超椭圆曲线密码学的算术单元和硬件密码处理器"雷恩大学博士学位论文总结

客人姓名姓名职能和执业机构博士学位论文雷恩第一大学COmue U大学 BRETAGNE LOIRE第601章第一次见面数学与信息与通信科学技术专业：计算机科学通过加布里埃尔·加林"用于超椭圆曲线密码学的算术单元和硬件密码处理器"论文于2018年11月29日在雷恩提交并答辩研究单位：IRISA UMR 6074答辩前的报告员：Roselyne CHOTIN-AVOT索邦大学LIP 6 HDR高级讲师Laurent-Stéphane DIDIER教授，土伦大学，IMATH评审团组成：主席：Emmanuel Casseau审查员：Roselyne Chotin-Avot洛朗-斯蒂芬·迪迪尔威廉·马南弗洛朗·伯纳德Dir.论文：阿诺德·蒂瑟兰雷恩大学教授1 - ENSSAT，IRISA HDR讲师，索邦大学，LIP 6教授，土伦大学，IMATH科克大学学院高级讲师Jean Monnet大学实验室讲师。Hubert Curien，CNRS研究总监，Lab-STICCi目录1论文1的引言和背景2关于ECC和HECC13加密系统的提醒2.1导言142.2有限域算术152.3椭圆曲线172.3.1定义172.3.2在E（ADD）20中添加点2.3.3E（DBL）21中的双倍积分2.3.4投影坐标中的ADD和DBL运算212.3.5E22中的标量乘法[ k ] P2.4超椭圆曲线282.4.1定义292.4.2JC..................................................................................... 31中的加法、加倍和标量乘法2.4.3雅可比JC.................................................................. 33的KummerKC曲面上的标量乘法2.5（H）ECC36中的加密协议示例3超线程模块化乘法器（HTMM）393.1导言403.2FPGA41的回顾3.2.1Xilinx 41 FPGA的结构3.2.2可配置逻辑块CLB423.2.3DSP切片和 BRAM443.3模乘法：原理和最新技术水平3.3.1模P47约简算法3.3.2蒙哥马利模乘法483.3.3文献中MMM的变体和实施493.4HTMM 59中的3.4.1HTMM62的操作说明3.5早期版本的128位HTMM [GT17d]623.5.1在128位62中选择s和w参数3.5.2在128位65中选择σ参数3.5.3HTMM65中第一个P的管理3.5.4[ GT17d ] 66的128位HTMM实现结果3.6[WG18a]683.6.1减少块2中DSP切片的693.6.2减少MMM70的延迟ii3.6.3DSP切片配置对 HTMM74性能的影响3.6.4支持在运行时更改第一个P3.6.5HTMM75的验证3.7不同参数753.8FPGA上的实现结果3.9HTMM83的结论和前景3.10 附件：完整植入结果4KHECC93的硬件加速器4.1引言944.2FPGA 95上HECC实现的最新技术水平4.2.1使用超椭圆曲线曲线实现954.2.2使用Kummer曲面（KHECC）实现HECC994.3我们硬件加速器1024.4加速器架构的单元选择和探索4.4.1算术单位的选择1044.4.2控制、存储和通信1064.4.3用于探索体系结构的工具4.5建议的架构1144.5.1A1架构：基本1154.5.2A2架构：CSWAP 116单元的优化4.5.3A3架构：增加算术单元的数量4.5.4A4：集群120体系结构4.6比较和讨论1244.7使用HTMM131 F44B版本的新加速器4.8结论和展望1325第135章个人参考书目137参考书目139iii图表2.1椭圆曲线示例182.2在实数20中定义的椭圆曲线上的点的运算2.3实数30中属2的超椭圆曲线示例2.4超椭圆曲线雅可比线上的点加法3.1Spartan-6 FPGA中接线块的组织423.2Spartan-6 FPGA中的CLB逻辑块423.3Spartan-6 FPGA中逻辑切片的详细信息3.4Spartan-644 FPGA中的DSP 48 A1切片3.5基于DSP切片的35×35位流水线乘法器级联[Xil11]453.6不带最后减法的蒙哥马利模乘法3.7Walter优化的MMM中操作值的大小[Wal99a]503.8MMM52中操作值的CIOS分解说明3.9CIOS53迭代的详细信息3.10 HTMM61的行为说明3.11 [GT17d]63的128位HTMM架构3.12 在[GT17d]66的128位HTMM中存储第一个P3.13 减少HTMM69中DSP切片的数量3.14 [GT18a]70的128位HTMM架构3.15 HTMM 71中减少延迟的影响示例3.16 HTMM发生器及其使用流程3.17 Virtex-4和Virtex-7上128位HTMM的LUT-time折衷3.18 Virtex-7上不同128位乘法器中多个MMM的计算时间 . 