×
张世铎;林秀翰;于,杨;王维嘉

改进了对猎鹰的能量分析攻击。 (英语) Zbl 07774132号

Hazay,Carmit(编辑)等人,《密码学进展–EUROCRYPT 2023》。第42届密码技术理论与应用国际年会,法国里昂,2023年4月23日至27日。诉讼程序。第四部分查姆:斯普林格。莱克特。注释计算。科学。14007, 565-595 (2023).
摘要:Falcon是NIST选择用于标准化的三种后量子签名方案之一。由于其低带宽和高效率,Falcon被视为量子安全嵌入式系统的一个有吸引力的选择。在这项工作中,我们通过分析Falcon的高斯采样器来研究其侧通道阻力。我们的结果主要有两方面。
第一个结果是利用Guerreau等人研究的基础采样器内的泄漏改进了密钥回收率(CHES 2022)。我们不再像以前的并行六面体学习攻击那样求助于四阶矩,而是使用二阶统计协方差并使用其谱分解来恢复秘密信息。我们的方法大大降低了对测量和计算资源的要求:(22万)道记录足以在半小时内以大约25%的概率恢复Falcon-512的密钥。相比之下,即使使用\(10^6 \)个跟踪,前一次攻击仍需要约1000小时的晶格减少CPU时间才能恢复完整密钥。此外,我们的方法对不准确的泄漏分类具有鲁棒性,这是与并行六面体学习攻击相比的另一个优点。
我们的第二个结果是针对Falcon的整数高斯采样器的实际功率分析。该分析依赖于整数高斯采样中随机符号翻转的泄漏。Kim和Hong于2018年揭露了这一泄漏事件,但Falcon的实施并未考虑到这一点,目前尚未对其进行副通道分析。我们确定了ARM Cortex-M4 STM32F407IGT6微处理器上Falcon参考实现中的泄漏。我们还表明,这一位泄漏对于实际的密钥恢复来说已经足够有效了:使用17万条记录道,可以在半小时内完全恢复Falcon-512的密钥。此外,结合符号泄漏和上述泄漏,可以在短时间内仅使用45000个签名测量值恢复密钥。
作为副产品,我们还将我们的功率分析扩展到了Mitaka,它是Falcon的最新变体。同样的泄漏也存在于Mitaka的整数高斯采样器中,它们还可以用于发起密钥恢复攻击。然而,由于不同的格点高斯采样器,Mitaka的密钥恢复需要比Falcon更多的跟踪。
有关整个系列,请参见[兹比尔1525.94004].

MSC公司:

第68页第25页 数据加密(计算机科学方面)
94A60型 密码学
81页94 量子密码术(量子理论方面)

软件:

银河系的
PDF格式BibTeX公司 XML格式引用
\textit{S.Zhang}等人,Lect。注释计算。科学。14007565-595(2023;Zbl 07774132)
全文: DOI程序

参考文献:

[1] Barthe,G.,Belaïd,S.,Espitau,T.,Fouque,P.A.,Rossi,M.,Tibouchi,M.:Galactics:Gaussian sampling for lattice based constant time implementation of cryptographic signature,reviewed.Barthe,G.,Belaïd,S.,Espitau,T.,Fouque,P.A.,Rossi,M.,Tibouchi。收录于:ACM CCS 2019,第2147-2164页(2019年)。doi:10.1145/3319535.3363223
[2] Bootle,J。;Delaplace,C。;Espitau,T。;福克,P-A;蒂博奇,M。;佩林,T。;Galbraith,S.,《没有模块化简化和改进的针对BLISS的侧通道攻击的LWE》,《密码学进展-亚洲密码》2018,494-524(2018),查姆:斯普林格,查姆·Zbl 1446.94109号 ·doi:10.1007/978-3-030-03326-2_17
[3] 查里,S。;Rao,JR;罗哈吉,P。;Kaliski,理学学士;科索,K。;Paar,C.,模板攻击,密码硬件和嵌入式系统-CHES 2002,13-28(2003),海德堡:施普林格·Zbl 1019.68541号 ·doi:10.1007/3-540-36400-53
[4] Dachman Soled博士。;杜卡斯,L。;龚,H。;罗西,M。;Micciancio,D。;Ristenpart,T.,LWE,附带信息:攻击和具体安全评估,密码学进展-密码2020,329-358(2020),查姆:斯普林格,查姆·Zbl 1504.94128号 ·doi:10.1007/978-3-030-56880-1_12
[5] 杜卡斯,L。;加尔布雷思,S。;Prest,T。;Yu,Y。;Canteaut,A。;Ishai,Y.,《无浮点数的积分矩阵gram root和格点高斯采样》,《密码学进展-EUROCRYPT 2020》,608-637(2020),查姆:斯普林格,查姆·Zbl 1492.94092号 ·doi:10.1007/978-3-030-45724-2_21
[6] 杜卡斯,L。;柳巴舍夫斯基,V。;Prest,T。;Sarkar,P。;岩田,T.,《NTRU格上基于身份的高效加密》,《密码学进展——ASIACRYPT 2014》,22-41(2014),海德堡:斯普林格,海德伯格·Zbl 1317.94103号 ·doi:10.1007/978-3-662-45608-82
[7] 杜卡斯,L。;Nguyen,PQ;王,X。;Sako,K.,《学习Zonotope和更多:侵入对策的密码分析》,密码学进展-ASIACRYPT 2012433-450(2012),海德堡:施普林格,海德堡·Zbl 1292.94059号 ·doi:10.1007/978-3-642-34961-4_27
[8] Ducas,L.,Prest,T.:快速傅里叶正交化。摘自:ISSAC 2016,第191-198页(2016)。doi:10.1145/2930889.2930923·Zbl 1365.65105号
[9] 杜卡斯,L。;Yu,Y.,《学习再次突袭:DRS签名方案的案例》,J.Cryptol。,34, 1, 1-24 (2020) ·Zbl 1466.94045号 ·doi:10.1007/s00145-020-09366-9
[10] Espitau,T.,Fouque,P.A.,Gérard,B.,Tibouchi,M.:对BLISS基于格的签名的边通道攻击:利用分支跟踪来对抗微控制器中的strongswan和电磁辐射。收录于:ACM CCS 2017,第1857-1874页(2017)。数字对象标识代码:10.1145/3133956.3134028
[11] Espitau,T.等人:MITAKA:一种更简单、可并行、可屏蔽的FALCON变体。收录:Eurocrypt 2022(2022)。doi:10.1007/978-3-031-07082-29
[12] Fouque,P.A.,Gérard,F.,Rossi,M.,Yu,Y.:Zalcon:Falcon的替代无FPA NTRU采样器。摘自:第三届NIST PQC研讨会会议记录,第1-23页(2021年)
[13] 福克,P-A;Kirchner,P。;蒂博奇,M。;钱包,A。;Yu,Y。;Canteaut,A。;Ishai,Y.,从NTRU格上哈希和符号签名中的gram-schmidt范数泄漏中恢复密钥,密码学进展-EUROCRYPT 2020,34-63(2020),Cham:Springer,Cham·Zbl 1479.94319号 ·doi:10.1007/978-3-030-45727-3_2
[14] Gentry,C.、Peikert,C.、Vaikuntanathan,V.:硬格子和新密码构造的陷阱门。收录于:STOC 2008,第197-206页(2008)。数字对象标识代码:10.1145/1374376.1374407·Zbl 1231.68124号
[15] Gérard,F.,Rossi,M.:qtesla的有效且可证明的屏蔽实现。在:CARDIS 2019,第74-91页(2019)。doi:10.1007/978-3-030-42068-05
[16] Groot Bruinderink,L.,Hülsing,A.,Lange,T.,Yarom,Y.:Flush,gauss,and reload——对BLISS基于格的签名方案的缓存攻击。参见:CHES 2016,第323-345页(2016)。doi:10.1007/978-3-662-53140-2_16·Zbl 1411.94065号
[17] Guerreau,M.,Martinelli,A.,Ricosset,T.,Rossi,M.:隐藏的平行六面体又回来了:对猎鹰的力量分析攻击。IACR变速器。加密。硬件嵌入式系统。(2022). doi:10.46586/tches.v2022.i3.141-164
