1. 项目概述当后量子密码学遇上RISC-V硬件加速在嵌入式系统和物联网设备中数字签名是确保数据完整性和身份认证的基石。然而随着量子计算从理论走向现实我们熟悉的RSA、ECC等经典公钥密码体系正面临被Shor算法在多项式时间内破解的威胁。这催生了后量子密码学PQC的蓬勃发展其目标是在经典计算机上运行却能抵抗量子计算机攻击的新一代密码算法。NIST美国国家标准与技术研究院的标准化进程正紧锣密鼓地进行但一个普遍的共识是这些“量子安全”的算法其计算开销往往远高于传统方案。以基于编码的签名方案CROSS为例它涉及在有限域上进行海量的向量-矩阵乘法运算。在一次签名生成或验证操作中可能需要执行数亿甚至数十亿条RISC-V指令。对于时钟频率有限、功耗预算紧张的边缘设备而言这几乎是不可承受之重。纯软件实现虽然灵活但效率瓶颈明显。这时硬件/软件协同设计的价值就凸显出来了。我们这次要深入探讨的就是如何为CROSS算法量身打造一个“贴身”的硬件加速器——不是作为一个独立的外设而是作为处理器核心的一部分通过扩展RISC-V指令集实现性能的飞跃。我选择RISC-V架构并非偶然。其开放、可扩展的指令集架构ISA为我们提供了绝佳的画布。与x86或ARM不同我们可以自由地定义新的指令并为其设计专用的执行单元将其紧密耦合到处理器的流水线中。这种“紧耦合”的加速方式避免了传统协处理器或硬件加速引擎带来的数据搬运开销和通信延迟能够实现极高的加速比和能效比。本次实践我将带你从零开始复盘我们如何为CROSS算法设计并实现一个名为“后量子算术逻辑单元Post Quantum ALU”的硬件加速器并将其集成到开源的64位RISC-V处理器CVA6中最终在FPGA上验证其性能与资源开销。2. 核心思路与方案选型为什么是紧耦合的ISA扩展面对CROSS算法的高计算密度加速方案有多种选择。常见的有1使用独立的密码协处理器2设计专用的硬件IP核通过总线如AXI与主处理器通信3采用紧耦合的ISA扩展增加自定义指令。我们需要权衡性能、灵活性、开发复杂度和资源开销。独立的协处理器或硬件IP核方案其优势在于与主处理器解耦设计相对独立。但劣势也很明显每次运算都需要通过总线进行数据搬运这本身就会引入可观的延迟和功耗尤其是对于CROSS中大量、细粒度的向量-矩阵乘操作数据搬运的开销可能抵消掉计算加速的收益。此外这种方案需要复杂的驱动程序和内存管理单元MMU配合软件栈较为厚重。而紧耦合的ISA扩展方案其核心思想是将加速器作为处理器执行单元ALU的一个功能模块。新的自定义指令像普通加减法指令一样直接从处理器的寄存器文件中读取操作数计算结果也直接写回寄存器。整个过程在流水线中完成延迟极低理想情况下单周期完成且对程序员透明通过内联汇编或编译器内置函数即可调用软件集成度极高。这种方案特别适合加速那些操作规整、计算密集但指令本身不太复杂的“计算内核”。通过对CROSS算法进行性能剖析Profiling我们发现超过90%的计算时间都集中在几个核心的向量-矩阵乘法函数上例如fq_vec_by_fq_matrix。这些函数的单次迭代操作非常简单一次乘法、一次加法、两次模约减。操作数来自有限域F127或F509。这种计算模式完美契合紧耦合加速的条件计算密集、操作固定、输入输出规整三个输入一个输出。因此我们决定采用紧耦合RISC-V ISA扩展作为本次硬件加速的核心方案。这意味著我们需要做三件事第一分析算法瓶颈定义新的指令第二设计一个能高效执行这些新指令的硬件功能单元即Post Quantum ALU第三修改CVA6处理器的译码和执行阶段以支持这些新指令。3. 算法瓶颈深度剖析与指令定义在动手设计硬件之前我们必须精确地找到“痛点”。我们使用了一个名为AutoDev的HW/SW协同设计框架在RTL寄存器传输级环境下对运行在CVA6处理器上的CROSS算法进行了仿真。通过插入性能计数器利用RISC-V的RDCYCLE伪指令和更精细的流水线跟踪我们锁定了性能瓶颈。3.1 瓶颈函数识别CROSS算法主要包含三个原语密钥生成、签名生成和签名验证。我们的分析表明密钥生成耗时占比相对较低且并非频繁调用因此优化重点放在签名生成和验证上。经过分析两个函数被确定为关键瓶颈fq_vec_by_fq_matrix 用于RSDP和RSDPG两种版本。其核心是一个嵌套循环计算向量与矩阵的乘积结果在有限域F127或F509上。fz_inf_w_by_fz_matrix 仅用于RSDPG版本。其单次迭代操作与上述函数在F127上的操作完全相同。以RSDP版本的fq_vec_by_fq_matrix为例其单次迭代的C语言描述和对应的硬件友好算法如下// 单次迭代操作 (F127域) // 输入: a, b, c (8-bit, 属于 F127) // 输出: d (a b*c) mod 127 uint8_t iteration_f127(uint8_t a, uint8_t b, uint8_t c) { uint16_t u b * c; // 乘法结果可能超过8位 uint16_t x a u; // 加法 // 模127约减 (利用127是梅森素数 2^7-1 的特性) uint8_t t (x 0x7F) (x 7); uint8_t d (t 0x7F) (t 7); // 注意由于输入a,b,c均小于127且b*c最大为126*12615876 // x最大为1587612616002经过两次上述变换结果d一定小于127。 