Comparaisons avec les architectures existantes

La comparaison des architectures proposées est faite avec d’autres implantations de fonctions séparées, et une architecture multifonction [55, 56]. (voir le tableau 3.11)

Le but de [55] était d’implanter SHA-256, 384 et 512 dans un unique opérateur avec pour cible le Virtex XCV200. Lors d’un calcul de la fonction SHA-256, la moitié du chemin de donnée (donc du matériel) reste inutilisée. La référence [56] étudie une architecture pipe-line ASIC pour SHA-384/512. Dans les deux travaux, de 16 (pourw = 32 bits) à 32 (pour = 64 bits) cycles sont exigés

pour acquérir et remplir chaque bloc du message avant que ce bloc ne soit haché. À ceci s’ajoute un cycle pour le contrôle. Ces cycles supplémentaires sont évités dans le système proposé ici, qui grâce un traitement « au vol » des données demande 25% de cycles en moins que [56] pour traiter chaque bloc. De plus, grâce au pré-calcul les fréquences d’opération obtenues sont supérieures à celles de [56] et proches de [55], pour un coût matériel très inférieur.

Dans le cas des opérateurs séparés, nous obtenons un débit supérieur aux implantations de [55] de 10 à 18%, avec une réduction de la surface des opérateurs allant de 40 à plus de 45% (nous n’avons pas pris en compte l’opérateur SHA-384). D’autre part, bien que leur débit soit de 8 à 12% inférieur à celui de l’implantation pipe-line de [56], nos opérateurs occupent moins de 45% de sa surface. En conséquence, l’efficacité de nos opérateurs (le ratio débit par tranche) est double. De même, l’opérateur multifonction emploie considérablement moins de ressources que l’ar-chitecture 256/384/512 présentée dans [55], avec 2951 tranches contre 4768 tranches, soit presque 40% plus petit. Du fait de sa fréquence d’opération moindre sur Virtex, notre opérateur multifonc-tion obtient un débit plus faible pour les opéramultifonc-tions 64 bits, avec 320 Mbit/s contre 390 Mbit/s. De même en ne calculant qu’une fonction 32 bits, le débit est de 200 Mbit/s contre 234. Cependant ce débit peut être doublé, soit 400 Mbit/s en faisant calculer deux fonctions 32 bits en parallèle dans le même composant. L’efficacité de notre opérateur est de 2 × 0.068 = 0.136 Mbit/s/tranche en

mode 2×32 bits, ou 0.108 Mbit/s/tranche en mode 64 bits, contre 0.049 et 0.082 Mbit/s/tranche

pour [55], soit presque 40% de mieux pour une seule fonction 32 bits, 177% pour deux fonctions 32 bits concurrentes et plus de 30% pour une fonction 64 bits !

3.7 Conclusion

Dans ce chapitre, nous avons présenté des opérateurs pour la famille SHA-2 qui optimisent l’u-tilisation du chemin de données et éliminent toutes les latences inutiles. L’architecture à plusieurs modes proposée peut exécuter soit une fonction SHA-384 ou SHA-512, ou se comporter comme deux opérateurs indépendants calculant des fonctions SHA-224 ou SHA-256, et ce avec un surcoût matériel minimal. Nous avons démontré l’avantage d’intégrer un mode 32 bits concurrent quand une fonction de hachage 64 bits est requise.

De plus, la nouvelle architecture réalise des performances comparables aux réalisations précé-dentes tout en exigeant beaucoup moins de matériel. Et surtout, les architectures présentées sont plus efficaces vis à vis du rapport débit sur surface.

3.8 Remerciements

Ces travaux ont été en partie financés grâce à l’iCORE (Informatics Circle of Research Excel-lence), le NSERC (Natural Sciences and Engineering Research Council of Canada), le CMC et

3.8 REMERCIEMENTS 115

Conclusion

Les différents travaux réalisés dans le cadre de cette thèse ont permis d’obtenir des implan-tations efficaces d’opérateurs arithmétiques dédiés à des applications spécifiques sur FPGA. Des générateurs automatiques ont été développés qui servent à écrire et valider facilement des opéra-teurs adaptés à de nombreuses cibles et utilisations. Je détaille les résultats pour chaque chapitre, en y ajoutant les perspectives de développements futurs.

