故障注入攻击：攻击者通过精确控制电压、时钟或电磁脉冲等手段，在密码运算关键阶段注入故障，从而破坏算法正常执行流程。据统计，一次成功的故障注入攻击可在毫秒级时间内获取密钥信息，对金融、国防等关键领域构成严重威胁。

传统解决方案如全电路冗余或复杂纠错码虽然能提高可靠性，但往往带来30%以上的面积开销和显著性能下降，难以满足资源受限场景的需求。这促使我们设计一种轻量级、高效率的专用故障检测架构，在保证安全性的同时最小化硬件开销。

2. NTT核心架构与故障模型分析

2.1 NTT硬件组成结构

典型NTT硬件实现包含三个关键子系统：

存储单元：包括存储多项式系数的RAM(随机存取存储器)和存储旋转因子的ROM(只读存储器)。以Kyber-768为例，需要10个RAM模块和1个ROM模块，在256点NTT运算中产生超过49,000次存储访问。
Cooley-Tukey蝶形单元(CT-BU)：执行核心的模乘加运算，其数学表达为：
```
U = α[j + k] V = α[j + k + i/2] × ω mod q
```
其中ω是单位根，q是素数模数。CT-BU占NTT总功耗的60%以上，是故障检测的重点区域。
控制逻辑：协调存储访问和计算流程，包含地址生成、时序控制等模块。

2.2 典型故障模式与攻击场景

通过对主流FPGA平台的实测分析，我们识别出以下高风险故障模式：

CT-BU故障：

瞬态位翻转：主要影响Montgomery模乘器的中间计算结果，在40nm工艺下单个乘法器平均每月可能发生1-2次自然位翻转。
永久性短路/开路：导致运算功能完全失效，在加速老化测试中约0.1%的芯片会出现此类缺陷。

存储子系统故障：

地址总线篡改：攻击者通过时钟毛刺使地址计数器跳变，在实测中仅需5-10次精确注入即可泄露密钥信息。
数据总线干扰：通过电磁探头改变传输中的系数值，错误率可达15-30%。

3. REMO故障检测方法设计

3.1 改进的Montgomery模约减算法

传统Montgomery算法直接计算：

γ = α×β×R^(-1) mod q

其中R=2^l。我们提出的字级改进算法将l位运算分解为w位字级处理(w≤l)，通过以下创新实现故障检测：

双重计算路径：
- 主路径计算常规γi
- 检测路径计算带模偏移的γfi，使用编码输入：
```
awfi = awi + K·q
```
动态比较机制：每w位比较γi与γfi，差异超过阈值即触发警报。

数学上可证明(见引理1)：在无故障情况下，两条路径结果应完全一致。该性质与字长w无关，保证了检测的可靠性。

3.2 硬件架构优化

REMO检测模块包含以下关键优化：

并行计算单元：主路径(γi Gen)使用3个乘法器和2个加法器；检测路径(γfi REMO)增加1个乘法器和1个加法器，总面积开销仅增加16个Slice。
位操作替代复杂运算：
- mod 2^w→ 截取低w位
- /2^w→ 右移w位实测显示这可使关键路径延迟降低42%。
可配置字长w：支持8/16/32位配置，在Artix-7上实测资源占用为：
字长w LUT使用量频率(MHz) 功耗(mW)
8 143 310 2.8
16 167 287 3.1
32 215 254 3.5