return d; }这个算法巧妙地利用了127是梅森素数2^7 - 1的性质将昂贵的模运算转换为了廉价的位操作与、移位、加法这为我们后续的硬件实现带来了便利。对于RSDPG版本在F509域上的操作模运算则无法通过这种技巧简化传统的做法是使用除法指令remuw。在RISC-V中除法指令的延迟是不固定的且周期数较多这成为了一个主要的性能瓶颈。3.2 自定义指令设计基于上述分析我们决定创建三条自定义指令来替代这些瓶颈操作。我们选择了RISC-V的CUSTOM_0编码空间操作码0b0001011并使用R-type指令格式。R-type格式包含rs1、rs2、rd三个寄存器操作数和一个funct3/funct7字段用于区分指令。然而我们面临一个挑战瓶颈函数的单次迭代需要三个输入a, b, c但标准的R-type指令只能编码两个源寄存器rs1,rs2。为了解决这个问题我们设计了一个巧妙的“三操作数”模拟方案INSTR_F_127(funct30b000) 执行F127域上的乘-加-模约减操作。它隐式地使用一个存储在处理器执行级专用寄存器中的值作为第三个操作数。INSTR_F_509(funct30b001) 执行F509域上的乘-加-模约减操作。同样隐式使用第三个操作数。CUSTOM_LOAD(funct30b010) 这不是一个计算指令而是一个“加载”指令。它的作用是将rs1寄存器中的值加载到执行级的那个专用寄存器中为后续的INSTR_F_127或INSTR_F_509指令提供第三个操作数。对应的汇编内联使用方式如下// 优化前的嵌套循环 for (i 0; i K; i) { for (j 0; j N-K; j) { result[j] (a[j] b[i] * c[i][j]) mod P; // 瓶颈操作 } } // 优化后的嵌套循环使用自定义指令 for (i 0; i K; i) { // 将内层循环不变的b[i]加载到专用寄存器 asm volatile(.insn r 0x0B, 0x2, x0, %0, x0 :: r(b[i])); // CUSTOM_LOAD for (j 0; j N-K; j) { // 执行单次迭代a[j]来自rs1, c[i][j]来自rs2b[i]来自专用寄存器 asm volatile(.insn r 0x0B, 0x0, %0, %1, %2 : r(result[j]) : r(a[j]), r(c[i][j])); // INSTR_F_127 } }这种设计在保持指令格式简单R-type的同时巧妙地实现了三操作数运算并且减少了在内层循环中反复从寄存器文件或内存中读取b[i]的开销。注意这里使用的.insn汇编器指令允许我们直接通过数字编码嵌入自定义指令而无需修改GCC编译器的后端这大大降低了软件工具链的适配难度。4. 后量子算术逻辑单元Post Quantum ALU的硬件实现定义了指令接下来就需要一个硬件单元来执行它们。这就是我们的核心——Post Quantum ALU。它的设计目标很明确以尽可能低的延迟理想是单周期完成F127和F509域上的乘-加-模约减运算。4.1 整体架构与数据通路Post Quantum ALU是一个纯组合逻辑电路无流水线级以确保单周期完成计算。其顶层模块接口接收三个9位宽的输入为了同时容纳F127的8位值和F509的9位值并产生两个输出一个8位的F127结果和一个16位的F509结果。具体执行哪个域的操作由来自处理器译码阶段的控制信号operator对应funct3选择。数据通路的核心包含乘法器 一个9位 x 9位的无符号乘法器产生最大18位的结果。加法器 一个18位加法器用于将乘法结果与第三个操作数相加。F127约减模块 实现之前提到的针对梅森素数的快速模约减算法两次加法和移位。F509约减模块 实现针对一般素数P509的模约减。这里我们没有使用昂贵的除法器。4.2 F509模约减的优化巴雷特约减算法在F509域上直接使用除法器进行% 509操作在硬件上代价高昂且延迟长。我们采用了巴雷特约减算法这是一种用乘法和移位来近似代替除法的经典方法。对于模数P509我们想计算Z mod P其中Z a b*c P^2在我们的应用中成立。 巴雷特算法的核心是预计算一个常数r floor(4^k / P)其中k是满足2^k P的最小整数。对于P509我们取k9因为2^9512509计算得r floor(2^18 / 509) floor(262144/509) ≈ 515。那么Z mod P可以近似计算为t Z - floor( (Z * r) (2*k) ) * P其中 (2*k)是除以4^k的快速右移操作。对于k9就是右移18位。 计算得到的t值范围在[0, 2P)之间因此可能需要一次最后的修正如果t P, 则t t - P。在我们的硬件中(Z * r) 18可以通过一个乘法器和一个固定位移来实现远比一个通用的除法器高效。