×
克莱门·霍夫曼;皮尔里克·梅奥;查尔斯·莫明;Yann Rotella公司;弗朗索瓦·萨维耶·斯坦达特;乌德瓦赫利,巴拉兹

学习线性和二次泄漏函数的物理舍入。 (英语) Zbl 1531.94065号

Handschuh,Helena(编辑)等人,《密码学进展——加密货币2023》。第43届年度国际密码学会议,2023年8月20日至24日,美国加利福尼亚州圣巴巴拉市,CRYPTO 2023。诉讼程序。第三部分查姆:斯普林格。莱克特。注释计算。科学。14083, 410-439 (2023).
摘要:新鲜密钥更新是一种对抗副信道分析的对策,其中临时密钥是使用公共随机值从长期密钥派生而来的。此类方案的常见实例依赖于密钥同构基元,因此重新键入过程很容易被屏蔽,其余的(例如,分组密码)计算可以使用更便宜的对策运行。这些方案安全的主要要求是,临时密钥的泄漏不允许恢复长期密钥。物理取整学习(LWPR)问题在一个实际相关的模型中形式化了这种安全性,在该模型中,对手可以观察到无噪声泄漏。它可以被视为舍入学习(LWR)问题的物理版本,其中舍入是由泄漏函数执行的,因此不必显式计算。在本文中,我们首先巩固了这样一种直觉,即LWPR在没有额外对策(如洗牌)的情况下,在串行实现环境中是不安全的,因为攻击利用了最坏情况下的泄漏,这些泄漏可以以实际的数据复杂性进行安装。然后,我们在并行实现环境中扩展了对LWPR的理解。一方面,我们利用任何(即不仅仅是最坏的情况)泄漏来概括其对密码分析的鲁棒性。之前的一项工作声称在海明重量泄漏函数的特定上下文中是安全的。我们根据泄漏函数的程度及其系数的准确性,阐明了维持这一保证的必要条件。另一方面,我们表明,并行性本质上提供了良好的安全性,可以抵御利用最坏情况泄漏的攻击。我们通过实验验证我们的假设,最终证实了这些发现的实际相关性。
关于整个系列,请参见[Zbl 1529.94006号].

MSC公司:

94A60型 密码学

关键词:

重新键入;汉明重量泄漏函数
PDF格式BibTeX公司 XML格式引用
\textit{C.Hoffmann}等人,Lect。注释计算。科学。14083410-439(2023年;Zbl 1531.94065)
全文: 内政部

参考文献:

[1] 贝拉伊德,S。;科隆,J-S;福克,P-A;杰拉德,B。;Kammerer,J-G;普鲁夫,E。;Güneysu,T。;Handschuh,H.,有限域乘法的改进侧信道分析,密码硬件和嵌入式系统-CHES 2015395-415(2015),海德堡:施普林格,海德堡·Zbl 1380.94073号 ·doi:10.1007/978-3-662-48324-4_20
[2] Brier,E。;Clavier,C。;Olivier,F。;乔伊,M。;Quiscuter,J-J,《泄漏模型的相关功率分析》,《密码硬件和嵌入式系统-CHES 2004》,16-29(2004),海德堡:施普林格出版社·Zbl 1104.68467号 ·doi:10.1007/978-3-540-28632-52
[3] 巴特,G。;杜普索尔,F。;浮士德,S。;格雷戈里,B。;Standaert,F-X;支柱,P-Y;科隆,J-S;Nielsen,JB,掩蔽方案和有界矩泄漏模型的并行实现,密码学进展-EUROCRYPT 2017,535-566(2017),Cham:Springer,Cham·Zbl 1411.94050号 ·doi:10.1007/978-3-319-56620-719
[4] Bos,J.W.等人:《晶体-凯伯:基于CCA安全模数晶格的KEM》。摘自:欧洲标准普尔,第353-367页。IEEE(2018)
[5] 贝拉伊德,S。;福克,P-A;杰拉德,B。;Sarkar,P。;岩田,T.,GF中乘法的边信道分析(2^128),密码学进展-ASIACRYPT 2014,306-325(2014),海德堡:Springer,Heidelberg·Zbl 1317.94083号 ·doi:10.1007/978-3-662-45608-8_17
[6] Bardet,M。;福盖尔,J-C;Salvy,B.,关于F5 gröbner基算法的复杂性,J.Symb。计算。,70, 49-70 (2015) ·Zbl 1328.68319号 ·doi:10.1016/j.jsc.2014.09.025
