×
王天宇;刘跃军;徐军;胡磊;陶、杨;周永斌

具有非亚高斯错误和相关攻击的整数LWE。 (英语) Zbl 1499.94052号

Liu,Joseph K.(编辑)等人,《信息安全》。第24届国际会议,ISC 2021,虚拟活动,2021年11月10日至12日。诉讼程序。查姆:斯普林格。勒克特。注释计算。科学。13118, 3-25 (2021).
摘要:本文主要研究基于格的Fiat-Shamir签名在泄漏场景中的安全性。更具体地说,在没有关于私钥的模块化的情况下,如何在获得大量有噪声的线性方程后恢复完整的私钥。例如,可以在[J.布托等,Lect。注释计算。科学。11272, 494–524 (2018;Zbl 1446.94109号)]通过使用副通道攻击来攻击拒绝采样步骤。本文将从这种结构中恢复秘密向量的数学问题称为ILWE问题,并证明它可以用最小二乘法求解。类似的数学结构已经在[刘彦(Y.Liu)等人,“关于存在随机泄漏时基于格的Fiat-Shamir签名的安全性”,载于:IEEE Trans。Inf.法医安全。16, 1868–1879 (2021;doi:10.1109/TIFS.2020.3045904)]通过在随机性的特定位置泄漏一个比特。
然而,ILWE问题要求误差项是次高斯的,这在实践中并不总是如此。因此,本文通过提出非次高斯ILWE问题,扩展了原始ILWE的问题,证明了它可以通过结合校正因子的最小二乘法求解,并给出了两种攻击场景:比[Liu等人,loc.cit.]中的随机性比特泄漏更低的攻击,以及对随机性的粗心实现攻击。在低比特随机性泄漏的情况下,我们能够通过实验成功地进行攻击,泄漏量比[Liu等人,loc.cit.]中的低2或3比特,而在粗心的实现攻击中,当拒绝采样部分失败时,我们能够成功地恢复私钥。
关于整个系列,请参见[Zbl 1490.68022号].

理学硕士:

94A60型 密码学
94A62型 身份验证、数字签名和秘密共享

关键词:

基于格的密码学;菲亚特·沙米尔签名;ILWE问题;最小二乘法;统计分析

引文:

Zbl 1446.94109号
PDF格式BibTeX公司 XML格式引用
\textit{T.Wang}等人,Lect。注释计算。科学。13118,3--25(2021;Zbl 1499.94052)
全文: 内政部

参考文献:

[1] Bindel,N.等人:qTESLA。提交NIST后量子密码标准化(2017年)。https://tesla.informatik.tu-darmstadt.de/de/tesla网站/
[2] Bleichenbacher,D.:关于DL签名方案中一次性密钥的生成。摘自:IEEE P1363工作组会议上的演讲,第81页(2000)
[3] Boneh,D。;杜菲,G。;Stern,J.,私钥d小于\(N^{0.292}\)的RSA密码分析,密码学进展-EUROCRYPT’99,1-11(1999),海德堡:施普林格·Zbl 0948.94009号 ·doi:10.1007/3-540-48910-X_1
[4] Boneh,D。;R.文卡特桑。;Koblitz,N.,《计算Diffie-Hellman和相关方案中最重要密钥位的困难》,《密码学进展-密码体制’96,129-142(1996)》,海德堡:斯普林格,海德伯格·Zbl 1329.94054号 ·doi:10.1007/3-540-68697-5_11
[5] Bootle,J。;Delaplace,C。;埃斯皮托,T。;福克,P-A;Tibouchi,M。;佩林,T。;Galbraith,S.,《没有模块化简化和改进的针对BLISS的侧通道攻击的LWE》,《密码学进展-亚洲密码》2018,494-524(2018),查姆:斯普林格,查姆·Zbl 1446.94109号 ·doi:10.1007/978-3-030-03326-2_17
[6] De Mulder,E。;Hutter,M。;马萨诸塞州马森;皮尔逊,P。;贝托尼,G。;Coron,J-S,使用Bleichenbacher的隐数解决方案攻击384位ECDSA中的nonce泄漏,加密硬件和嵌入式系统-CHES 2013,435-452(2013),海德堡:斯普林格·doi:10.1007/978-3-642-40349-1_25
[7] 杜卡斯,L。;Durmus,A。;Lepoint,T。;柳巴舍夫斯基,V。;卡内蒂,R。;Garay,JA,《格点签名和双模高斯人》,《密码学进展-密码学》2013,40-56(2013),海德堡:斯普林格,海德伯格·Zbl 1310.94141号 ·doi:10.1007/978-3642-40041-43
[8] Espitau,T.、Fouque,P.A.、Gérard,B.、Tibouchi,M.:对BLISS基于格的签名的边通道攻击:利用分支跟踪来对抗strongswan和微控制器中的电磁辐射。收录于:CCS,第1857-1874页。ACM,纽约(2017)
[9] Groot Bruinderink,L.公司。;Hülsing,A。;兰格,T。;Yarom,Y。;Gierlichs,B。;Poschmann,AY,Flush,gauss,and reload–对BLISS基于格的签名方案的缓存攻击,密码硬件和嵌入式系统-CHES 2016,323-345(2016),海德堡:施普林格,海德伯格·Zbl 1411.94065号 ·doi:10.1007/978-3-662-53140-2_16
[10] 海宁格,N。;沙查姆,H。;Halevi,S.,《从随机密钥位重构RSA私钥》,《密码学进展-密码2009》,1-17(2009),海德堡:斯普林格,海德伯格·Zbl 1252.94072号 ·doi:10.1007/978-3-642-03356-8_1
[11] Howgrave-Graham,NA;数字签名方案的智能、NP、格攻击。代码地穴。,23, 3, 283-290 (2001) ·Zbl 1006.94022号 ·doi:10.1023/A:1011214926272
[12] 徐,D。;卡卡德,SM;Zhang,T.,依赖于内禀维数的随机矩阵和的Tail不等式,Electron。Commun公司。概率。,17, 14, 1-13 (2012) ·Zbl 1243.60007号
[13] 刘,Y。;周,Y。;Sun,S。;Wang,T。;张,R。;Ming,J.,关于存在随机泄漏时基于格的Fiat-Shamir签名的安全性,IEEE Trans。Inf.法医安全。,16, 1868-1879 (2020) ·doi:10.1109/TIFS.2020.3045904
[14] 柳巴舍夫斯基,V。;Pointcheval,D。;Johansson,T.,《无活门的格点签名》,《密码学进展-EUROCRYPT 2012》,738-755(2012),海德堡:斯普林格,海德伯格·Zbl 1295.94111号 ·doi:10.1007/978-3642-29011-443
[15] Lyubashevsky,V.等人:晶体——帝王。提交NIST后量子密码标准化(2017年)。https://pq-crystals.org/dilithium网站
[16] Nguyen,S.,部分已知nonce的数字签名算法的不安全性,J.Cryptol。,15, 3, 151-176 (2002) ·Zbl 1009.94011号 ·文件编号:10.1007/s00145-002-0021-3
[17] 阮,资格预审官;Shparlinski,IE,部分已知nonce的椭圆曲线数字签名算法的不安全性,Des。密码隐秘。,30, 2, 201-217 (2003) ·Zbl 1039.94008号 ·doi:10.1023/A:1025436905711
[18] Pessl,P.,Bruinderink,L.G.,Yarom,Y.:要么成为BLISS-B,要么不是:攻击strongswan的后量子签名实现。收录于:CCS,第1843-1855页。ACM,纽约(2017)
[19] Ravi,P.、Jhanwar,M.P.、Howe,J.、Chattopadhyay,A.、Bhasin,S.:对Dilithium(NIST PQC候选人)的边通道辅助存在伪造攻击。Cryptology ePrint Archive,报告2018/821(2018)。https://eprint.iacr.org/2018/821
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。