整个F509约减通路包含两个乘法器计算Z*r和近似商乘以P、一个减法器和一个最后的条件减法器用于修正。4.3 与CVA6处理器的集成将Post Quantum ALU集成到CVA6处理器中是实现“紧耦合”的关键。我们主要修改了两个阶段译码阶段 扩展了译码逻辑识别我们自定义的CUSTOM_0操作码和特定的funct3值并产生相应的控制信号operator送往执行阶段。执行阶段 这是修改的核心。我们在原有的ALU旁边实例化了Post Quantum ALU模块。操作数传递INSTR_F_127和INSTR_F_509指令的rs1和rs2操作数经过截断取低9位后送入加速器。第三个操作数来源于一个在执行级新增的专用寄存器该寄存器由CUSTOM_LOAD指令写入将rs1的值存入。结果选择 根据operator信号执行级的多路选择器会从原ALU的结果或Post Quantum ALU的F127/F509输出中选择一个写回到目标寄存器rd。专用寄存器 为CUSTOM_LOAD指令引入的专用寄存器是执行级的一部分不属于通用寄存器文件。这意味着中断处理程序中的标准指令不会意外覆盖它保证了上下文的安全性。实操心得在集成时必须仔细分析处理器的前递Forwarding和冒险Hazard逻辑。我们的自定义指令结果在执行阶段末尾产生与原ALU时序一致因此可以复用处理器原有的前递通路将结果及时反馈给后续依赖的指令避免了额外的流水线停顿。这是紧耦合加速器相比松散耦合加速器的一大优势。5. 性能评估与资源开销分析设计完成后我们在Xilinx Zynq UltraScale FPGA平台上对原始的CVA6和集成了Post Quantum ALU的扩展版CVA6进行了综合、实现和仿真以评估其效果。5.1 时序性能提升我们使用相同的仿真环境对比了加速前后CROSS签名生成和验证两个原语所需的时钟周期数。结果令人振奋NIST 安全等级方案变体签名生成周期减少签名验证周期减少Level 1RSDP (Fast)28.8%25.5%Level 3RSDP (Fast)35.4%31.8%Level 5RSDP (Fast)40.0%36.6%Level 5RSDPG (Fast)29.5%32.8%关键发现安全等级越高加速比越显著 这是因为更高级别的安全参数更大的矩阵维度N、K导致瓶颈函数的迭代次数呈平方级增长使得我们加速单次迭代的收益被放大。RSDP版本提升大于RSDPG版本 这是因为RSDP在F127上的模约减位操作在原始软件实现中已经较快而我们的硬件实现将其优化到了极致单周期。而RSDPG在F509上的原始软件实现使用了慢速的除法指令我们的硬件巴雷特约减虽然快但相对于其原始操作的加速倍数不如F127场景那么夸张。签名生成受益更多 签名生成操作通常比验证操作涉及更多次瓶颈函数的调用因此获得的绝对周期节省更多。5.2 资源利用率影响在90MHz的目标时钟频率下我们对FPGA资源的使用情况进行了对比资源类型原始 CVA6扩展 CVA6增量增量百分比查找表 (LUT)28436290766402.25%触发器 (FF)1652416550260.16%DSP 切片2730311.11%结果分析开销极小 Post Quantum ALU本身仅消耗了64个LUT和3个DSP。主要的额外开销来自于集成逻辑修改译码器、增加执行级的多路选择器和控制逻辑、新增专用寄存器等。总体来看LUT和FF的增加百分比都极低2.25%和0.16%。DSP使用合理 11.11%的DSP增长主要来自于F509巴雷特约减中使用的乘法器。在FPGA中乘法器通常被映射到专用的DSP切片上这比用LUT构建要高效得多。考虑到带来的性能提升这个代价是完全可接受的。不影响关键路径 我们对独立的Post Quantum ALU模块进行综合其最高工作频率可达143MHz远高于系统90MHz的作频率。这意味着该加速单元并未成为整个处理器时序的关键路径集成后不会降低处理器的最大可运行频率。5.3 能耗评估功耗分析显示扩展版CVA6的静态功耗与原始版本完全相同0.593W动态功耗仅从0.172W微增至0.180W总功耗从0.765W增至0.773W增幅约1%。结合性能提升数据我们可以计算能量消耗的减少。能量 功耗 × 时间。由于功耗几乎不变而执行时间大幅缩短因此能量节省的比例与时序性能提升的比例基本一致。例如对于NIST-5 RSDP的签名生成周期数减少40%意味着完成该任务所需的能量也减少了约40%。这对于电池供电的嵌入式设备来说意义重大。5.4 性能与DSP开销的权衡我们引入了一个“性能/DSP”指标来量化效率(时序减少百分比) / (DSP增加百分比)。对于NIST-5 RSDP签名生成40.0% / 11.11% ≈ 3.6对于NIST-5 RSDP签名验证36.6% / 11.11% ≈ 3.3该指标远大于1表明我们用少量的专用硬件资源DSP换来了大幅的性能提升设计是高效且划算的。6. 常见问题、调试经验与避坑指南在实际的RTL设计、集成和验证过程中我们遇到了不少挑战也积累了一些宝贵的经验。6.1 指令语义与编译器/模拟器的兼容性问题 最初我们试图修改GCC编译器的后端来直接支持我们的自定义指令例如定义新的__builtin函数。