索尼娅·贝莱德;文森特·格罗索;弗朗索瓦·萨维耶·斯坦达特 屏蔽和抗泄漏原语:一个、另一个或两个? (英语) Zbl 1365.94401号 加密程序。Commun公司。 7,第1期,163-184(2015). 摘要:保护加密实现免受旁道攻击是现代密码学中最重要的挑战之一。为此引入了许多对策,并在专门的安全模型中进行了分析。还提出了正式的解决方案,以将可证明安全性的保证扩展到物理可观测设备。屏蔽和防泄漏加密可能是这两种方法中研究最多、理解最深的代表。不幸的是,到目前为止,关于其中一种、另一种或它们的组合是否能以更低的成本提供更好的安全性的说法仍然模糊不清。在本文中,我们首次对这一重要问题进行了综合处理。为此,我们分析加密实现是否可以是安全有界的,即最佳副通道攻击的时间复杂度是低有界的(与执行的测量次数无关)。为此,我们首先提出了有状态原语(如泄漏弹性PRG)(易于确保有界安全)和无状态原语,如泄漏弹性的PRF(很难做到)之间的显著区别。然后我们表明,在实践中,当可以实现有界安全时,仅泄漏恢复能力就提供了最佳的安全性与性能权衡,而仅屏蔽是另一种选择的解决方案。也就是说,我们强调一种(x)或另一种方法应该是有特权的,这与通常的直觉相矛盾,即物理安全最好通过组合对策来获得。此外,我们的实验结果表明,尽管定义方式完全相同,但泄漏弹性PRG和PRF中的有界泄漏要求对硬件设计者来说意味着截然不同的挑战。也就是说,对于无状态原语(如PRF),这种有界泄漏比对于有状态原语的(如PRG)更难保证。因此,在相同的有界泄漏假设下证明并用相同的AES实现进行实例化的抗泄漏PRG和PRF的构造可能会导致不同的实际安全级别。 引用于7文件 理学硕士: 94A60型 密码学 关键词:旁道攻击;泄漏恢复力;伪随机数发生器和函数;安全评估 PDF格式BibTeX公司 XML格式引用 \textit{S.Belaíd}等人,Cryptogr。Commun公司。7,第1号,163--184(2015;Zbl 1365.94401) 全文: 内政部 参考文献: [1] Abdalla,M.,Belaíd,S.,Fouque,P.-A.:通过重新键入的抗泄漏对称加密。收录:贝托尼和科隆[4],第471-488页·Zbl 1353.94029号 [2] Belaíd,S.、De Santis,F.、Heyszl,J.、Mangard,S.,Medwed,M.、Schmidt,J.-M.、Standaert,F.-X.、Tillich,S.:使用抗泄漏PRF实现新的密钥更新:密码设计原则和分析。Cryptology ePrint Archive,报告2013/305(2013)。http://eprint.iacr.org/ [3] Bernstein,D.J.:实现“实用的抗泄漏加密”。2012年比利时鲁汶CHES尾声讲座(2012) [4] Bertoni,G.、Coron,J.-S.(编辑):密码硬件和嵌入式系统-CHES 2013-第15届国际研讨会。2013年8月20日至23日,美国加利福尼亚州圣巴巴拉。《计算机科学讲义》第8086卷。施普林格(2013)·兹比尔1269.68018 [5] Chari,S.、Jutla,C.S.、Rao,J.R.、Rohatgi,P.:走向对抗权力分析攻击的合理方法。收录于:维纳[63],第398-412页·Zbl 0942.68045号 [6] Chari,S.、Rao,J.R.、Rohatgi,P.:模板攻击。在:卡利斯基。小B.S.,科奇,圣保罗。K.,Paar,C.(编辑)CHES,《计算机科学讲义》第2523卷,第13-28页。斯普林格(2002)·Zbl 1019.68541号 [7] 通用标准门户。http://www.commoncriteriaportal.org/ [8] Coron,J.-S.,Prouff,E.,Rivain,M.:高阶掩蔽方案的边信道密码分析。收录于:Paillier和Verbauwhede[38]第28-44页·Zbl 1300.94048号 [9] 加密密钥长度建议。http://www.keylength.com网站/ [10] Dodis,Y.,Pietrzak,K.:feistel网络上的抗泄漏伪随机函数和副通道攻击。收录:Rabin,T.(编辑)《密码》,计算机科学讲稿第6223卷,第21-40页。施普林格(2010)·Zbl 1280.94047号 [11] Durvaux,F.,Renauld,M.,Standaert,F.-X.,van Oldeneel tot Oldenzeel,L.,Veyrat-Charvillon,N.:使用隐马尔可夫模型有效地消除嵌入式软件实现中的随机延迟。收录于:Mangard,S.(ed.)CARDIS,《计算机科学讲义》第7771卷,第123-140页。施普林格(2012) [12] Dziembowski,S.,Pietrzak,K.:抗泄漏加密。收录于:FOCS,第293-302页。