Nous avons travaillé sur des opérateurs évaluant un ensemble de fonctions à l’aide d’approx-imations polynomiales. Un algorithme implanté dans un programme C++ de plus de 5000 lignes fournit des approximations avec des coefficients creux et où des puissances sont tronquées pour minimiser leur coût matériel. Un grande partie du matériel est partagée entre l’évaluation des dif-férentes fonctions, ce qui permet d’en faire une solution bien plus intéressante qu’une implantation séparée des opérateurs. Le choix du langage C++ et une optimisation poussée de notre programme rendent possible une exploration vaste de l’espace des paramètres. La version initiale de cette méthode a été présentée lors de la 16ème International Conference on Application-specific Sys-tems, Architectures and Processors (ASAP), à Samos en 2005 [3]. Elle y a remporté le prix du meilleur papier. La méthode de génération des opérateurs spécialisés dans le calcul des puissances utilisés par nos approximations a été présentée lors de la conférence internationaleAdvanced Sig-nal Processing Algorithms, Architectures and Implementations XVI, à San Diego en 2006 [4]. Un article de journal en cours de finalisation présente l’extension de cette méthode décrite dans le premier chapitre. Le programme pour la génération automatique d’opérateurs d’évaluation sera prochainement mis à la disposition de la communauté arithmétique.

Le logicielDivgen, présenté lors de la conférence internationaleAdvanced Signal Processing Algorithms, Architectures and Implementations XV à San Diego en 2005 [5], permet d’obtenir facilement les descriptions VHDL de diviseurs optimisés. Ces diviseurs sont générés pour dif-férents algorithmes et options passés en paramètres. Il s’agit d’un programme C++ de 5000 lignes environ. Une extension vers d’autres fonctions algébriques est implantée (en partie) par un pro-gramme Maple de 2000 lignes environ. Ce propro-gramme permet d’obtenir des opérateurs à récur-rence de chiffres très efficaces grâce à un calcul fin des bornes et des erreurs. En effet, il peut manipuler des termes qu’il est difficile de gérer lors d’une démonstration manuelle. De plus, une étude complète faite à la main pour un jeu de paramètres donné est souvent fastidieuse et sujette à de nombreuses erreurs. La génération automatique de descriptions VHDL d’opérateurs à addi-tions et décalages optimisés et validés numériquement fait donc de ces opérateurs une solution intéressante pour des non spécialistes.

En septembre et octobre 2005, dans le cadre d’une collaboration entre le LIP et le laboratoire ATIPS de l’Université de Calgary, j’ai eu l’occasion de travailler avec Ryan Glabb, alors en thèse à l’ATIPS. Nous avons réalisé une implantation améliorée des fonctions de hachage cryptographique de la norme SHA-2, avec des besoins matériel réduits. Nous proposons aussi une version

fonction-nant à haute fréquence. Finalement nous avons obtenu une architecture multifonction capable de calculer toutes les fonctions de la norme, et se comporter comme deux opérateurs SHA-224 ou SHA-256 indépendants. Cette capacité en fait une solution très intéressante pour une implantation matérielle de la norme. Ces travaux ont donné lieu à un article présenté lors de la2006 International Conference on Engineering of Reconfigurable Systems & Algorithms (ERSA 2006)[6], et à un ar-ticle plus détaillé qui est paru dans le numéro spécialEmbedded Cryptographic Hardware du jour-nal Journal of Systems Architecture cette année [7]. De nombreuses fonctions cryptographiques peuvent bénéficier d’une implantation matérielle dans un opérateur spécialisé. Il est aussi possible de calculer certaines familles de fonctions cryptographiques dans une architecture partagée, avec des performances proches d’implantations séparées, pour un coût matériel bien moindre.

Perspectives

D’ici la fin de l’année, nous pensons mettre en ligne notre programme de génération d’approx-imations polynomiales. Il devrait par la suite être étendu et amélioré pour autoriser d’autres types de schémas d’évaluation, de découpages d’intervalles, et une exploration plus complète de l’espace des paramètres. Un article de journal est en cours de rédaction.

Une nouvelle version du générateurDivgen, étendue à d’autres fonctions calculables par les algorithmes SRT, est en cours d’écriture. Il nous reste à étudier l’effet de certaines techniques d’optimisation, comme le repli des tables ou la saturation. D’autres variations des algorithmes SRT (schémas récursifs, avec prédiction ou par arrondi par exemple) [51] restent à ajouter. Nous comptons aussi adapter ce générateur à des cibles ASIC. Cette extension de l’outilDivgensera présentée en détail dans un rapport de recherche.

J’envisage de partir pour un séjour post-doctoral à l’Université de Calgary au Canada à la fin de ma thèse. J’espère pouvoir mettre à profit mon séjour pour approfondir l’étude d’opérateurs arithmétiques matériels dédiés à la cryptographie, et continuer mes travaux sur les opérateurs SRT.