×
克莱门·霍夫曼;贝诺·利伯特;查尔斯·莫明;托马斯·彼得斯;弗朗索瓦·萨维耶·斯坦达特

波尔卡:实现抗泄漏的量子后CCA安全公钥加密。 (英语) Zbl 1527.94046号

Boldyreva,Alexandra(编辑)等人,公开密钥加密-PKC 2023。2023年5月7日至10日,美国佐治亚州亚特兰大,第26届IACR公开密钥加密实践和理论国际会议。诉讼程序。第一部分查姆:施普林格。莱克特。注释计算。科学。13940, 114-144 (2023).
摘要:对于任何加密算法,量子后CCA安全公钥加密方案的部署可能需要防止侧信道攻击。对于尚未考虑泄漏的现有后量子方案,最近的结果表明,这些保护措施的成本可能会使其实现成本增加几个数量级。在本文中,我们描述了一种新的设计波尔卡,这是专门为降低此成本而定制的。它利用各种因素来实现有效的侧信道保护实现,例如:(i)刚性特性(直观地说,去随机化加密和解密是内射函数),以避免藤崎-冈本变换的非常泄漏的重新加密步骤,(ii)由于加入了虚拟密文,解密的随机化,消除了对手对中间计算的控制,并使这些计算变得短暂,(iii)可以屏蔽副信道攻击的密钥形态计算,其开销在共享数量上呈线性扩展,(iv)难以解决的物理学习问题,以讨论一些关键的无遮蔽操作的安全性。此外,我们使用显式拒绝机制(返回无效密文的错误符号)来避免隐式拒绝导致的额外泄漏。因此波尔卡可以以比最先进的设计更便宜的方式防止泄漏,为实现量子安全和防泄漏的方案开辟了道路。
关于整个系列,请参见[Zbl 1524.94001号].

引用于1文件

MSC公司:

94A60型 密码学
81页94 量子密码术(量子理论方面)

关键词:

密码算法;量子后CCA安全公钥加密方案

软件:

KEM-DEM公司;ISAP公司;马刀
PDF格式BibTeX公司 XML格式引用
\textit{C.Hoffmann}等人,Lect。注释计算。科学。13940、114-144(2023年;Zbl 1527.94046)
全文: 内政部

参考文献:

[1] 阿贝,M。;Gennaro,R。;K.黑泽明。;Shoup,V。;Cramer,R.,Tag-KEM/DEM:混合加密的新框架和对Kurosawa-Desmedt KEM的新分析,密码学进展-EUROCRYPT 2005,128-146(2005),海德堡:Springer,Heidelberg·Zbl 1137.94336号 ·doi:10.1007/114266398
[2] 阿尔布雷希特,M。;球员,R。;Scott,S.,《关于错误学习的具体困难》,J.Math。加密。,9, 3, 169-203 (2015) ·Zbl 1352.94023号 ·doi:10.1515/jmc-2015-0016
[3] Alkim,E.,Ducas,L.,Pöppelmann,T.,Schwabe,P.:后量子密钥交换——一个新的希望。致:USENIX安全研讨会(2016)
[4] Avanzi,R.等人:CRYSTALS-KYBER算法规范和支持文档。NIST PQC第3轮,42(2020)
[5] Azouaoui,M.,Bronchain,O.,Hoffmann,C.,Kuzovkova,Y.,Schneider,T.,Standaert,F.:解密和重新加密泄漏的系统研究:kyber案例。In:COSADE(2022)
[6] Balasch,J.,Gierlichs,B.,Grosso,V.,Reparaz,O.,Standaert,F.:关于屏蔽软件实现的惰性工程成本。收件人:CARDIS(2014)
[7] 班纳吉,A。;佩克特,C。;罗森,A。;Pointcheval,D。;Johansson,T.,伪随机函数和格,密码学进展-EUROCRYPT 2012,719-737(2012),海德堡:施普林格·Zbl 1297.68071号 ·doi:10.1007/978-3642-29011-442
[8] Barthe,G.等人:强非干涉和类型定向高阶掩蔽。In:CCS(2016)
[9] Barthe,G。;杜普索尔,F。;浮士德,S。;格雷戈里,B。;Standaert,F-X;支柱,P-Y;科隆,J-S;Nielsen,JB,掩蔽方案和有界矩泄漏模型的并行实现,密码学进展-EUROCRYPT 2017,535-566(2017),Cham:Springer,Cham·Zbl 1411.94050号 ·doi:10.1007/978-3-319-56620-719
[10] Basso,A.,SABER算法规范和支持文件,NIST PQC Round,3,44(2020)
[11] 贝伦敦克,MV;D’Anvers,J。;Karmakar,A。;Balasch,J。;Verbauwhede,I.,《SABER的抗侧信道实现》,ACM J.Emerg.Technol。计算。系统。,17, 2, 1-26 (2021) ·数字对象标识代码:10.1145/3429983
[12] Belaíd,S.、Coron,J.、Fouque,P.、Gérard,B.、Kammerer,J.和Prouff,E.:有限场乘法改进的旁道分析。致:CHES(2015)·Zbl 1380.94073号
[13] 贝拉伊德,S。;福克,P-A;杰拉德,B。;Sarkar,P。;岩田,T.,GF中乘法的边信道分析(2^128),密码学进展-ASIACRYPT 2014,306-325(2014),海德堡:Springer,Heidelberg·Zbl 1317.94083号 ·doi:10.1007/978-3-662-45608-8_17
[14] Bellizia,D。;Micciancio博士。;Ristenpart,T.,对称密码学中的模式级与实现级物理安全,密码学进展-CRYPTO 2020,369-400(2020),Cham:Spriger,Cham·Zbl 1503.94025号 ·doi:10.1007/978-3-030-56784-2_13
[15] 伯恩斯坦,D.J.,佩西切蒂,E.:走向KEM统一。Cryptology ePrint Archive,报告2018/526(2018)
[16] 贝尔蒂,F。;巴辛,S。;Breier,J。;侯,X。;Poussier,R。;Standaert,F。;Udvarhelyi,B.,OCB泄漏(非)弹性的细粒度分析,IACR Trans。加密货币。哈德。嵌入。系统。,1, 2022 (2022)
[17] 巴辛,S。;D'Anvers,J。;海因茨,D。;Pöppelmann,T。;Beirendonck,MV,《基于格的密码学的攻击和防御屏蔽多项式比较》,IACR Trans。加密货币。哈德。嵌入。系统。,3, 2021 (2021)
[18] Boneh,D。;达格伦。;费希林,M。;莱曼,A。;夏夫纳,C。;詹德里,M。;Lee,DH;Wang,X.,量子世界中的随机预言,密码学进展-ASIACRYPT 2011,41-69(2011),海德堡:施普林格,海德堡·Zbl 1227.94033号 ·doi:10.1007/978-3642-25385-03