这个过程非常繁琐且容易与编译器优化过程产生冲突。解决方案 采用.insn汇编内联方式。这是RISC-V生态中一种非常灵活且非侵入式的方法。我们只需要在C代码的关键循环中嵌入特定的汇编指令编码无需改动工具链。但这就要求开发者非常清楚指令的二进制编码格式。我们创建了清晰的宏定义来封装这些内联汇编提高了代码可读性。#define CUSTOM_LOAD(val) \ asm volatile (.insn r 0x0B, 0x2, x0, %0, x0 :: r(val)) #define INSTR_F127(rd, rs1, rs2) \ asm volatile (.insn r 0x0B, 0x0, %0, %1, %2 : r(rd) : r(rs1), r(rs2))6.2 处理器流水线冒险的处理问题 紧耦合加速器必须妥善处理数据冒险。例如一条CUSTOM_LOAD指令后面紧跟着一条依赖其结果的INSTR_F_127指令处理器需要能够将刚写入专用寄存器的值前递给下一条指令。解决方案 我们仔细分析了CVA6的前递网络。由于我们的专用寄存器位于执行级且CUSTOM_LOAD指令在执行级末尾写入该寄存器而INSTR_F_127指令在下一个周期进入执行级并读取该寄存器。这里存在一个写后读RAW冒险。我们通过扩展前递逻辑解决了这个问题当检测到INSTR_F_127指令需要读取专用寄存器而前一条指令是CUSTOM_LOAD时直接将CUSTOM_LOAD即将写入的结果来自执行级的结果总线前递给INSTR_F_127的输入而不是读取寄存器文件此时值还未更新。这需要仔细设计执行级内部的数据通路和控制信号。6.3 验证策略与测试向量生成问题 如何确保硬件加速器计算的结果与纯软件实现黄金参考模型完全一致特别是在F509域巴雷特约减是近似算法需要最后的修正步骤。解决方案 我们建立了多层次验证环境。单元测试 用SystemVerilog编写了Post Quantum ALU的测试平台随机生成数百万组(a,b,c)输入用C语言编写的参考模型计算预期结果与硬件仿真输出对比。集成测试 在CVA6的仿真环境中运行完整的CROSS测试程序。将加速后的输出签名与纯软件版本的输出进行逐位比较。我们使用了NIST提供的官方测试向量以及自己生成的大量随机测试向量。形式验证可选但推荐 对于关键模块如F127约减模块我们使用了形式验证工具来证明其与“result (a b*c) % 127”这个数学定义在功能上完全等价确保了硬件实现的正确性。6.4 面积与时序的折衷问题 最初的Post Quantum ALU设计为了追求单周期完成使用了较大的组合逻辑深度特别是在F509的巴雷特约减路径上两个级联的乘法器这可能导致时序紧张成为系统频率的瓶颈。优化 我们对关键路径进行了流水线划分。将F509计算路径拆分为两个流水线级。这意味着INSTR_F_509指令需要两个时钟周期才能完成。虽然这增加了指令延迟但显著提高了最大工作频率。我们需要评估这种改变对整体性能的影响。由于瓶颈函数是嵌套循环且循环体间存在数据依赖增加一周期延迟可能会降低加速比。经过性能建模我们发现将系统频率从90MHz提升到120MHz所带来的收益足以抵消单条指令延迟增加带来的损失整体吞吐量反而更高。这是一个经典的面积-速度-功耗折衷案例需要根据目标平台和约束进行精细调整。7. 总结与展望回顾整个项目从算法剖析、指令定义、硬件设计到集成验证我们成功验证了通过紧耦合RISC-V ISA扩展来加速后量子密码算法的可行性与高效性。针对CROSS签名方案我们实现了高达40%的签名生成加速而硬件资源开销几乎可以忽略不计LUT增加约2%。这为在资源受限的嵌入式设备上部署后量子密码提供了强有力的硬件支持方案。我个人在实际操作中的体会是硬件/软件协同设计的精髓在于“精准打击”。我们不需要用硬件重写整个算法而是通过剖析找到那个占用了绝大部分时间的、规整的“计算内核”然后用最精简的硬件几条自定义指令一个小型功能单元去替换它。RISC-V的开放性使得这种深度定制成为可能。这个方案的美妙之处还在于其可扩展性。我们设计的Post Quantum ALU的HDL代码使用泛型参数如模数P、域宽k这意味着它可以相对容易地被适配到其他基于模运算的后量子密码算法上例如一些格基密码的核心运算也可能从中受益。未来的工作可以沿着几个方向展开一是支持更多的指令例如同时处理多个操作数的SIMD单指令多数据风格指令以进一步挖掘数据级并行性二是探索更先进的微架构优化比如将加速器与处理器的加载/存储单元更紧密地结合以优化对矩阵数据的访问模式三是将这套方法论应用到NIST最终标准化的其他后量子密码算法上构建一个更通用的后量子密码指令集扩展。最后对于想要复现或进行类似开发的工程师我的建议是从 profiling 开始用数据说话。不要凭直觉猜测瓶颈。使用成熟的RISC-V核心如CVA6, Rocket Chip, Ibex作为起点它们通常有良好的可扩展性文档。验证环节要舍得投入时间硬件错误一旦流片代价巨大在仿真阶段就要用海量的测试向量和形式化方法尽可能排除隐患。后量子密码的硬件加速是一个充满机遇的领域而RISC-V为我们提供了实现它的最佳舞台。
