×
亚历山大·杜克;塞巴斯蒂安·浮士德;弗朗索瓦·萨维耶·斯坦达特

制作具体的掩蔽安全证明(或如何评估任何泄漏设备的安全性),扩展版。 (英语) Zbl 1435.94145号

J.密码学 32,第4期,1263-1297(2019).
摘要:我们研究了泄漏密码设备的理论研究与标准旁道攻击的具体安全评估之间的关系。我们的贡献分为四个部分。首先,我们连接了对A.杜克等人【Eurocrypt 2014,Lect.Notes Compute.Sci.8441,423–440(2014;Zbl 1326.94086号)]使用Eurocrypt 2009评估框架进行侧通道密钥恢复攻击。特别是,我们重新陈述了他们基于互信息度量的掩蔽对策的主要证明,该度量在具体物理安全评估中经常使用。其次,我们基于实验案例研究讨论了Eurocrypt 2014边界的紧密性。这使我们能够推测出相互信息度量和副渠道对手的成功率之间的简化联系,而忽略了技术参数和验证工件。第三,当掩蔽对策的独立泄漏假设没有完全满足时,我们引入了启发式(但动机良好)工具来评估掩蔽对策,这在实践中经常遇到。由于这些工具,我们认为在某些情况下,使用非依赖性泄漏进行掩蔽可以提高安全级别。最后,我们考虑了分治旁道攻击中度量复杂度和密钥枚举时间复杂度之间的折衷,并表明使用简单有效的算法,可以基于互信息度量使这些复杂度降低。这些观察结果的结合能够显著降低认证机构的评估成本。
初步版本见【欧洲加密货币2015,Lect.Notes Comput.Sci.9056,401–429(2015;Zbl 1370.94508号)].

引用于5文件

MSC公司:

94A62型 身份验证、数字签名和秘密共享

关键词:

旁道分析;遮蔽;安全证明;公正的评价

引文:

Zbl 1326.94086号;Zbl 1370.94508号
PDF格式BibTeX公司 XML格式引用
\textit{A.Duc}等人,《密码学杂志》32,第4期,1263-1297(2019年;Zbl 1435.94145)
全文: 内政部

参考文献:

[1] http://perso.uclouvain.be/fstandae/PUBLIS/154.zip
[2] C.Archambeau,E.Peeters,F.-X.Standaert,J.-J.Quiscuter,《主子空间中的模板攻击》,L.Goubin和M.Matsui主编,CHES。计算机科学讲义,第4249卷(Springer,2006),第1-14页
[3] T.Baignères,P.Junod,S.Vaudenay,我们能超越线性密码分析吗?《亚洲新闻》编辑P.J.Lee。计算机科学讲义,第3329卷(Springer,2004),第432-450页·Zbl 1094.94025号
[4] Josep Balasch;浮士德、塞巴斯蒂安;本尼迪克特·吉尔里希斯(Benedikt Gierlichs);Verbauwhede,Ingrid,《抗泄漏掩蔽方案的理论与实践》,密码学进展-ASIACRYPT 2012,758-775(2012),柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1292.94023号 ·doi:10.1007/978-3-642-34961-445
[5] Josep Balasch;本尼迪克特·吉尔里希斯(Benedikt Gierlichs);文森特·格罗索;奥斯卡·雷帕拉兹;Standaert,François-Xavier,《关于屏蔽软件实现、智能卡研究和高级应用的懒惰工程成本》,64-81(2015),Cham:Springer International Publishing,Cham·doi:10.1007/978-3-319-16763-35
[6] G.Barthe,S.Belaíd,F.Dupressoir,P.-A.Fouque,B.Grégoire,P.-Y.Strub,R.Zucchini,《强非干涉和类型定向高阶掩蔽》,收录于E.R.Weipple,S.Katzenbeisser,C.Kruegel,A.C.Myers,S.Halevi,编辑,ACM CCS 2016(ACM,2016),第116-129页
[7] 吉尔·巴特;弗朗索瓦·杜普雷索瓦;浮士德、塞巴斯蒂安;本杰明·格雷戈里;François-Xavier Standaert;Strub,Pierre Yves,掩蔽方案的并行实现和有界力矩泄漏模型,计算机科学讲义,535-566(2017),商会:施普林格国际出版,商会·Zbl 1411.94050号
[8] L.Batina,M.Robshaw,编辑。CHES 2014。计算机科学讲义,第8731卷(Springer,2014)·Zbl 1316.68002号
[9] A.Battistello,J.-S.Coron,E.Prouff,R.Zeitoun,《ISW掩蔽方案的水平侧通道攻击和对策》,收录于B.Gierlichs,A.Y.Poschmann,编辑,CHES 2016。计算机科学课堂讲稿,第813卷(Springer,2016),第23-39页·Zbl 1380.94071号
[10] 索尼娅·贝拉伊德;文森特·格罗索;Standaert,François Xavier,掩蔽和泄漏弹性基元:一个、另一个或两者?,密码学与通信,7,1,163-184(2014)·Zbl 1365.94401号 ·doi:10.1007/s12095-014-0113-6
[11] M.Bellare,S.Tessaro,A.Vardy,窃听通道的加密处理。IACR加密。ePrint Arch.2012,15(2012)·Zbl 1296.94081号
[12] M.Bellare,S.Tessaro,A.Vardy,窃听频道的语义安全,收录于R.Safavi-Naini,R.Canetti,编辑,《密码》2012。计算机科学讲义,第7417卷(施普林格,2012),第294-311页·Zbl 1296.94081号
[13] D.J.Bernstein、T.Lange、C.van Vredendal,《计算能力之外更紧密、更快、更简单的副通道安全评估》。IACR地穴。ePrint Arch.2015,221(2015)
[14] E.Brier,C.Clavier,F.Olivier,《泄漏模型的相关功率分析》,M.Joye,J.-J.Quiscuter,CHES编辑。计算机科学讲义,第3156卷(Springer,2004),第16-29页·Zbl 1104.68467号
[15] E.Cagli,C.Dumas,E.Prouff,掩蔽下信息提取的核判别分析,收录于K.Lemke-Rust,M.Tunstall,编辑,CARDIS 2016。计算机科学课堂讲稿,第10146卷(Springer,2016),第1-22页
[16] C.Carlet,J.-L.Danger,S.Guilley,H.Maghrebi。泄漏挤压:最佳实施和安全评估。数学杂志。《密码学》.8(3):249-295(2014)·Zbl 1372.94414号
[17] C.Carlet,L.Goubin,E.Prouff,M.Quiscuter,M.Rivane,《S-box的高阶掩蔽方案》,收录于A.Canteaut,编辑,FSE 2012。计算机科学讲义,第7549卷(施普林格,2012),第366-384页·Zbl 1312.94037号
[18] S.Chari,C.S.Jutla,J.R.Rao,P.Rohatgi,《用声音方法对抗力量分析》,收录于维纳[81],第398-412页·Zbl 0942.68045号
[19] S.Chari,J.R.Rao,P.Rohatgi,模板攻击,B.S.Kaliski Jr.,Ç。K.Koç,C.Paar,CHES编辑。计算机科学讲义,第2523卷(Springer,2002),第13-28页·Zbl 1019.68541号