[19] Boneh,D。;Ishai,Y。;Passelègue,A。;Sahai,A。;吴,DJ;Beimel,A。;Dziembowski,S.,《探索密码暗物质:新的简单PRF候选者及其应用》,《密码学理论》,699-729(2018),查姆:斯普林格,查姆·Zbl 1430.94059号 ·doi:10.1007/978-3-030-03810-625
[20] Bos,J.等人:《晶体-Kyber:基于CCA-安全模块-晶格的KEM》。摘自:IEEE EuroS&P(2018)
[21] Bos,JW;Gourjon,M。;雷内斯,J。;施耐德,T。;van Vredendal,C.,《屏蔽KYBER:一阶和高阶实现》,IACR Trans。加密货币。哈德。嵌入。系统。,4, 2021 (2021)
[22] Bronchain,O.,Cassiers,G.:比特分割算法/布尔掩蔽转换,用于基于格的kems,以获得乐趣和利润(2022)
[23] Bronchain,O。;施耐德,T。;Standaert,F.,《通过简单降低风险:懒惰工程师的高侧通道安全》,J.Cryptogr。工程师,11,1,39-55(2021)·doi:10.1007/s13389-020-00241-8
[24] Bronchain,O。;Standaert,F.,打破32位软件平台上许多共享的屏蔽实现,或者当安全顺序无关紧要时,IACR Trans。加密货币。哈德。嵌入。系统。,2021, 3, 202-234 (2021) ·doi:10.46586/tches.v2021.i3.202-234
[25] 卡西尔斯,G。;格雷戈里,B。;列维一世。;Standaert,F.,《硬件专用电路:从简单组合到完全验证》,IEEE Trans。计算。,70, 10, 1677-1690 (2021) ·Zbl 07497397号 ·doi:10.1109/TC2020.3022979
[26] Cassiers,G。;Standaert,F.,在过渡和故障检测模型中显著保护硬件屏蔽:比抱歉更安全,IACR Trans。加密货币。哈德。嵌入。系统。,2021, 2, 136-158 (2021) ·doi:10.46586/tches.v2021.22.136-158
[27] Chen,C.,NTRU算法规范和支持文件,NIST PQC Round,3,41(2020)
[28] Coron,J.、Giraud,C.、Prouff,E.、Renner,S.、Rivain,M.、Vadnala,P.K.:将安全证明从一种泄漏模型转换为另一种:新问题。In:COSADE(2012)·Zbl 1352.94032号
[29] Coron,J.、Prouff,E.、Rivain,M.、Roche,T.:高阶侧通道安全和面罩刷新。致:FSE(2013)·兹比尔1321.94052
[30] D'Anvers,J.-P.,Guo,Q.,Johansson,T.,Nilsson,A.,Vercauteren,F.,Verbauwhede,I.:基于IND-CCA安全格方案的解密失败攻击。In:PKC(2019)·Zbl 1509.94082号
[31] D'Anvers,J-P;Karmakar,A。;辛哈·罗伊,S。;弗考特伦,F。;Joux,A。;Nitaj,A。;Rachidi,T.,Saber:基于模块的LWR密钥交换,CPA-secure加密和CCA-secure KEM,《密码学进展-非洲密码》2018,282-305(2018),查姆:施普林格,查姆·Zbl 1423.94065号 ·doi:10.1007/978-3-319-89339-6_16
[32] D'Anvers,J.-P.,Orsini,E.,Vercauteren,F.:错误项检查:在不重新加密的情况下实现选定的密文安全。输入:AsiaPKC(2021)
[33] D'Anvers,J-P;罗西,M。;维拉迪亚,F。;Canteaut,A。;Ishai,Y.,(一)失败不是一种选择:引导基于格的加密方案中的失败搜索,《密码学进展——EUROCRYPT 2020,3-33(2020)》,查姆:Springer,查姆·Zbl 1479.94152号 ·doi:10.1007/978-3-030-45727-3_1
[34] Dobraunig,C.等人:Isap v2.0。IACR事务处理。对称加密。2020(S1)(2020)
[35] Dobraunig,C.,Eichseder,M.,Mendel,F.,Schläffer,M.:Ascon v1.2:轻量级认证加密和散列。J.加密。34(3), 33 (2021) ·Zbl 1470.94084号