IEEE计算机学会(2008) [13] Eisenbarth,T.、Gong,Z.、Güneysu,T.,Heyse,S.、Indesteege,S.和Kerckhof,S.,Koeune,F.,Nad,T。收录于:Mitrokotsa,A.,Vaudenay,S.(编辑)AFRICACRYPT,计算机科学讲稿第7374卷,第172-187页。施普林格(2012)·Zbl 1304.94052号 [14] 欧罗巴万事达Visa卡。网址:http://www.emvco.com/ [15] Faust,S.、Pietrzak,K.、Schipper,J.:实用抗泄漏对称加密。收录于:Prouff和Schaumont[46],第213-232页·Zbl 1366.94490号 [16] Fei,Y.,Luo,Q.,Ding,A.A.:具有新算法混淆分析的dpa统计模型。收录于:Prouff和Schaumont[46],第233-250页·Zbl 1366.94491号 [17] Genelle,L.,Prouff,E.,Quiscuter,M.:用加性和乘性掩蔽法进行高阶旁道分析。摘自:Preneel和Takagi[43],第240-255页 [18] Goldreich,O.,Goldwasser,S.,Micali,S.:如何构造随机函数(扩展抽象)。收录于:FOCS,第464-479页,IEEE计算机学会(1984) [19] Goubin,L.,Patarin,J.:Des和差分功率分析(“复制”方法)。地址:Koç,J。K.,Paar,C.(编辑)CHES,《计算机科学讲义》第1717卷,第158-172页。斯普林格(1999)·Zbl 0955.94011号 [20] Grosso,V.,Standaert,F.-X.,Faust,S.:掩蔽与多方计算:AES的差距有多大?收录:贝托尼和科隆[4],第400-416页 [21] Herbst,C.、Oswald,E.、Stefan Mangard:抗功耗分析攻击的AES智能卡实现。在:Zhou,J.,Yung,M.,Bao,F.(编辑)ACNS,《计算机科学讲义》第3989卷,第239-252页(2006年)·Zbl 1151.94517号 [22] Ishai,Y.,Sahai,A.,Wagner,D.:专用电路:保护硬件免受探测攻击。收录于:Boneh,D.(编辑)《密码》,计算机科学讲稿第2729卷,第463-481页。施普林格(2003)·Zbl 1122.94378号 [23] Johansson,T.,Nguyen,P.Q.(编辑):《密码学进展——2013年欧洲密码》,第32届密码技术理论和应用国际年会,希腊雅典,2013年5月26日至30日。《计算机科学讲义》第7881卷会议录。施普林格(2013)·Zbl 1263.94005号 [24] Joux,A.(编辑):《密码学进展-2009年欧洲密码》,第28届密码技术理论与应用国际年会,德国科隆,2009年4月26日至30日。《计算机科学讲义》第5479卷会议录。施普林格(2009)·Zbl 1161.94003号 [25] Katashita,T.、Satoh,A.、Kikuchi,K.、Nakagawa,H.、Aoyagi,M.:板级模拟用sasebo的DPA特性评估。收录:Huss,S.,Schindler,W.(编辑)《2010年COSADE会议记录》,第4页,德国达姆施塔特(2011) [26] Kerckhof,S.、Durvaux,F.、Hocquet,C.、Bol,D.、Standaert,F.-X.:走向绿色加密:从能量角度比较轻量级密码。收录于:Prouff和Schaumont[46],第390-407页·Zbl 1294.94055号 [27] Kocher,P.C.:防泄漏加密索引密钥更新。美国专利6539092 [28] Kocher,P.C.,Jaffe,J.,Jun,B.:差分功率分析。收录于:维纳[68],第388-397页·Zbl 0942.94501号 [29] Mangard,S.:针对DPA的硬件对策?对其有效性的统计分析。收录:Okamoto,T.(编辑)CT-RSA,《计算机科学讲义》第2964卷,第222-235页。斯普林格(2004)·Zbl 1196.94059号 [30] Mangard,S.、Oswald,E.、Popp,T.:功率分析攻击-揭示智能卡的秘密。施普林格(2007)·Zbl 1131.68449号 [31] Mangard,S.,Oswald,E.,Standaert,F.-X.:一对一-一对一:统一标准差分功率分析攻击。IET信息第5(2)节,100-110(2011)·doi:10.1049/iet-ifs.2010.0096 [32] Mangard,S.、Popp,T.、Gammel,B.M.:屏蔽cmos门的侧通道泄漏。收录于:Menezes,A.