[18] Howe,J.、Prest,T.、Ricosset,T.和Rossi,M.:等时高斯采样:从开始到实施。摘自:PQCrypto 2020,第53-71页(2020)。doi:10.1007/978-3-030-44223-14·Zbl 1501.94044号
[19] Hulsing,A.等人:SPHINCS+:提交NIST的量子密码后标准化过程(2020年)。https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum加密标准化/roun.-3-提交
[20] Karabulut,E.,Aysu,A.:猎鹰坠落:通过侧通道攻击打破猎鹰后量子签名方案。摘自:DAC 2021,第691-696页(2021年)。doi:10.1109/DAC18074.2021.9586131
[21] Kim,S。;Hong,S.,恒定时间CDT采样器的单道分析及其对策,应用。科学。,8, 10, 1809 (2018) ·doi:10.3390/app8101809
[22] Klein,P.N.:当晶格向量异常接近时,找到最接近的晶格向量。收录于:SODA 2000,第937-941页(2000)·Zbl 0953.65043号
[23] 柳巴舍夫斯基,V。;Matsui,M.,Fiat-shamir with aborts:applications to lattice and factoring based signatures,Advances in Cryptology-ASIACRYPT 2009,598-616(2009),海德堡:斯普林格,海德伯格·Zbl 1267.94125号 ·doi:10.1007/978-3-642-10366-7_35
[24] 柳巴舍夫斯基,V。;Pointcheval,D。;Johansson,T.,《无活门的格点签名》,《密码学进展-EUROCRYPT 2012》,738-755(2012),海德堡:斯普林格,海德伯格·Zbl 1295.94111号 ·doi:10.1007/978-3642-29011-443
[25] Lyubashevsky,V.等人:帝力:提交NIST的量子密码后标准化进程(2020年)。https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantumem-cryptography-standardization/round-3-submissions
[26] Mangard,S。;奥斯瓦尔德,E。;Popp,T.,功率分析攻击(2007),马萨诸塞州波士顿:马萨诸塞州波士顿斯普林格·Zbl 1131.68449号 ·doi:10.1007/978-0-387-38162-6
[27] Migliore,V.,Gérard,B.,Tibouchi,M.,Fouque,P.A.:面具帝力。收录于:ACNS 2019,第344-362页(2019年)。doi:10.1007/978-3-030-21568-217·Zbl 1458.94307号
[28] 阮,资格预审官;Regev,O。;Vaudenay,S.,学习平行六面体:GGH和NTRU签名的密码分析,密码学进展-EUROCRYPT 2006,271-288(2006),海德堡:斯普林格·Zbl 1140.94365号 ·doi:10.1007/11761679_17
[29] 佩克特,C。;Rabin,T.,《晶格的高效并行高斯采样器》,《密码学进展-密码2010》,80-97(2010),海德堡:斯普林格出版社·Zbl 1280.94091号 ·doi:10.1007/978-3-642-14623-75
[30] Pessl,P.,Bruinderink,L.G.,Yarom,Y.:要么成为BLISS-B,要么不是:攻击strongswan的后量子签名实现。收录于:ACM CCS 2017,第1843-1855页(2017)。数字对象标识代码:10.1145/3133956.3134023
[31] Pornin,T.:猎鹰的新高效、持续时间实现。加密电子打印档案,2019/893年报告(2019年)。https://ia.cr/2019/893
[32] Prest,T.:基于格的密码术中的高斯采样。法国巴黎高等师范学院博士论文(2015)
[33] Prest,T.等人:Falcon:提交NIST的量子密码后标准化进程(2020年)。https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization/round-3-提交
[34] 蒂博奇,M。;Wallet,A.,只需要一点:对BLISS的非恒定时间符号翻转进行毁灭性的定时攻击,J.Math。加密。,15, 1, 131-142 (2021) ·Zbl 1464.94052号 ·doi:10.1515/jmc-2020-0079
[35] Vershynin,R.:《高维概率:数据科学应用简介》,第47卷。剑桥大学出版社(2018)。doi:10.1080/14697688.2020.1813475·Zbl 1430.60005号
[36] Wisiol,N.、Gersch,P.、Seifert,J.:使用芯片窃听器进行功率侧通道循环精确分析:高斯采样的案例研究。IACR加密。ePrint Arch,第903页(2022年)。https://eprint.iacr.org/2022/903
[37] Yu,Y。;杜卡斯,L。;佩林,T。;Galbraith,S.,《学习再次罢工:DRS签名方案案例》,《密码学进展——2018年亚洲密码》,525-543(2018),查姆:斯普林格,查姆·兹比尔1446.94164 ·doi:10.1007/978-3-030-03329-3_18
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。