[36] Dobraunig,C。;科恩,F。;Mangard,S。;孟德尔,F。;Standaert,F-X;北卡罗来纳州霍马。;Medwed,M.,《迈向具有超越生日安全的全新和混合密钥更新方案》,智能卡研究和高级应用,225-241(2016),Cham:Springer,Cham·doi:10.1007/978-3-319-31271-2-14
[37] Duc,A。;浮士德,S。;Standaert,F-X;奥斯瓦尔德,E。;Fischlin,M.,《使掩蔽安全得到具体证明》,《密码学进展——EUROCRYPT 2015,401-429(2015)》,海德堡:斯普林格,海德伯格·Zbl 1370.94508号 ·doi:10.1007/978-3-662-46800-5_16
[38] Duman,J.,Hövelmanns,K.,Kiltz,E.,Lyubashevsky,V.,Seiler,G.,Unruh,D.:对高效NTRU实例化的彻底处理。加密电子打印档案:报告2021/1352(2021)
[39] Duval,S。;梅奥,P。;莫明,C。;Standaert,F.,《探索密码物理暗物质并通过物理取整学习安全高效的新密钥更新》,IACR Trans。加密货币。哈德。嵌入。系统。,1, 2021 (2021)
[40] Dziembowski,S。;浮士德,S。;Herold,G。;Journault,A。;Masny,D。;Standaert,F-X;Robshaw,M。;Katz,J.,《面对困难(物理)学习问题的全新语音更新》,《密码学进展-密码2016》,272-301(2016),海德堡:斯普林格,海德伯格·Zbl 1391.94746号 ·doi:10.1007/978-3-662-53008-5_10
[41] Fritzmann,T。;贝伦敦克,MV;罗伊,DB;卡尔·P。;Schamberger,T.公司。;Verbauwhede,I。;Sigl,G.,后量子加密的屏蔽加速器和指令集扩展,IACR Trans。加密货币。哈德。嵌入。系统。,1, 2022 (2022)
[42] 藤崎,E。;冈本,T。;Wiener,M.,《不对称和对称加密方案的安全集成》,《密码学进展-密码学》99,537-554(1999),海德堡:斯普林格·Zbl 0942.94019号 ·数字对象标识代码:10.1007/3-540-48405-134
[43] 藤崎,E。;Okamoto,T.,《不对称和对称加密方案的安全集成》,J.Cryptol。,26, 21, 80-101 (2013) ·Zbl 1291.94085号 ·doi:10.1007/s00145-011-9114-1
[44] 吉尔伯特,H。;MJB Robshaw;Seurin,Y。;Smart,N.,(HB^{#}):提高(HB^+)的安全性和效率,密码学进展-EUROCRYPT 2008,361-378(2008),海德堡:斯普林格,海德伯格·Zbl 1149.94334号 ·doi:10.1007/978-3-540-78967-321
[45] Guo,C。;佩雷拉,O。;彼得斯,T。;Standaert,F-X;施瓦布,P。;Thériault,N.,《一次性误用和物理泄漏的认证加密:定义、分离结果和首次构造》,《密码学进展-LATINCRYPT 2019,150-172(2019)》,查姆:斯普林格,查姆·Zbl 1453.94083号 ·doi:10.1007/978-3-030-30530-78
[46] Hoffmann,C.,Libert,B.,Momin,C.,Peters,T.,Standaert,F.:走向抗泄漏的量子后cca-secure公钥加密。IACR加密。电子打印架构。,873 (2022)
[47] Hofheinz,D。;Hövelmanns,K。;基尔茨,E。;卡莱,Y。;Reyzin,L.,Fujisaki-Okamoto变换的模块化分析,密码学理论,341-371(2017),查姆:Springer,查姆·Zbl 1410.94082号 ·doi:10.1007/978-3-319-70500-2-12
[48] Hofheinz,D。;基尔茨,E。;Menezes,A.,《来自弱密钥封装的安全混合加密》,《密码学进展-密码2007》,553-571(2007),海德堡:斯普林格·Zbl 1215.94051号 ·doi:10.1007/978-3-540-74143-5_31
[49] Ishai,Y。;Sahai,A。;瓦格纳,D。;Boneh,D.,《专用电路:保护硬件免受探测攻击》,《密码学进展-密码2003》,463-481(2003),海德堡:斯普林格·兹比尔1122.94378 ·doi:10.1007/978-3-540-45146-4_27
[50] 胜田,S。;山田,S。;Cheon,JH;Takagi,T.,《通过非线性多项式函数进行分区:来自理想格和双线性映射的更紧Ibes》,《密码学进展-ASIACRYPT 2016》,682-712(2016),海德堡:斯普林格,海德伯格·Zbl 1407.94126号 ·doi:10.1007/978-3-662-53890-6_23