[20] T.De Cnudde,B.Bilgin,B.Gierlichs,V.Nikov,S.Nikova,V.Rijmen,耦合是否影响屏蔽实现的安全性?S.Guilley,编辑,《建设性侧通道分析与安全设计》,第8届国际研讨会,2017年4月13日至14日,法国巴黎,COSADE,修订论文集。计算机科学课堂讲稿,第10348卷(Springer,2017),第1-18页
[21] J.-S.Coron、C.Giraud、E.Prouff、S.Renner、M.Rivain、P.K.Vadnala,《从一种泄漏模型到另一种泄漏模式的安全证明转换:新问题》。W.Schindler,S.A.Huss,COSADE编辑,《计算机科学讲义》,第7275卷(Springer,2012),第69-81页·Zbl 1352.94032号
[22] J.-S.Coron,E.Prouff,M.Rivane,《高阶掩蔽方案的边信道密码分析》,载于P.Paillier,I.Verbauwhede,CHES编辑。计算机科学讲义,第4727卷(Springer,2007),第28-44页·Zbl 1300.94048号
[23] J.-S.Coron、E.Prouff、M.Rivain、T.Roche,《高阶侧通道安全和掩码刷新》,S.Moriai编辑,FSE 2013年。计算机科学课堂讲稿,第8424卷(Springer,2013),第410-424页·兹比尔1321.94052
[24] T.Cover,J.Thomas。信息理论要素(Wiley,2006)·Zbl 1140.94001号
[25] 丁·亚当(A.Adam Ding);张利伟;费云思;Luo,Pei,《屏蔽设备上高阶DPA的统计模型》,高级信息系统工程,147-169(2014),柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1375.94119号 ·doi:10.1007/978-3-662-44709-39
[26] Y.Dodis,S.Impossibility,Revisited,收录于A.Smith,ICITS 2012编辑。计算机科学讲义,第7412卷(Springer,2012),第100-110页·Zbl 1295.94054号
[27] A.Duc,S.Dziembowski,S.Faust,《统一泄漏模型:从探测攻击到噪声泄漏》,载于Nguyen和Oswald[55],第423-440页·Zbl 1326.94086号
[28] 法国杜瓦;François-Xavier Standaert;Nicolas Veyrat-Charvillon,如何证明芯片泄漏?,密码学进展-EUROCRYPT 2014,459-476(2014),柏林,海德堡:施普林格-柏林-海德堡·Zbl 1326.94088号 ·doi:10.1007/978-3-642-55220-5_26
[29] 法国杜瓦;François-Xavier Standaert;德尔·波佐(Del Pozo),桑托斯·梅里诺(Santos Merino),《迈向易泄漏认证:扩展版》(Towards easy leakage certification:extended version),《密码工程杂志》(Journal of Cryptographic Engineering),7,2,129-147(2017)·Zbl 1380.94086号 ·doi:10.1007/s13389-017-0150-0
[30] S.Dziembowski,S.Faust,M.Skorski,《重新审视噪音泄漏》,E.Oswald,M.Fischlin,编辑,EUROCRYPT 2015。计算机科学课堂讲稿,第9057卷(Springer,2015),第159-188页·Zbl 1326.94089号
[31] S.Faust,T.Rabin,L.Reyzin,E.Tromer,V.Vaikuntanathan,《保护电路免受泄漏:计算有界和噪声的情况》,H.Gilbert,编辑,EUROCRYPT 2010。计算机科学讲义,第6110卷(Springer,2010),第135-156页·Zbl 1279.94073号
[32] Y.Fei,Q.Luo,A.A.Ding,《DPA统计模型与新算法混淆分析》,E.Prouff,P.Schaumont编辑,CHES 2012。计算机科学讲义,第7428卷(Springer,2012),第233-250页·Zbl 1366.94491号
[33] G.Fumaroli、A.Martinelli、E.Prouff、M.Rivain,《针对高阶侧通道分析的仿射掩蔽》,载于A.Biryukov、G.Gong、D.R.Stinson,SAC编辑,2010年。计算机科学讲义,第6544卷。(施普林格出版社,2010年),第262-280页·兹比尔1293.94065
[34] B.Gierlichs,L.Batina,P.Tuyls,B.Preneel,《相互信息分析》,收录于奥斯瓦尔德和罗哈吉[57],第426-442页
[35] C.Glowacz、V.Grosso、R.Poussier、J.Schüth、F.-X.Standaert,《侧通道安全评估中更简单、更有效的秩估计》,摘自《金融服务评估》2015年编辑G.Leander。计算机科学课堂讲稿,第9054卷(Springer,2015),第117-129页·Zbl 1367.94311号