803.19 在Virtex-781上将8个MMM调度到不同的128位乘法器中3.20 Virtex-7上不同乘法器的硬件效率示例3.21 在Virtex-4上实现的HTMM的表面-时间折衷3.22 在Virtex-5上实现的HTMM的表面-时间折衷3.23 Spartan-6上HTMM的表面-时间折衷3.24 在Virtex-7上实现的HTMM的表面-时间折衷4.1xDBLADD 101运算中的算术运算4.2架构示意图A1-21154.3CSWAP-v2 117单元的内部操作4.4架构图4.5xDBLADD 121中的算术运算群集4.6Montgomery标度迭代中运算的抽象表示4.7Montgomery量表122迭代中操作的新排序iv4.8蒙哥马利量表122迭代中CSWAP的修改4.9A4 123体系结构中修改的CSWAP操作的内部工作原理4.10 架构图4.11 125种不同FPGA上A1-4架构的表面-时间权衡v图片列表2.1E中不同坐标系的ADD和DBL运算的复杂性。... 222.2不同坐标系下JC中ADD和DBL运算的复杂性。三十三3.1Xilinx43不同FPGA中CLB的组成3.2所用FPGA的DSP片的特性453.3不同内部管道配置的DSP切片频率463.4不同FPGA中BRAM的最大尺寸和宽度473.5[KAK96]57的蒙哥马利乘法变体的成本3.6[ GT17d ] 67的128位HTMM实现结果3.7128位67的[ MLPJ13 ]模乘法器的实现结果3.8来自[ G T18a] 79的最佳HTMM的植入结果3.9Montgomery乘法在最新技术水平中的实现3.10 在Virtex-4上实施HTMM的结果3.11 在Virtex-5上实施HTMM的结果3.12 在Spartan-6上实施HTMM的结果3.13 在Virtex-7上实现HTMM的结果4.1文献中介绍了在FPGA上实现HECC的结果.......................................................................................994.2[ KSHS18 ] 102中KHECC的FPGA实现结果4.3KHECC107架构中的内存配置4.4KHECC 109加密处理器中的指令集4.5KHECC110加速器中的程序示例4.6实施的KHECC架构的特征1144.7 A1架构的实施结果. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...1164.8 A2架构的实施结果. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...1184.9 A3架构的实施结果. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...1204.10 A4架构的实施结果. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...1244.11 为我们的KHECC 127加速器选择最佳的时间-表面折衷4.12 文献中（KH）ECC的FPGA实现结果4.13 使用F44B版本的HTMM131在我们的加速器中计算时间4.14 HTMM 132 F44B版本的KHECC实施结果vii算法列表1低权重的二进制标量乘法232强权重的二进制标量乘法233将正整数转换4NAF表示中的标量乘法，从最高权重255将正整数转换6从高权重26开始的窗口NAF w表示中的标量乘法7使用蒙哥马利标度29对[JY028使用Montgomery 35标度在KummerKC................................................................................................9在K C 