Security of currently deployed public key cryptography algorithms is foreseen to be vulnerable against quantum computer attacks. Hence, a community effort exists to develop post-quantum cryptography (PQC) algorithms, i.e., algorithms that are resistant to quantum attacks. In this work, we have investigated how lattice-based candidate algorithms from the NIST PQC standardization competition fare when conceived as hardware accelerators. To achieve this, we have assessed the reference implementations of selected algorithms with the goal of identifying what are their basic building blocks. We assume the hardware accelerators will be implemented in application specific integrated circuit (ASIC) and the targeted technology in our experiments is a commercial 65nm node. In order to estimate the characteristics of each algorithm, we have assessed their memory requirements, use of multipliers, and how each algorithm employs hashing functions. Furthermore, for these building blocks, we have collected area and power figures for 12 candidate algorithms. For memories, we make use of a commercial memory compiler. For logic, we make use of a standard cell library. In order to compare the candidate algorithms fairly, we select a reference frequency of operation of 500MHz. Our results reveal that our area and power numbers are comparable to the state of the art, despite targeting a higher frequency of operation and a higher security level in our experiments. The comprehensive investigation of lattice-based NIST PQC algorithms performed in this paper can be used for guiding ASIC designers when selecting an appropriate algorithm while respecting requirements and design constraints.

中文翻译：

---

基于晶格的 NIST PQC 算法的系统研究：从参考实现到硬件加速器

预计当前部署的公钥密码算法的安全性很容易受到量子计算机攻击。因此，社区努力开发后量子密码术 (PQC) 算法，即抵抗量子攻击的算法。在这项工作中，我们研究了 NIST PQC 标准化竞赛中基于格的候选算法在被视为硬件加速器时的表现。为实现这一目标，我们评估了所选算法的参考实现，目的是确定它们的基本构建块是什么。我们假设硬件加速器将在专用集成电路 (ASIC) 中实现，我们实验中的目标技术是商用 65 纳米节点。为了估计每个算法的特征，我们已经评估了它们的内存要求、乘法器的使用以及每种算法如何使用散列函数。此外，对于这些构建块，我们收集了 12 种候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。乘法器的使用，以及每种算法如何使用散列函数。此外，对于这些构建块，我们收集了 12 种候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。乘法器的使用，以及每种算法如何使用散列函数。此外，对于这些构建块，我们收集了 12 种候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文中对基于格的 NIST PQC 算法的综合研究可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。以及每种算法如何使用散列函数。此外，对于这些构建块，我们收集了 12 种候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。以及每种算法如何使用散列函数。此外，对于这些构建块，我们收集了 12 种候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。我们收集了 12 个候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。我们收集了 12 个候选算法的面积和功率数据。对于内存，我们使用商业内存编译器。对于逻辑，我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。我们使用标准单元库。为了公平地比较候选算法，我们选择了 500MHz 的参考工作频率。我们的结果表明，尽管我们的实验目标是更高的操作频率和更高的安全级别，但我们的面积和功率数字与最先进的技术相当。本文中对基于格的 NIST PQC 算法的综合研究可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。尽管我们的实验目标是更高的操作频率和更高的安全级别。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。尽管我们的实验目标是更高的操作频率和更高的安全级别。本文对基于晶格的 NIST PQC 算法进行了全面调查，可用于指导 ASIC 设计人员选择合适的算法，同时尊重要求和设计约束。