RISC-V指令集扩展实现后量子密码CROSS算法硬件加速
1. 项目概述当后量子密码学遇上RISC-V硬件加速在嵌入式系统和物联网设备中数字签名是确保数据完整性和身份认证的基石。然而随着量子计算从理论走向现实我们熟悉的RSA、ECC等经典公钥密码体系正面临被Shor算法在多项式时间内破解的威胁。这催生了后量子密码学PQC的蓬勃发展其目标是在经典计算机上运行却能抵抗量子计算机攻击的新一代密码算法。NIST美国国家标准与技术研究院的标准化进程正紧锣密鼓地进行但一个普遍的共识是这些“量子安全”的算法其计算开销往往远高于传统方案。以基于编码的签名方案CROSS为例它涉及在有限域上进行海量的向量-矩阵乘法运算。在一次签名生成或验证操作中可能需要执行数亿甚至数十亿条RISC-V指令。对于时钟频率有限、功耗预算紧张的边缘设备而言这几乎是不可承受之重。纯软件实现虽然灵活但效率瓶颈明显。这时硬件/软件协同设计的价值就凸显出来了。我们这次要深入探讨的就是如何为CROSS算法量身打造一个“贴身”的硬件加速器——不是作为一个独立的外设而是作为处理器核心的一部分通过扩展RISC-V指令集实现性能的飞跃。我选择RISC-V架构并非偶然。其开放、可扩展的指令集架构ISA为我们提供了绝佳的画布。与x86或ARM不同我们可以自由地定义新的指令并为其设计专用的执行单元将其紧密耦合到处理器的流水线中。这种“紧耦合”的加速方式避免了传统协处理器或硬件加速引擎带来的数据搬运开销和通信延迟能够实现极高的加速比和能效比。本次实践我将带你从零开始复盘我们如何为CROSS算法设计并实现一个名为“后量子算术逻辑单元Post Quantum ALU”的硬件加速器并将其集成到开源的64位RISC-V处理器CVA6中最终在FPGA上验证其性能与资源开销。2. 核心思路与方案选型为什么是紧耦合的ISA扩展面对CROSS算法的高计算密度加速方案有多种选择。常见的有1使用独立的密码协处理器2设计专用的硬件IP核通过总线如AXI与主处理器通信3采用紧耦合的ISA扩展增加自定义指令。我们需要权衡性能、灵活性、开发复杂度和资源开销。独立的协处理器或硬件IP核方案其优势在于与主处理器解耦设计相对独立。但劣势也很明显每次运算都需要通过总线进行数据搬运这本身就会引入可观的延迟和功耗尤其是对于CROSS中大量、细粒度的向量-矩阵乘操作数据搬运的开销可能抵消掉计算加速的收益。此外这种方案需要复杂的驱动程序和内存管理单元MMU配合软件栈较为厚重。而紧耦合的ISA扩展方案其核心思想是将加速器作为处理器执行单元ALU的一个功能模块。新的自定义指令像普通加减法指令一样直接从处理器的寄存器文件中读取操作数计算结果也直接写回寄存器。整个过程在流水线中完成延迟极低理想情况下单周期完成且对程序员透明通过内联汇编或编译器内置函数即可调用软件集成度极高。这种方案特别适合加速那些操作规整、计算密集但指令本身不太复杂的“计算内核”。通过对CROSS算法进行性能剖析Profiling我们发现超过90%的计算时间都集中在几个核心的向量-矩阵乘法函数上例如fq_vec_by_fq_matrix。这些函数的单次迭代操作非常简单一次乘法、一次加法、两次模约减。操作数来自有限域F127或F509。这种计算模式完美契合紧耦合加速的条件计算密集、操作固定、输入输出规整三个输入一个输出。因此我们决定采用紧耦合RISC-V ISA扩展作为本次硬件加速的核心方案。这意味著我们需要做三件事第一分析算法瓶颈定义新的指令第二设计一个能高效执行这些新指令的硬件功能单元即Post Quantum ALU第三修改CVA6处理器的译码和执行阶段以支持这些新指令。3. 算法瓶颈深度剖析与指令定义在动手设计硬件之前我们必须精确地找到“痛点”。我们使用了一个名为AutoDev的HW/SW协同设计框架在RTL寄存器传输级环境下对运行在CVA6处理器上的CROSS算法进行了仿真。通过插入性能计数器利用RISC-V的RDCYCLE伪指令和更精细的流水线跟踪我们锁定了性能瓶颈。3.1 瓶颈函数识别CROSS算法主要包含三个原语密钥生成、签名生成和签名验证。我们的分析表明密钥生成耗时占比相对较低且并非频繁调用因此优化重点放在签名生成和验证上。经过分析两个函数被确定为关键瓶颈fq_vec_by_fq_matrix 用于RSDP和RSDPG两种版本。其核心是一个嵌套循环计算向量与矩阵的乘积结果在有限域F127或F509上。fz_inf_w_by_fz_matrix 仅用于RSDPG版本。其单次迭代操作与上述函数在F127上的操作完全相同。以RSDP版本的fq_vec_by_fq_matrix为例其单次迭代的C语言描述和对应的硬件友好算法如下// 单次迭代操作 (F127域) // 输入: a, b, c (8-bit, 属于 F127) // 输出: d (a b*c) mod 127 uint8_t iteration_f127(uint8_t a, uint8_t b, uint8_t c) { uint16_t u b * c; // 乘法结果可能超过8位 uint16_t x a u; // 加法 // 模127约减 (利用127是梅森素数 2^7-1 的特性) uint8_t t (x 0x7F) (x 7); uint8_t d (t 0x7F) (t 7); // 注意由于输入a,b,c均小于127且b*c最大为126*12615876 // x最大为1587612616002经过两次上述变换结果d一定小于127。 