35上的标量乘法算法中使用...........................................................................................................10KHECC 36中的Diffie-Hellman密钥交换协议11KHECC37中的数字签名协议（ECDSA）12蒙哥马利模乘法（MMM）4913[DK90]的SOS（独立运算符和扫描），无最终减法5114[KAK96]的CIOS（Coarsely Integrated Operand Scanner），无最终减法5215FIOS（精细集成运算符扫描），来自[KAK96]，无最终减法5416FIPS（精细集成产品扫描），来自[Kal93]，无最终减法5517来自[KAK96]的Coarsely Integrated Hybrid扫描（CIHS），无最终减法5618管道商[Oru95]57的蒙哥马利乘法19HTMM71中用于减少延迟的改进CIOS算法20[RSSB16]100的crypto_scalarmult函数11 论文引言及背景在过去的几年里，数字安全已经成为许多领域的一个主要问题，从军事到银行，从隐私到商业保护。随着可能需要交换潜在敏感信息的应用程序数量的增加，对安全性的需求尤其强烈L’émergence et la multiplication de telles applications a motivé de nombreux états, organismes derecherche除其他外，密码学对应于研究加密加密消息或密码的构造使得没有解密密钥的任何人都无法理解。密码学的对应物是密码分析，它对应于密码学和密码分析与隐写学一起形成了密码学的领域，其加密技术有助于这些不同的特性由国际标准化组织（ISO）在ISO/IEC 27000：2018（en）1中定义— 保密性："不向未经授权的个人、实体或流程传播或披露信息的属性— 完整性："— 真实性："一个实体是它所声称的那个实体的属性— 不可否认性："证明特定事件或行为的发生及其背后实体的能力不同的研究领域值得注意的是，密码学还包括对密钥加密或对称加密有助于确保消息交换期间的机密性它的名字来自于一个密钥同时用于加密和解密的事实此唯一的加密和解密密钥通常称为1. 请参见链接https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:fr（2018年8月2PRVPRVPRVPRVPRV酒吧PRV酒吧PRV酒吧酒吧PRVPRVPRVPRV酒吧PRV酒吧A酒吧术语"密钥"，因为只有密码的发送者和接收者才需要知道它。已知最早使用对称密码学的时间C. 在古埃及从那时起，它就被广泛使用，特别是从20世纪初开始，在两次世界大战和冷战期间，以确保通信的机密最近最著名的对称加密算法包括1977年1月标准化并于1999年10月宣布过时的DES（用于数据加密标准）、1993年设计并由其创建者置于公共领域的Blowfish算法或2001年由美国标准化协会NIST标准化的AES（用于高级加密标准后者仍然是实现对称密码学的软件或硬件的最新标准像Blowfish和AES这样的对称加密算法允许快速、低成本的加密和解密然而，它们的主要缺点是需要以绝对安全的方式共享密钥。事实上，如果未经授权的第三方在其传输期间访问了密钥，则其将能够解密所交换的密码，并且交换的机密性将不再得到保证。从历史上看，已经实施了许多基于使用安全传输信道来交换密钥的方法：例如，通过安全屏蔽箱的物理交换、通过受保护线路的电话交换或通过可信第三方的传输。然而，这两种方法都L’une des évolutions majeures de la cryptographie a eu lieu en 1976 lorsque Diffie et Hellman ontproposé dans [ 一对中的第一个密钥 然而，这个概念被认为是同时发现的默克尔，虽然他的工作Diffie-Hellman密钥交换协议解决了两个实体之间对称消息加密的密钥共享问题。为了交换密钥，Alice和Bob首先选择一个值G，然后从他们的一方抽取一个数字随机数：KA对于Alice和K-B为了鲍勃!这两个数字KABPRV对应于密钥respectives 因此，只有Alice知道kA的值。鲍勃是KB。. 爱丽丝和鲍勃使用特定的f函数分别计算kA=f（G，kA）和kB=f（G，kB），对应于它们各自的公钥。然后他们交换他们的公钥，爱丽丝计算Ks=f（kB）APRVBob计算Ks=f（kA）BPRV）。值K分别由下式获得：Alice和by Bob是相同的，并且对应于共享密钥。