Hardwérovo akcelerovaná kryptografia

Abstract

Táto dizertačná práca sa zaoberá duálnou výzvou zabezpečenia vysokorýchlostných sietí a prípravy na éru kvantových počítačov. Tradičná softvérová kryptografia zlyháva pri zabezpečení linkových rýchlostí 100 Gbps, zatiaľ čo zavedené algoritmy s verejným kľúčom sú zraniteľné voči kvantovým útokom. Táto práca ako riešenie predstavuje návrh, implementáciu a empirické overenie holistického, hardvérovo akcelerovaného kryptografického systému na programovateľných hradlových poliach (FPGA). Výskum postupoval od základov, počnúc vývojom vysoko optimalizovaných hardvérových primitív vo VHDL (VHSIC Hardware Description Language). Boli vyvinuté vysokovýkonné jadrá pre kvantovo-odolnú šifru AES-256-GCM (Galois-Counter Mode) a nové post-kvantové štandardy Národného inštitútu pre štandardy a technológie (NIST): ML-KEM (CRYSTALS-Kyber) pre zapuzdrenie kľúča a ML-DSA (CRYSTALS-Dilithium) pre digitálne podpisy. Následnou výzvou bola integrácia týchto izolovaných komponentov do súdržnej architektúry. To vyvrcholilo hlavným prínosom dizertácie: holistickým šifrovačom sieťovej premávky. Kľúčovou inováciou systému je sofistikovaný mechanizmus hybridnej správy kľúčov, ktorý bezpečne kombinuje kľúče z klasických (Diffie-Hellmanův protokol s využitím eliptických kriviek - ECDH), post-kvantových (ML-KEM) a kvantových (Kvantová distribúcia kľúčov - QKD) zdrojov na vygenerovanie jediného, robustného relačného kľúča. Pre preukázanie praktickej životaschopnosti bola finálna architektúra implementovaná v dvoch odlišných modeloch: vysokovýkonnej hardvérovej verzii pre sieťové brány a kompatibilnej softvérovej verzii pre menej výkonné koncové zariadenia. Celý systém bol dôsledne overený empirickým testovaním, ktoré zahŕňalo medzinárodný pilotný projekt na veľkú vzdialenosť a vysokorýchlostné laboratórne merania. Tieto testy potvrdili schopnosť hardvéru poskytovať robustné, end-to-end zabezpečenie pri linkových rýchlostiach až do 100 Gbps.

This dissertation confronts the dual challenges of securing high-speed networks and preparing for the quantum computing era. Traditional software cryptography fails to perform at line rates of 100 Gbps, while established public-key algorithms are vulnerable to quantum attacks. This work presents the design, implementation, and empirical validation of a holistic, hardware-accelerated cryptographic system on Field-Programmable Gate Arrays (FPGAs) as a solution. The research progressed from the ground up, beginning with the development of highly-optimized hardware primitives in VHDL (VHSIC Hardware Description Language). High-performance cores were developed for the quantum-resistant AES-256-GCM (Galois-Counter Mode) cipher and the new National Institute of Standards and Technology (NIST) post-quantum standards: ML-KEM (CRYSTALS-Kyber) for key encapsulation and ML-DSA (CRYSTALS-Dilithium) for digital signatures. The subsequent challenge was integrating these isolated components into a cohesive architecture. This culminated in the dissertation's primary contribution: a holistic traffic encryptor. The system's core innovation is a sophisticated hybrid key management mechanism that securely combines keys from classical (Elliptic Curve Diffie-Hellman - ECDH), post-quantum (ML-KEM), and quantum (Quantum Key Distribution - QKD) sources to generate a single, robust session key. To prove its real-world viability, the final architecture was implemented in two distinct models: a high-performance hardware version for network gateways and a compatible software version for less powerful end-devices. The entire system was rigorously validated through empirical testing, which included a long-distance international pilot and high-speed lab benchmarks. These tests confirmed the hardware's ability to provide robust, end-to-end security at line rates up to 100 Gbps.