[7] Brenner,H。;Gaspar,L。;Leurent,G。;Rosen,A。;Standaert,F-X;巴蒂纳,L。;Robshaw,M.,SPRING的FPGA实现,密码硬件和嵌入式系统-CHES 2014,414-432(2014),海德堡:斯普林格·Zbl 1396.94063号 ·doi:10.1007/978-3-662-44709-323
[8] Boneh博士。;伊沙伊,Y。;Passelègue,A。;Sahai,A。;吴,DJ;Beimel,A。;Dziembowski,S.,《探索密码暗物质:新的简单PRF候选者及其应用》,《密码学理论》,699-729(2018),查姆:斯普林格,查姆·Zbl 1430.94059号 ·doi:10.1007/978-3-030-03810-625
[9] 班纳吉,A。;佩克特,C。;Rosen,A。;Pointcheval,D。;Johansson,T.,伪随机函数和格,密码学进展-EUROCRYPT 2012,719-737(2012),海德堡:施普林格·Zbl 1297.68071号 ·doi:10.1007/978-3642-29011-442
[10] Bellizia,D.,Udvarhelyi,B.,Standaert,F.-X.:更好地理解副通道分析测量设置。收录:格罗索,V.,Pöppelmann,T.(编辑)CARDIS。LNCS,第13173卷,第64-79页。查姆施普林格(2021)。doi:10.1007/978-3-030-97348-34
[11] 布拉克斯基,Z。;Vaikuntanathan,V。;Rogaway,P.,《来自环-LWE的完全同态加密与密钥相关消息的安全》,《密码学进展-密码2011》,505-524(2011),海德堡:斯普林格,海德伯格·Zbl 1290.94051号 ·doi:10.1007/978-3-642-22792-9_29
[12] Carlet,C.:密码学和编码理论的布尔函数。剑桥大学出版社(2021)·Zbl 1512.94001号
[13] 科隆,J-S;Giraud,C。;普鲁夫,E。;雷纳,S。;Rivane,M。;瓦德纳拉,PK;辛德勒,W。;Huss,SA,《从一种泄漏模型到另一种泄漏模式的安全证明转换:一个新问题》,《建设性侧通道分析和安全设计》,69-81(2012),海德堡:斯普林格,海德伯格·Zbl 1352.94032号 ·doi:10.1007/978-3-642-29912-4_6
[14] 现金,D。;Hofheinz,D。;基尔茨,E。;佩克特,C。;Gilbert,H.,《盆景树,或如何委托格基》,密码学进展-EUROCRYPT 2010,523-552(2010),海德堡:施普林格,海德堡·Zbl 1280.94043号 ·doi:10.1007/978-3642-13190-5_27
[15] Cosseron,O.,Hoffmann,C.,Méaux,P.,Standaert,F.-X.:走向案例优化混合同态加密——以伊丽莎白流密码为特色。收录:Agrawal,S.,Lin,D.(编辑)《亚洲学报》(3)。LNCS,第13793卷,第32-67页。查姆施普林格(2022)。doi:10.1007/978-3-031-22969-5_2·Zbl 1519.94093号
[16] Courtois,N.T.:高阶相关攻击、XL算法和Toyocrypt的密码分析。收录人:Lee,P.J.,Lim,C.H.(编辑)信息安全与密码学-ICISC 2002,第五届国际会议,韩国首尔,2002年11月28日至29日,修订论文。LNCS,第2587卷,第182-199页。斯普林格,海德堡(2002)。数字对象标识代码:10.1007/3-540-36552-4_13·Zbl 1031.94515号
[17] 查里,S。;Rao,JR;罗哈吉,P。;Kaliski,理学学士;科索,K。;Paar,C.,模板攻击,密码硬件和嵌入式系统-CHES 2002,13-28(2003),海德堡:施普林格·Zbl 1019.68541号 ·doi:10.1007/3-540-36400-53