所使用的函数f必须是结合的和交换的，也就是说f. f（G，kA）BPRV= f。f（G，kb）prv>>它还必须对于一个不能计算kA的（分别）KB从G和KA开始（分别）KB）以合理的成本，但由于该成本，可以从kA计算Ks和kB和kKK（k）（k）3PRV酒吧酒吧酒吧或kB和KA.第三个人将无法从kA中计算出Ks和kB至少不知道两个秘密密钥。因此，Alice和Bob可以各自生成一对（kprv，kpub），并且公开广播它们各自的公钥kpub在[DH76]中，Diffie和Hellman还证明了在然而，无论是Diffie还是Hellman在[DH76]中，还是Merkle在[Mer78]Rivest、Shamir和Adleman在1977年和1978年的[ RSA77 ]和[ RSA78 ]中首次描述了在这个密码系统中，以RSA命名 单向陷阱函数以其创建者的姓名首字母命名，它是从大整数因式分解的困难数学问题中构造出来的。RSA长期以来一直是标准化机构推荐的加密系统，用于实现密钥交换协议然而，最近在密码分析方面的工作和特别值得注意的是，[LLMP93]。例如，现代RSA实施需要至少2048位的密钥在RSA实施中管理在限制资源使用的同时提高性能在RSA提出近10年后，Miller和Koblitz分别于1985年和1987年在[Mil85]和[Kob87]所使用的陷阱单向函数基于将应该注意的是，ECC并事实上，有趣的是，后者最初被用于密码分析，作为加速大整数因式分解算法的支持，ECC密码系统的鲁棒性依赖于椭圆曲线上的离散对数（ECDLP）的困难数学问题。事实上，到目前为止，还没有一种算法能够在复杂度低于指数的椭圆曲线上计算离散对数。因此，ECC中的密钥和参数大小远远小于RSA中所需的大小例如，因此，ECC允许在能耗和计算性能方面比RSA更高效的软件和硬件实现，同时具有ECC于2000年1月由NIST标准化为FIPS 186-2数字签名（DSS）标准，其最新修订版可在[KG 13]中获得。2006年3月，NIST还2. 一个密码系统的x位理论安全级别表明，从复杂性的角度来看，用已知的最佳算法攻击它相当于一个接一个地测试x位的2 x − 1个可能的密钥。4在SP 800- 56 A中提出了一组用于密钥交换的ECC密码系统本文件的最新版本（日期为2018年4月2005年，美国国家安全局（NSA）宣布发布"B套件"，重新组合了一组推荐的算法来实现加密协议。在本文档中，NSA建议在最后，应该注意的是，自2009年以来，ECC也被用于欧洲生物识别护照中，总是用于建立密钥交换或数字签名协议[13]）。1988年，Koblitz在[Kob88]与ECC一样，HECC中的陷阱函数基于超椭圆曲线可以被看作是椭圆曲线的推广，对于椭圆曲线，标量乘法的计算需要这种表示法使得HECC的标量乘法计算比ECC更复杂然而，它允许在HECC中操作尺寸减半的曲线参数和点的例如，为了实现128位的安全性，ECC密码系统将使用256位的密钥和参数。对于相同级别的安全性，HECC加密系统将使用256位密钥，但仅使用128位参数。L’algorithme 由于后者的复杂性，最初估计HECC与ECC相比没有提供任何性能增益，尽管参数和坐标的大小减小[SSI98，Sma99]。直到21世纪初，特别是兰格在[Lan02]和[Lan05]中发表了新的公式，HECC才被认为是ECC的可行替代例如，Avanzi于2004年在[Ava04]中发布的HECC软件实现的性能接近ECC的性能：对于相同的密钥大小，计算时间相差从那时起，HECC经历了许多发展和改进，包括2007年发表在[Gau07]上的Gaudry的工作，以及Bos等人的于2016年发表于[BCHL16]这项工作为实现高性能的HECC加密系统提供了基础，这些系统可与最先进的ECC实现相媲美特别是，µKummer还使Renes等人能够将小型ATR ATmega微控制器上Diffie-Hellman密钥交换的计算时间减少32%，而不是在该微控制器上实现最佳ECCHECC的不断发展使得其标准化变得困难。因此，在超椭圆曲线和参数的选择足够稳定以用于诸如NIST的标准之前，可能还需要几年的时间。然而，重要的是要注意到，由于最新的技术进步，最近对在HECC的开发上投入额外努力的必要性提出了质疑。5使量子计算机的未来设计成为可能 然后，可以2016年4月，NIST发布了报告[NIS16]，建议参与密码学的研究机构和公司致力于实现基于后量子密码学（PQC）的非对称密码系统因此，该报告认为，提高当前非对称密码系统（如基于椭圆或超椭圆曲线的密码系统）的安全性并不重要：从112位到128位（或更高）的安全性过渡比从现有密码系统到后量子密码系统的过渡更为紧迫。