return d; }这个算法巧妙地利用了127是梅森素数2^7 - 1的性质将昂贵的模运算转换为了廉价的位操作与、移位、加法这为我们后续的硬件实现带来了便利。对于RSDPG版本在F509域上的操作模运算则无法通过这种技巧简化传统的做法是使用除法指令remuw。在RISC-V中除法指令的延迟是不固定的且周期数较多这成为了一个主要的性能瓶颈。3.2 自定义指令设计基于上述分析我们决定创建三条自定义指令来替代这些瓶颈操作。我们选择了RISC-V的CUSTOM_0编码空间操作码0b0001011并使用R-type指令格式。R-type格式包含rs1、rs2、rd三个寄存器操作数和一个funct3/funct7字段用于区分指令。然而我们面临一个挑战瓶颈函数的单次迭代需要三个输入a, b, c但标准的R-type指令只能编码两个源寄存器rs1,rs2。为了解决这个问题我们设计了一个巧妙的“三操作数”模拟方案INSTR_F_127(funct30b000) 执行F127域上的乘-加-模约减操作。它隐式地使用一个存储在处理器执行级专用寄存器中的值作为第三个操作数。INSTR_F_509(funct30b001) 执行F509域上的乘-加-模约减操作。同样隐式使用第三个操作数。CUSTOM_LOAD(funct30b010) 这不是一个计算指令而是一个“加载”指令。它的作用是将rs1寄存器中的值加载到执行级的那个专用寄存器中为后续的INSTR_F_127或INSTR_F_509指令提供第三个操作数。对应的汇编内联使用方式如下// 优化前的嵌套循环 for (i 0; i K; i) { for (j 0; j N-K; j) { result[j] (a[j] b[i] * c[i][j]) mod P; // 瓶颈操作 } } // 优化后的嵌套循环使用自定义指令 for (i 0; i K; i) { // 将内层循环不变的b[i]加载到专用寄存器 asm volatile(.insn r 0x0B, 0x2, x0, %0, x0 :: r(b[i])); // CUSTOM_LOAD for (j 0; j N-K; j) { // 执行单次迭代a[j]来自rs1, c[i][j]来自rs2b[i]来自专用寄存器 asm volatile(.insn r 0x0B, 0x0, %0, %1, %2 : r(result[j]) : r(a[j]), r(c[i][j])); // INSTR_F_127 } }这种设计在保持指令格式简单R-type的同时巧妙地实现了三操作数运算并且减少了在内层循环中反复从寄存器文件或内存中读取b[i]的开销。注意这里使用的.insn汇编器指令允许我们直接通过数字编码嵌入自定义指令而无需修改GCC编译器的后端这大大降低了软件工具链的适配难度。4. 后量子算术逻辑单元Post Quantum ALU的硬件实现定义了指令接下来就需要一个硬件单元来执行它们。这就是我们的核心——Post Quantum ALU。它的设计目标很明确以尽可能低的延迟理想是单周期完成F127和F509域上的乘-加-模约减运算。4.1 整体架构与数据通路Post Quantum ALU是一个纯组合逻辑电路无流水线级以确保单周期完成计算。其顶层模块接口接收三个9位宽的输入为了同时容纳F127的8位值和F509的9位值并产生两个输出一个8位的F127结果和一个16位的F509结果。具体执行哪个域的操作由来自处理器译码阶段的控制信号operator对应funct3选择。数据通路的核心包含乘法器 一个9位 x 9位的无符号乘法器产生最大18位的结果。加法器 一个18位加法器用于将乘法结果与第三个操作数相加。F127约减模块 实现之前提到的针对梅森素数的快速模约减算法两次加法和移位。F509约减模块 实现针对一般素数P509的模约减。这里我们没有使用昂贵的除法器。4.2 F509模约减的优化巴雷特约减算法在F509域上直接使用除法器进行% 509操作在硬件上代价高昂且延迟长。我们采用了巴雷特约减算法这是一种用乘法和移位来近似代替除法的经典方法。对于模数P509我们想计算Z mod P其中Z a b*c P^2在我们的应用中成立。 巴雷特算法的核心是预计算一个常数r floor(4^k / P)其中k是满足2^k P的最小整数。对于P509我们取k9因为2^9512509计算得r floor(2^18 / 509) floor(262144/509) ≈ 515。那么Z mod P可以近似计算为t Z - floor( (Z * r) (2*k) ) * P其中 (2*k)是除以4^k的快速右移操作。对于k9就是右移18位。 计算得到的t值范围在[0, 2P)之间因此可能需要一次最后的修正如果t P, 则t t - P。在我们的硬件中(Z * r) 18可以通过一个乘法器和一个固定位移来实现远比一个通用的除法器高效。