[18] Cassiers,G。;Standaert,F-X,用探针隔离非干扰,IEEE Trans。Inf.法医安全。,15, 2542-2555 (2020) ·doi:10.1109/TIFS.2020.2971153
[19] Cassiers,G。;Standaert,F-X,在过渡和故障探测模型中显著保护硬件屏蔽:比抱歉更安全,IACR Trans。加密程序。哈德。嵌入。系统。,2021, 2, 136-158 (2021) ·doi:10.46586/tches.v2021.22.136-158
[20] Dziembowski,S。;浮士德,S。;Herold,G。;Journault,A。;Masny,D。;Standaert,F-X;Robshaw,M。;Katz,J.,《面对困难(物理)学习问题的全新语音更新》,《密码学进展-密码2016》,272-301(2016),海德堡:斯普林格,海德伯格·Zbl 1391.94746号 ·doi:10.1007/978-3-662-53008-5_10
[21] Dinur,我。;马尔金,T。;Peikert,C.,《基于交替模的MPC友好对称加密:候选、协议和应用》,《密码学进展-密码2021》,517-547(2021),查姆:斯普林格,查姆·Zbl 1489.94095号 ·doi:10.1007/978-3-030-84259-818
[22] Ducas,L.,Crystals-Duthium:一种基于格的数字签名方案,IACR Trans。加密程序。哈德。嵌入。系统。,2018, 1, 238-268 (2018) ·doi:10.46856/tches.v2018.i1.238-268
[23] Duval,S。;梅奥,P。;莫明,C。;Standaert,F-X,《探索加密物理暗物质并通过物理取整学习以实现安全高效的新密钥更新》,IACR Trans。加密程序。哈德。嵌入。系统。,2021, 1, 373-401 (2021)
[24] Faugère,J.-C.:计算Groebner基的一种新的高效算法。J.纯应用。代数,61-88(1999)·Zbl 0930.68174号
[25] Faugère,J.C.:一种计算Gröbner基的新高效算法,无需将其归零(F5)。摘自:2002年符号和代数计算国际研讨会论文集,ISSAC 2002,第75-83页(2002)·Zbl 1072.68664号
[26] Gentry,C.:使用理想格的完全同态加密。收录于:STOC,第169-178页。ACM(2009)·Zbl 1304.94059号
[27] 郭,Q。;Johansson,T.,一种新的生日类型算法,用于攻击新的密钥更新对策,Inf.Process。莱特。,146, 30-34 (2019) ·Zbl 1481.94105号 ·doi:10.1016/j.ipl.2019.02.005
[28] Gierlichs,B。;Lemke-Rust,K。;Paar,C。;Goubin,L。;Matsui,M.,《模板与随机方法》,《密码硬件和嵌入式系统-CHES 2006》,15-29(2006),海德堡:施普林格出版社·数字对象标识代码:10.1007/11894063_2
[29] Gaspar,L。;Leurent,G。;Standaert,F-X;Benaloh,J.,lapin的硬件实现和副通道分析,密码学主题-CT-RSA 2014,206-226(2014),Cham:Springer,Cham·Zbl 1337.94096号 ·doi:10.1007/978-3-319-04852-9_11
[30] Gentry,C.、Peikert,C.、Vaikuntanathan,V.:硬格子和新密码构造的陷阱门。收录于:STOC,第197-206页。ACM(2008)·Zbl 1231.68124号
[31] Goudarzi,D。;Rivane,M。;科隆,J-S;Nielsen,JB,软件中的高阶掩蔽能有多快?,密码学进展-EUROCRYPT 2017,567-597(2017),商会:施普林格,商会·Zbl 1411.94062号 ·数字对象标识代码:10.1007/978-3-319-56620-720