（[NIS16]第6页）尽管NIST对量子计算机的到来感到担忧支持这一观点的第一个论点是，为PQC建立新的标准将需要相当长的时间，在此期间，基于曲线的密码系统仍将被广泛使用，正如Koblitz和Menezes在[ KM15 ]中所阐述的：如果实用量子计算机至少还有15年，甚至可能更长，如果它需要许多年才能开发出来。并测试拟议的PQC系统，就标准达成共识，但这需要很长时间人们会依赖ECC。" L’autre argumenten faveur de la cryptographie sur courbes est que de事实上，根据出于这个原因，如果例如政府或银行），在实践中，它不太可能在不久的将来被用来攻击日常应用。因此，有效ECC和HECC密码系统的设计和论文的背景和目标：HAH项目C’est dans cette optique qu’à été initié en 2014 le projet [该项目的目的是基于对计算该项目于2014年秋季启动，为期在实践中，在使用非对称密码系统的大多数应用中，标量乘法的计算例如，6对于通过对称加密实现安全通信，通常很少执行需要2个标量乘法的Hellman类似地，标量乘法仅代表在建立和验证数字签名时必须执行的因此，为需要大电路面积的标量乘法计算实现硬件加速器似乎是不合理的3，特别是对于电路面积和功耗受到限制的嵌入式因此，为了评估加密处理器的性能在论文过程中，能够修改用于固定元件尺寸的曲线和有限域的参数事实上，HECC目前仍在不断发展，因此很难预测未来几年将使用或标准化为了延长项目中提出的电路的使用寿命，我们必须确保它们能够适应HECC的发展。L’application decorrectifs pour la modification des cryptosystèmes implantés sur FPGA est difficile à mettre enœuvre : un nouveau 此外，出于安全原因，在这意味着在然后，我们选择提出可以在运行时修改曲线和有限域参数的密码处理器L’implantation 例如，Koppermann等人于2018年在[KSHS18]中发表的µKummer的最新FPGA实现中使用了此类算法它们允许后者提供非常快速的密码保护器实现，但仅限于这实现的密码系统还必须能够在本文的背景下，我们讨论了主要旨在解决ECDLP问题的理论攻击Galbraith和Gaudry于2016年发表在[ GG16 ]上的研究详细介绍了ECDLP理论攻击的最新进展然而，还有逻辑攻击依赖于利用加密系统Genkin等人于2017年在[ GVY17 ]中发表了一个使用椭圆曲线Curve25519对Libcrypt库中实现的ECDH密钥交换协议进行逻辑微控制器攻击的示例此攻击包括使用特定值作为标量乘法算法的输入，3. cf. l’implantation ECC de [7私钥位利用微控制器高速缓存中的泄漏信息，作者表明可以通过使用最多11个执行跟踪来执行来我们的HECC FPGA实现不受此类攻击的影响物理攻击需要访问电路，并分为两个不同的基于观察的物理攻击基于对可能发生在诸如能量消耗、电磁辐射或执行时间的物理量的测量中的信息泄漏的这被称为Kocher于1996年在[Koc96]和Kocher等人于1999年在[KJB99]中发表了第一个基于观察的物理攻击。这些出版物标志着密码学的一个重大转折点，表明在物理破坏攻击包括将故障注入到植入的密码系统的电路中，以产生可能泄露秘密信息的泄漏例如，Boneh等人。1997年在[BDL97]中表明，错误注入攻击的另一个例子此攻击旨在通过分析将故障注入电路后的结果的有效性来恢复密钥位。除此之外，它允许论文贡献和手稿组织作为HAH项目的一部分，本文的论文致力于在FPGA上设计、为此，我们首先研究了现有技术中提出的各种HECC密码系统，以及这些密码系统在FPGA上的硬件实现。作为这项研究的结果，我们决定[Ber06]或[PQ12]），用于我们的FPGA实现。这些曲线定义在有限素域上，记为GF（P），对应于模一个大素数P的整数集，即0和P − 1之间的整数集在第2章中，我们回顾了有限域和必要曲线的主要概念。用于 我们还将讨论为我们的实施选择的各种参数和超椭圆曲线，主要来自[ RSSB16 ]的工作。在本章的最后，我们将说明L’utilisation8和GF（P）中的点的坐标。特别地，标量乘法的计算需要计算许多模算术运算：例如加法、减法、乘法和模P的反转。