(编辑)CT-RSA,《计算机科学讲义》第3376卷,第351-365页。斯普林格(2005)·Zbl 1079.94561号 [33] Mangard,S.、Pramstaller,N.、Oswald,E.:成功攻击屏蔽AES硬件实现。收录于:Rao和Sunar[47],第157-171页 [34] Medwed,M.,Standaert,F.-X.,Joux,A.:利用高效的抗泄漏PRF实现超指数旁道安全。收录于:Prouff和Schaumont[46],第193-212页·兹比尔1366.94515 [35] Moradi,A.,Mischke,O.:现代FPGA中屏蔽的无缝隙实现。摘自:《主持人》,第89-95页。IEEE(2012) [36] Moradi,A.,Poschmann,A.,Ling,S.,Paar,C.,Wang,H.:突破极限:AES的一种非常紧凑的阈值实现。收录于:Paterson[39],第69-88页·Zbl 1281.94044号 [37] Oswald,E.,Mangard,S.,Pramstaller,N.,Rijmen,V.:AES S-Box的抗副通道分析描述。收录于:Gilbert,H.,Handschuh,H.(编辑)FSE,计算机科学讲稿第3557卷,第413-423页。斯普林格(2005)·Zbl 1140.94366号 [38] Paillier,P.,Verbauwhede,I.(编辑):密码硬件和嵌入式系统-CHES 2007,第九届国际研讨会。奥地利维也纳,2007年9月10日至13日,《计算机科学讲稿》第4727卷,论文集。施普林格(2007)·Zbl 1143.68315号 [39] Paterson,K.G.(编辑):《密码学进展——2011年欧洲密码》——第30届密码技术理论与应用国际年会。爱沙尼亚塔林,2011年5月15日至19日。《计算机科学讲稿》第6632卷会议录。施普林格(2011)·Zbl 1214.94003号 [40] Peeters,E.,Standaert,F.-X.,Donckers,N.,Quiscuter,J.-J.:通过FPGA实验改进高阶旁道攻击。收录于:Rao和Sunar[47],第309-323页 [41] Pietrzak,K.:一种抗泄漏操作模式。收录于:Joux[24],第462-482页·Zbl 1239.94062号 [42] Popp,T.、Kirschbaum,M.、Zefferer,T、Mangard,S.:原型芯片上屏蔽逻辑样式mdpl的评估。收录于:Paillier和Verbauwhede[38],第81-94页 [43] Preneel,B.,Takagi,T.(编辑):密码硬件和嵌入式系统-CHES 2011-第13届国际研讨会,日本奈良,2011年9月28日至10月1日。《计算机科学讲义》第6917卷会议录。施普林格(2011)·Zbl 1223.68010号 [44] Prouff,E.,Rivain,M.:戴口罩抵御侧通道攻击:正式的安全证明。摘自:Johansson和Nguyen[23],第142-159页·Zbl 1306.94087号 [45] Prouff,E.,Roche,T.:使用安全多方计算协议实现AES的高阶无故障实现。收录于:Preneel和Takagi[43],第63-78页·Zbl 1401.94169号 [46] Prouff,E.,Schaumont,P.:密码硬件和嵌入式系统-CHES 2012-第14届国际研讨会,比利时鲁汶,2012年9月9日至12日。《计算机科学讲义》第7428卷会议录。施普林格(2012)·Zbl 1250.68047号 [47] Rao,J.R.,Berk Sunar(编辑):《密码硬件和嵌入式系统-CHES 2005》,第七届国际研讨会,英国爱丁堡,2005年8月29日至9月1日,《计算机科学讲稿》第3659卷。斯普林格(2005)·兹比尔1141.68326 [48] Regazzoni,F.,Yi,W.,Standaert,F.-X.:针对功率分析攻击屏蔽AES的FPGA实现。收录:Huss,S.,Schindler,W.(编辑)《2011年COSADE会议记录》,第56-66页,德国达姆施塔特(2011) [49] Renauld,M.,Standaert,F.-X.:代数副通道攻击。收录于:Bao,F.,Yung,M.,Lin,D.,Jing,J.(编辑)Inscrypt,计算机科学讲稿第6151卷,第393-410页。施普林格(2009)·Zbl 1281.94050号 [50] Renauld,M.,Standaert,F.-X.,Veyrat-Charvillon,N.:AES的代数副通道攻击:为什么时间在DPA中也很重要。收录于:Clavier,C.,Gaj,K.(编辑)CHES,计算机科学讲稿第5747卷,第97-111页。施普林格(2009)·Zbl 1290.94123号 [51] Renauld,M.