[32] 新泽西州霍珀;布鲁姆,M。;Boyd,C.,《安全人类识别协议》,《密码学进展-ASIACRYPT 2001》,52-66(2001),海德堡:斯普林格,海德伯格·Zbl 1062.94549号 ·doi:10.1007/3-540-45682-14
[33] Heyse,S。;基尔茨,E。;柳巴舍夫斯基,V。;Paar,C。;Pietrzak,K。;Canteaut,A.,Lapin:一种基于环形LPN的高效身份验证协议,快速软件加密,346-365(2012),海德堡:施普林格,海德堡·Zbl 1282.94078号 ·数字对象标识代码:10.1007/978-3-642-34047-5_20
[34] Hoffmann,C.、Libert,B.、Momin,C.、Peters,T.、Standaert,F.-X.:POLKA:走向抗泄漏的量子后CCA安全公钥加密。收录:Boldyreva,A.,Kolesnikov,V.(eds.)公钥密码(1)。LNCS,第13940卷,第114-144页。查姆施普林格(2023)。doi:10.1007/978-3-031-31368-4-5·Zbl 1527.94046号
[35] 赫伯斯特,C。;奥斯瓦尔德,E。;Mangard,S。;周,J。;Yung,M。;Bao,F.,《一种抗功率分析攻击的AES智能卡实现》,应用密码术和网络安全,239-252(2006),海德堡:施普林格·Zbl 1151.94517号 ·doi:10.1007/11767480_16
[36] Hou,X.-D.:有限域讲座,第190卷。美国数学学会(2018)·Zbl 1414.11001号
[37] Ishai,Y。;Sahai,A。;瓦格纳,D。;Boneh,D.,《专用电路:保护硬件免受探测攻击》,《密码学进展-密码2003》,463-481(2003),海德堡:斯普林格·Zbl 1122.94378号 ·doi:10.1007/978-3-540-45146-4_27
[38] Koppermann,P.,De Santis,F.,Heyszl,J.,Sigl,G.:FPGA上任意Mersenne素数的高性能模乘子的自动生成。摘自:《主持人》,第35-40页。IEEE计算机学会(2017)
[39] Mangard,S。;Okamoto,T.,《针对DPA的硬件对策-其有效性的统计分析》,《密码学主题-CT-RSA 2004》,222-235(2004),海德堡:斯普林格,海德伯格·Zbl 1196.94059号 ·doi:10.1007/978-3-540-24660-2_18
[40] Mangard,S.、Oswald,E.、Popp,T.:功率分析攻击-揭示智能卡的秘密。施普林格,纽约(2007年)。doi:10.1007/978-0-387-38162-6·兹比尔1131.68449
[41] Mangard,S。;波普,T。;伽美尔,BM;Menezes,A.,《屏蔽CMOS门的边信道泄漏》,密码学主题-CT-RSA 2005,351-365(2005),海德堡:斯普林格,海德伯格·Zbl 1079.94561号 ·doi:10.1007/978-3-540-30574-324
[42] Medwed,M。;Standaert,F-X;Großschädl,J.教授。;雷加佐尼,F。;DJ伯恩斯坦;Lange,T.,《Fresh re-keying:针对低成本设备的侧通道和故障攻击的安全性》,《密码学进展-AFRICACRYPT 2010》,279-296(2010),海德堡:斯普林格·Zbl 1284.94095号 ·doi:10.1007/978-3-642-12678-9_17
[43] Ngo,K。;杜布罗瓦,E。;郭,Q。;Johansson,T.,对屏蔽IND-CCA安全saber KEM实现的一种副通道攻击,IACR Trans。加密程序。哈德。嵌入。系统。,2021, 4, 676-707 (2021) ·doi:10.46586/tches.v2021.is.676-707