在第二步中，我们感兴趣的是设计特别是，我们致力于为模乘法（A × B）mod P（HECC中最常见和最昂贵的模运算）实现高我们对模乘法计算的算术单位的贡献将在第3章中详细介绍首先，我们将研究和比较用于计算第一个通用P（即-）的模乘法的经典算法。Ad.没有特殊的二进制结构）。我们将借此机会介绍使用这些算法的模乘法器的最佳硬件实现。我们选择在我们的乘法器中实现经典蒙哥马利模乘法算法[Mon 85]的该变体是然而，它会导致严重的数据依赖性，从而在操作员的内部管道中产生"气泡"，即在操作员的内部管道的某些阶段中没有计算有用操作的这些"气泡"降低了为了大大减少它们的数量，我们使用了超线程方法[ KM03 ]，即在多个在我们的超线程模乘法器（HTMM）中，可以同时计算多个独立的模乘法，这使我们能够覆盖由数据依赖性引起的内部延迟本文提出的HTMM经过优化，可有效利用FPGA的资源，并达到接近FPGA最大频率的频率。为了说明我们的单元是如何工作的，我们提供了两个版本的HTMM，用于128位和256位的素数P大小，可用于HECC密码处理器，分别用于256位或512位的密钥大小。我们的HTMM的256位版本也可以集成到在使用256位密钥的ECC密码处理器中。我们的第一个HTMM是在2017年IEEE Asilomar信号、系统和计算机国际会议的[GT17d]中提出的，用于第一个128位冻结位。实现结果表明，对于128位操作数，我们的HTMM比在相同FPGA上实现的最佳最先进乘法器更例如，Xilinx Spartan-6 FPGA上的HTMM使用的DSP切片减少了1.9倍，BRAM和逻辑切片在论文的后期，我们通过对HTMM进行许多改进来补充这些结果：例如，增加了操作频率，减少了DSP切片的数量，减少了单元延迟，并能够在运行这些结果是在HTMM生成器的帮助下获得的在这些新的HTMM已于2018年6月在[GT18a]中提交给IEEE计算机学报。通过对9我们能够提供优化的超线程乘法器，与最先进的乘法器相比，它具有更好的例如，与最先进的256位乘法器相比，我们在Virtex-4 FPGA上实现的最快HTMM使用的逻辑切片减少了2.4倍，DSP切片减少了为了便于将来比较文献中的模块化乘数和我们的超线程模块化乘数，在设计了我们的第一个128位HTMM [GT17d]之后，我们专注于在HECC中实现用于第4章介绍了这些体系结构的设计和验证及其实施结果在本章中，我们将首先研究最先进的HECC密码处理器的硬件实现，其中绝大多数可以追溯到21世纪初，与当前标准（大约80到90位安全）相比，理论上的安全级别太低。然后，我们将回到这些公式由于µKummer的出色结果，我们决定在HECC的硬件实现中使用[RSSB16]的加密系统我们的Kummer-HECC（KHECC）加密处理器基于经典的哈佛架构模型构建为了设计最佳的架构，即实现计算时间和电路面积之间的最佳折衷的架构然而，我们很快意识到，这些参数的多样性意味着要探索和实施大量的加速器规范由于在不同FPGA上实现、验证和评估完整密码处理器的难度和时间因此，我们实施了一个基于事务级建模（TLM）的高级模型，使我们能够在体系结构级别模拟和验证我们的加速器。在这个模型中，我们将其命名为CCABA（临界循环精确位精确），只有在体系结构级别上重要的循环例如，这些周期对应于操作数和结果向单元和从单元的传输，或者对应于控制信号的修改。各种单元已在FPGA上完全实现和验证，因此其行为是众所周知的。因此，在我们的单元中执行的计算是抽象的，这使我们能够简化我们的模型，并我们已经开发了一套这些工具还用于帮助我们它们使我们10用于不同的参数规范：算术单元的类型和数量、内部通信的大小在此探索之后，我们在2017年国际Indocrypt会议上发表的[GCT17]中提出了四种硬件加速器架构，据我们所知，我们基于FPGA的硬件架构是第一个使用超椭圆曲线的Kummer曲面来计算HECC中的标量乘法的架构。[GCT17]中提出的所有架构均已在3种不同FPGA上针对3种不同的内部通信尺寸进行了全面实施、验证和评估因此，我们总共提出了36种加密处理器实现，其中我们能够为每个FPGA选择最佳的计算时间-电路面积折衷方案对于任何曲线和256位密钥，将我们的KHECC加密处理器与最好的ECC加密处理器进行比较，结果表明，在相同的计算时间内，我们的加速器在DSP切片数量上减少了40%，在逻辑切片我们的加速器还通过观察和简单的电路功耗分析（SPA）集成了一定程度的攻击防护最后，我们将在第5章结束这篇论文，这也将使我们能够对论文期间所做的工作的演变和改进提出一些观点