、Standaert,F.-X.、Veyrat-Charvillon,N.、Kamel,D.、Flandre,D.:纳米器件功率可变性问题和副通道攻击的正式研究。收录于:Paterson[39],第109-128页·Zbl 1281.94051号 [52] Rivane,M.:关于高斯模型中边信道分析的准确成功率。收录于:Avanzi,R.M.,Keliher,L.,Sica,F.(编辑)《密码学选区》,计算机科学讲稿第5381卷,第165-183页。施普林格(2008)·Zbl 1256.94062号 [53] Rivane,M.,Prouff,E.:AES的高阶掩蔽是安全的。收录于:Mangard,S.,Standaert,F.-X.(编辑)CHES,计算机科学讲稿第6225卷,第413-427页。施普林格(2010)·Zbl 1321.94087号 [54] Roche,T.,Prouff,E.:使用安全多方计算协议扩展版本的AES的高阶无故障实现。加密电子打印档案报告2011/413。http://eprint.iacr.org/ (2011) ·Zbl 1401.94169号 [55] Schramm,K.,Paar,C.:AES的高阶掩蔽。摘自:Pointcheval,D.(编辑)CT-RSA,《计算机科学讲义》第3860卷,第208-225页。施普林格(2006)·Zbl 1125.94330号 [56] Standaert,F.-X.,Malkin,T.,Yung,M.:分析副通道密钥恢复攻击的统一框架。收录于:Joux[24],第443-461页·Zbl 1239.94066号 [57] Standaert,F.-X.,Pereira,O.,Yu,Y.:经验性验证假设下的抗泄漏对称加密。在:Canetti,R.,Garay,J.A.(编辑)CRYPTO(1),《计算机科学讲义》第8042卷,第335-352页。施普林格(2013)·兹比尔1306.94090 [58] Standaert,F.-X.,Pereira,O.,Yu,Y.,Quiscuter,J.-J.,Yung,M.,Oswald,E.:实际中的抗泄漏加密。收录:Sadeghi,A.-R.,Naccache,D.(编辑)《迈向硬件固有安全、信息安全和密码》,第99-134页。施普林格(2010) [59] Standaert,F.-X.、Veyrat-Charvillon,N.、Oswald,E.、Gierlichs,B.、Medwed,M.、Kasper,M.和Mangard,S.:世界还不够:二阶DPA的另一种观点。摘自:Abe,M.(编辑)ASIACRYPT,《计算机科学讲义》第6477卷,第112-129页。施普林格(2010)·Zbl 1290.94132号 [60] Standaert,F.-X.、Veyrat-Charvillon,N.、Oswald,E.、Gierlichs,B.、Medwed,M.、Kasper,M.和Mangard,S.:世界还不够:二阶DPA的另一种观点。加密电子打印档案,2010/180年报告。http://eprint.iacr.org/(2010年)·Zbl 1290.94132号 [61] Veyrat-Charvillon,N.,Gérard,B.,Standaert,F.-X.:超越计算能力的安全评估。收录:Johansson和Nguyen[23],第126-141页·Zbl 1306.94095号 [62] Veyrat-Charvillon,N.,Medwed,M.,Kerckhof,S.,Standaert,F.-X.:对抗副通道攻击的洗牌:一项带有警告注释的综合研究。摘自:Wang,X.,Sako,K.(编辑)ASIACRYPT,计算机科学讲稿第7658卷,第740-757页。施普林格(2012)·Zbl 1292.94146号 [63] Wiener,M.J.(编辑):《密码学进展——99年密码学》,第19届国际密码学年会,美国加利福尼亚州圣巴巴拉,1999年8月15日至19日,《计算机科学学报》第1666卷讲稿。斯普林格(1999)·Zbl 0921.00042号 [64] Yu,Y.,Standaert,F.-X.:具有最小公共随机性的实用抗泄漏伪随机对象。收录:Dawson,E.(编辑)CT-RSA,计算机科学讲稿第7779卷,第223-238页。施普林格(2013)·Zbl 1312.94106号 [65] Yu,Y.,Standaert,F.-X.,Pereira,O.,Yung,M.:实用抗泄漏伪随机生成器。摘自:Al-Shaer,E.,Keromytis,A.D.,Shmatikov,V.(编辑)ACM计算机和通信安全会议,第141-151页。ACM(2010) 此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。