整个F509约减通路包含两个乘法器计算Z*r和近似商乘以P、一个减法器和一个最后的条件减法器用于修正。4.3 与CVA6处理器的集成将Post Quantum ALU集成到CVA6处理器中是实现“紧耦合”的关键。我们主要修改了两个阶段译码阶段 扩展了译码逻辑识别我们自定义的CUSTOM_0操作码和特定的funct3值并产生相应的控制信号operator送往执行阶段。执行阶段 这是修改的核心。我们在原有的ALU旁边实例化了Post Quantum ALU模块。操作数传递INSTR_F_127和INSTR_F_509指令的rs1和rs2操作数经过截断取低9位后送入加速器。第三个操作数来源于一个在执行级新增的专用寄存器该寄存器由CUSTOM_LOAD指令写入将rs1的值存入。结果选择 根据operator信号执行级的多路选择器会从原ALU的结果或Post Quantum ALU的F127/F509输出中选择一个写回到目标寄存器rd。专用寄存器 为CUSTOM_LOAD指令引入的专用寄存器是执行级的一部分不属于通用寄存器文件。这意味着中断处理程序中的标准指令不会意外覆盖它保证了上下文的安全性。实操心得在集成时必须仔细分析处理器的前递Forwarding和冒险Hazard逻辑。我们的自定义指令结果在执行阶段末尾产生与原ALU时序一致因此可以复用处理器原有的前递通路将结果及时反馈给后续依赖的指令避免了额外的流水线停顿。这是紧耦合加速器相比松散耦合加速器的一大优势。5. 性能评估与资源开销分析设计完成后我们在Xilinx Zynq UltraScale FPGA平台上对原始的CVA6和集成了Post Quantum ALU的扩展版CVA6进行了综合、实现和仿真以评估其效果。5.1 时序性能提升我们使用相同的仿真环境对比了加速前后CROSS签名生成和验证两个原语所需的时钟周期数。结果令人振奋NIST 安全等级方案变体签名生成周期减少签名验证周期减少Level 1RSDP (Fast)28.8%25.5%Level 3RSDP (Fast)35.4%31.8%Level 5RSDP (Fast)40.0%36.6%Level 5RSDPG (Fast)29.5%32.8%关键发现安全等级越高加速比越显著 这是因为更高级别的安全参数更大的矩阵维度N、K导致瓶颈函数的迭代次数呈平方级增长使得我们加速单次迭代的收益被放大。RSDP版本提升大于RSDPG版本 这是因为RSDP在F127上的模约减位操作在原始软件实现中已经较快而我们的硬件实现将其优化到了极致单周期。而RSDPG在F509上的原始软件实现使用了慢速的除法指令我们的硬件巴雷特约减虽然快但相对于其原始操作的加速倍数不如F127场景那么夸张。签名生成受益更多 签名生成操作通常比验证操作涉及更多次瓶颈函数的调用因此获得的绝对周期节省更多。5.2 资源利用率影响在90MHz的目标时钟频率下我们对FPGA资源的使用情况进行了对比资源类型原始 CVA6扩展 CVA6增量增量百分比查找表 (LUT)28436290766402.25%触发器 (FF)1652416550260.16%DSP 切片2730311.11%结果分析开销极小 Post Quantum ALU本身仅消耗了64个LUT和3个DSP。主要的额外开销来自于集成逻辑修改译码器、增加执行级的多路选择器和控制逻辑、新增专用寄存器等。总体来看LUT和FF的增加百分比都极低2.25%和0.16%。DSP使用合理 11.11%的DSP增长主要来自于F509巴雷特约减中使用的乘法器。在FPGA中乘法器通常被映射到专用的DSP切片上这比用LUT构建要高效得多。考虑到带来的性能提升这个代价是完全可接受的。不影响关键路径 我们对独立的Post Quantum ALU模块进行综合其最高工作频率可达143MHz远高于系统90MHz的作频率。这意味着该加速单元并未成为整个处理器时序的关键路径集成后不会降低处理器的最大可运行频率。5.3 能耗评估功耗分析显示扩展版CVA6的静态功耗与原始版本完全相同0.593W动态功耗仅从0.172W微增至0.180W总功耗从0.765W增至0.773W增幅约1%。结合性能提升数据我们可以计算能量消耗的减少。能量 功耗 × 时间。由于功耗几乎不变而执行时间大幅缩短因此能量节省的比例与时序性能提升的比例基本一致。例如对于NIST-5 RSDP的签名生成周期数减少40%意味着完成该任务所需的能量也减少了约40%。这对于电池供电的嵌入式设备来说意义重大。5.4 性能与DSP开销的权衡我们引入了一个“性能/DSP”指标来量化效率(时序减少百分比) / (DSP增加百分比)。对于NIST-5 RSDP签名生成40.0% / 11.11% ≈ 3.6对于NIST-5 RSDP签名验证36.6% / 11.11% ≈ 3.3该指标远大于1表明我们用少量的专用硬件资源DSP换来了大幅的性能提升设计是高效且划算的。6. 常见问题、调试经验与避坑指南在实际的RTL设计、集成和验证过程中我们遇到了不少挑战也积累了一些宝贵的经验。6.1 指令语义与编译器/模拟器的兼容性问题 最初我们试图修改GCC编译器的后端来直接支持我们的自定义指令例如定义新的__builtin函数。