[51] 基尔茨,E。;Pietrzak,K。;文丘里,D。;现金,D。;Jain,A.,《困难学习问题的高效身份验证》,J.Cryptol。,30, 4, 1238-1275 (2017) ·兹比尔1386.94096 ·doi:10.1007/s00145-016-9247-3
[52] 柳巴舍夫斯基,V。;佩克特,C。;Regev,O。;Gilbert,H.,《理想格与环上错误的学习》,《密码学进展-EUROCRYPT 2010》,1-23(2010),海德堡:斯普林格·Zbl 1279.94099号 ·doi:10.1007/978-3642-13190-51
[53] Mangard,S.、Oswald,E.、Popp,T.:功率分析攻击——揭示智能卡的秘密。施普林格,纽约(2007年)。doi:10.1007/978-0-387-38162-6·Zbl 1131.68449号
[54] Mangard,S。;波普,T。;伽美尔,BM;Menezes,A.,《屏蔽CMOS门的边信道泄漏》,密码学主题-CT-RSA 2005,351-365(2005),海德堡:斯普林格,海德伯格·Zbl 1079.94561号 ·doi:10.1007/978-3-540-30574-324
[55] Medwed,M。;Standaert,F-X;Großschädl,J。;雷加佐尼,F。;DJ伯恩斯坦;Lange,T.,《Fresh re-keying:针对低成本设备的侧通道和故障攻击的安全性》,《密码学进展-AFRICACRYPT 2010》,279-296(2010),海德堡:斯普林格·Zbl 1284.94095号 ·doi:10.1007/978-3-642-12678-9_17
[56] Micciancio博士。;Regev,O.,基于高斯测度的最坏情况到平均情况的减少,SIAMJC,37,1,267-302(2007)·Zbl 1142.68037号
[57] Ngo,K.,Dubrova,E.,Guo,Q.,Johansson,T.:对屏蔽IND-CCA安全SABER KEM实施的侧信道攻击。IACR事务处理。加密货币。哈德。嵌入。系统。2021(4) (2021)
[58] Nikova,S。;Rijmen,V。;Schläffer,M.,《存在故障时非线性函数的安全硬件实现》,J.Cryptol。,24, 2, 292-321 (2011) ·兹比尔1239.94060 ·doi:10.1007/s00145-010-9085-7
[59] Perschetti,E.:提高基于代码的加密的效率。奥克兰大学博士论文(2012年)·Zbl 1277.94037号
[60] Ravi,P.、Roy,S.S.、Chattopadhyay,A.、Bhasin,S.:对基于CCA-secure晶格的PKE和KEM的通用副通道攻击。IACR事务处理。加密货币。哈德。嵌入。系统。2020 (3) (2020)
[61] Regev,O.:关于格、错误学习、随机线性码和密码学。In:STOC(2005)·Zbl 1192.94106号
[62] 齐藤,T。;Xagawa,K。;山川,T。;尼尔森,JB;Rijmen,V.,量子随机预言模型中的加密密钥封装机制,密码学进展-EUROCRYPT 2018,520-551(2018),Cham:Springer,Cham·Zbl 1415.94459号 ·doi:10.1007/978-3319-78372-7_17
[63] Shoup,V.:公开密钥加密ISO标准的提案。手稿,2001年12月
[64] 上野,R.,夏川,K.,田中,Y.,伊藤,A.,高桥,J.,和马,N.:重新加密的诅咒:对量子后KEM的通用功率/EM分析。IACR事务处理。加密货币。哈德。嵌入。系统。2022(1) (2022)
[65] 北卡罗来纳州韦拉特-查维尔隆。;杰拉德,B。;Standaert,F-X;Sarkar,P。;岩田,T.,《软分析副信道攻击》,《密码学进展-ASIACRYPT 2014》,282-296(2014),海德堡:施普林格,海德伯格·Zbl 1306.94096号 ·doi:10.1007/978-3-662-45611-8_15
[66] 北卡罗来纳州韦拉特-查维尔隆。;Medwed,M。;科尔霍夫,S。;Standaert,F-X;王,X。;Sako,K.,《对抗旁道攻击的洗牌:一项综合性研究》,《密码学进展-ASIACRYPT 2012,740-757》(2012),海德堡:斯普林格,海德伯格·Zbl 1292.94146号 ·doi:10.1007/978-3-642-34961-444
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。