[44] Pietrzak,K。;比利科娃,M。;弗里德里希·G。;Gottlob,G。;Katzenbeisser,S。;Turán,G.,《从学习噪声平价中获得密码术》,SOFSEM 2012:计算机科学理论与实践,99-114(2012),海德堡:斯普林格,海德伯格·Zbl 1298.94103号 ·doi:10.1007/978-3-642-27660-69
[45] 佩斯勒,P。;Mangard,S。;Sako,K.,《增强二进制场乘法的边信道分析与比特可靠性》,《密码学主题-CT-RSA 2016,255-270(2016)》,查姆:斯普林格,查姆·Zbl 1334.94093号 ·doi:10.1007/978-3-319-29485-8_15
[46] Regev,O.:关于格、错误学习、随机线性码和密码学。收录于:STOC,第84-93页。ACM(2005)·Zbl 1192.94106号
[47] Regev,O.:错误学习问题(邀请调查)。摘自:计算复杂性会议,第191-204页。IEEE计算机学会(2010)
[48] Ravi,P.、Roy,S.S.、Chattopadhyay,A.、Bhasin,S.:对基于CCA-secure晶格的PKE和KEM的通用副通道攻击。IACR事务处理。加密程序。哈德。嵌入。系统。2020(3),307-335(2020)
[49] 辛德勒,W。;Lemke,K。;Paar,C。;Rao,JR;Sunar,B.,差分边信道密码分析的随机模型,密码硬件和嵌入式系统-CHES 2005,30-46(2005),海德堡:Springer,Heidelberg·数字对象标识代码:10.1007/115452623
[50] Standaert,F-X;Malkin,TG;Yung,M。;Joux,A.,分析侧通道密钥恢复攻击的统一框架,密码学进展-EUROCRYPT 2009,443-461(2009),海德堡:施普林格,海德堡·Zbl 1239.94066号 ·doi:10.1007/978-3642-001-9_26
[51] Standaert,F-X;Peeters,E。;Rouvroy,G。;Quishuter,J-J,《针对现场可编程门阵列的功率分析攻击概述》,Proc。IEEE,94,2,383-394(2006)·doi:10.1109/JPROC.2005.862437
[52] Udvarhelyi,B。;Bronchain,O。;Standaert,F-X;巴辛,S。;De Santis,F.,《带屏蔽和洗牌的确定性密钥更新的安全性分析:在ISAP中的应用》,《构造性边信道分析和安全设计》,168-183(2021),查姆:斯普林格,查姆·Zbl 1491.94069号 ·数字对象标识代码:10.1007/978-3-030-89915-88
[53] 上野,R。;Xagawa,K。;田中,Y。;伊藤,A。;高桥,J。;Homma,N.,《重新加密的诅咒:量子后密钥管理的通用功率/EM分析》,IACR Trans。加密程序。哈德。嵌入。系统。,2022, 1, 296-322 (2022)
[54] 北卡罗来纳州韦拉特-查维尔隆。;Medwed,M。;科尔霍夫,S。;Standaert,F-X;王,X。;Sako,K.,《对抗旁道攻击的洗牌:一项综合性研究》,《密码学进展-ASIACRYPT 2012,740-757》(2012),海德堡:斯普林格,海德伯格·Zbl 1292.94146号 ·doi:10.1007/978-3-642-34961-444
[55] 杨,B-Y;陈,J-M;帕克,C。;Chee,S.,《XL家族中的所有人:理论与实践》,信息安全与密码学——ICISC 2004,67-86(2005),海德堡:斯普林格,海德伯格·Zbl 1133.94336号 ·doi:10.1007/11496618_7
[56] 余,余;斯坦伯格,J。;费希林,M。;Coron,J-S,低噪声LPN中几乎恒定深度的伪随机函数,密码学进展-EUROCRYPT 2016,154-183(2016),海德堡:Springer,Heidelberg·Zbl 1400.94178号 ·doi:10.1007/978-3-662-49896-56
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。