这个过程非常繁琐且容易与编译器优化过程产生冲突。解决方案 采用.insn汇编内联方式。这是RISC-V生态中一种非常灵活且非侵入式的方法。我们只需要在C代码的关键循环中嵌入特定的汇编指令编码无需改动工具链。但这就要求开发者非常清楚指令的二进制编码格式。我们创建了清晰的宏定义来封装这些内联汇编提高了代码可读性。#define CUSTOM_LOAD(val) \ asm volatile (.insn r 0x0B, 0x2, x0, %0, x0 :: r(val)) #define INSTR_F127(rd, rs1, rs2) \ asm volatile (.insn r 0x0B, 0x0, %0, %1, %2 : r(rd) : r(rs1), r(rs2))6.2 处理器流水线冒险的处理问题 紧耦合加速器必须妥善处理数据冒险。例如一条CUSTOM_LOAD指令后面紧跟着一条依赖其结果的INSTR_F_127指令处理器需要能够将刚写入专用寄存器的值前递给下一条指令。解决方案 我们仔细分析了CVA6的前递网络。由于我们的专用寄存器位于执行级且CUSTOM_LOAD指令在执行级末尾写入该寄存器而INSTR_F_127指令在下一个周期进入执行级并读取该寄存器。这里存在一个写后读RAW冒险。我们通过扩展前递逻辑解决了这个问题当检测到INSTR_F_127指令需要读取专用寄存器而前一条指令是CUSTOM_LOAD时直接将CUSTOM_LOAD即将写入的结果来自执行级的结果总线前递给INSTR_F_127的输入而不是读取寄存器文件此时值还未更新。这需要仔细设计执行级内部的数据通路和控制信号。6.3 验证策略与测试向量生成问题 如何确保硬件加速器计算的结果与纯软件实现黄金参考模型完全一致特别是在F509域巴雷特约减是近似算法需要最后的修正步骤。解决方案 我们建立了多层次验证环境。单元测试 用SystemVerilog编写了Post Quantum ALU的测试平台随机生成数百万组(a,b,c)输入用C语言编写的参考模型计算预期结果与硬件仿真输出对比。集成测试 在CVA6的仿真环境中运行完整的CROSS测试程序。将加速后的输出签名与纯软件版本的输出进行逐位比较。我们使用了NIST提供的官方测试向量以及自己生成的大量随机测试向量。形式验证可选但推荐 对于关键模块如F127约减模块我们使用了形式验证工具来证明其与“result (a b*c) % 127”这个数学定义在功能上完全等价确保了硬件实现的正确性。6.4 面积与时序的折衷问题 最初的Post Quantum ALU设计为了追求单周期完成使用了较大的组合逻辑深度特别是在F509的巴雷特约减路径上两个级联的乘法器这可能导致时序紧张成为系统频率的瓶颈。优化 我们对关键路径进行了流水线划分。将F509计算路径拆分为两个流水线级。这意味着INSTR_F_509指令需要两个时钟周期才能完成。虽然这增加了指令延迟但显著提高了最大工作频率。我们需要评估这种改变对整体性能的影响。由于瓶颈函数是嵌套循环且循环体间存在数据依赖增加一周期延迟可能会降低加速比。经过性能建模我们发现将系统频率从90MHz提升到120MHz所带来的收益足以抵消单条指令延迟增加带来的损失整体吞吐量反而更高。这是一个经典的面积-速度-功耗折衷案例需要根据目标平台和约束进行精细调整。7. 总结与展望回顾整个项目从算法剖析、指令定义、硬件设计到集成验证我们成功验证了通过紧耦合RISC-V ISA扩展来加速后量子密码算法的可行性与高效性。针对CROSS签名方案我们实现了高达40%的签名生成加速而硬件资源开销几乎可以忽略不计LUT增加约2%。这为在资源受限的嵌入式设备上部署后量子密码提供了强有力的硬件支持方案。我个人在实际操作中的体会是硬件/软件协同设计的精髓在于“精准打击”。我们不需要用硬件重写整个算法而是通过剖析找到那个占用了绝大部分时间的、规整的“计算内核”然后用最精简的硬件几条自定义指令一个小型功能单元去替换它。RISC-V的开放性使得这种深度定制成为可能。这个方案的美妙之处还在于其可扩展性。我们设计的Post Quantum ALU的HDL代码使用泛型参数如模数P、域宽k这意味着它可以相对容易地被适配到其他基于模运算的后量子密码算法上例如一些格基密码的核心运算也可能从中受益。未来的工作可以沿着几个方向展开一是支持更多的指令例如同时处理多个操作数的SIMD单指令多数据风格指令以进一步挖掘数据级并行性二是探索更先进的微架构优化比如将加速器与处理器的加载/存储单元更紧密地结合以优化对矩阵数据的访问模式三是将这套方法论应用到NIST最终标准化的其他后量子密码算法上构建一个更通用的后量子密码指令集扩展。最后对于想要复现或进行类似开发的工程师我的建议是从 profiling 开始用数据说话。不要凭直觉猜测瓶颈。使用成熟的RISC-V核心如CVA6, Rocket Chip, Ibex作为起点它们通常有良好的可扩展性文档。验证环节要舍得投入时间硬件错误一旦流片代价巨大在仿真阶段就要用海量的测试向量和形式化方法尽可能排除隐患。后量子密码的硬件加速是一个充满机遇的领域而RISC-V为我们提供了实现它的最佳舞台。