[36] 路易斯·古宾(Louis Goubin);Martinelli,Ange,使用Shamir的秘密共享方案保护AES,密码硬件和嵌入式系统-CHES 2011,79-94(2011),柏林,海德堡:施普林格-柏林-海德堡·Zbl 1401.94156号 ·doi:10.1007/978-3642-23951-96
[37] V.Grosso,E.Prouff,F.-X.Standaert,《高效屏蔽S-box处理——向前迈出的一步》,D.Pointcheval,D.Vergnaud,编辑,《非洲新闻》2014。计算机科学课堂讲稿,第8469卷(Springer,2014),第251-266页·Zbl 1288.94064号
[38] V.Grosso,F.-X.Standaert,掩蔽证明很严密(以及如何在安全评估中利用它)。IACR加密。电子打印架构。,2017, 116 (2017) ·Zbl 1428.94075号
[39] V.Grosso,F.-X.Standaert,E.Prouff,《低熵掩蔽方案》,再次访问,A.Francillon,P.Rohatgi,编辑,CARDIS 2013。计算机科学课堂讲稿,第8419卷(Springer,2013),第33-43页
[40] S.Guilley,A.Heuser,O.Rioul,F.-X.Standaert,模板攻击,最佳区分者和感知信息度量,收录于CryptArchi 2015,比利时鲁汶(2015)
[41] Y.Ishai,A.Sahai,D.Wagner,《专用电路:保护硬件免受探测攻击》,D.Boneh,编辑,《密码》2003年。计算机科学讲义,第2729卷(Springer,2003),第463-481页·Zbl 1122.94378号
[42] T.Johansson,P.Q.Nguyen,编辑。2013年欧洲密码。计算机科学讲义,第7881卷(Springer,2013)·Zbl 1263.94005号
[43] M.Joye,A.Moradi,编辑。CARDIS 2014。计算机科学讲义,第8968卷(Springer,2015)
[44] P.C.Kocher,J.Jaffe,B.Jun,微分功率分析,收录于Wiener[81],第388-397页·兹比尔0942.94501
[45] 维克托·隆内(Victor Lomné);埃曼纽尔·普罗夫;马蒂厄·里万;托马斯·罗奇;阿德里安·蒂拉德(Adrian Thillard),《如何评估高阶侧通道攻击的成功率》(How to Estimate the Success Rate of Higher-Order Side-Channel Attacks),《高级信息系统工程》(Advanced Information Systems Engineering),35-54(2014),柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1383.94030号 ·doi:10.1007/978-3-662-44709-33
[46] S.Mangard,针对DPA的硬件对策?对其有效性的统计分析,载于T.Okamoto,CT-RSA编辑。《计算机科学讲义》,第2964卷(施普林格,2004年),第222-235页·Zbl 1196.94059号
[47] S.Mangard、E.Oswald、T.Popp,《功率分析攻击——揭示智能卡的秘密》(Springer,2007)·兹比尔1131.68449
[48] Mangard,S。;奥斯瓦尔德,E。;Standaert,F.-X.,“一对所有——所有对一:统一标准差分功耗分析攻击”,IET信息安全,5,2,100(2011)·doi:10.1049/iet-ifs.2010.0096
[49] S.Mangard,T.Popp,B.M.Gammel,《屏蔽CMOS门的边沟泄漏》,载于CT-RSA编辑A.Menezes。《计算机科学讲义》,第3376卷(Springer,2005),第351-365页·Zbl 1079.94561号
[50] D.P.Martin、J.F.O'Connell、E.Oswald、M.Stam,《侧通道攻击后并行计算键》,岩田聪、J.H.Cheon主编,亚洲青年出版社,2015年。计算机科学课堂讲稿,第9453卷(Springer,2015),第313-337页·Zbl 1375.94148号
[51] 卢克·马瑟;伊丽莎白·奥斯瓦尔德;卡罗琳·惠特纳尔(Carolyn Whitnall),《多目标DPA攻击:将DPA推到桌面计算机的极限之外》,《计算机科学讲义》,243-261(2014),柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1306.94074号
[52] 梅德韦德(Medwed),马塞尔(Marcel);Standaert,François-Xavier,《对抗副通道攻击的提取器:弱还是强?》?,《密码工程杂志》,1,3,231-241(2011)·doi:10.1007/s13389-011-0014-y
[53] A.Moradi,O.Mischke,《现代FPGA中屏蔽的无缝隙实现》,收录于HOST(IEEE,2012),第89-95页
[54] A.Moradi,F.-X.Standaert,Moments-correlating DPA,收录于B.Bilgin,S.Nikova,V.Rijmen,编辑,《ACM实施安全理论研讨会论文集》,2016年10月,奥地利维也纳,TISCCS 2016(ACM,2016),第5-15页
[55] P.Q.Nguyen,E.Oswald,编辑。2014年欧洲密码。计算机科学讲义,第8441卷(Springer,2014)·Zbl 1287.94004号
[56] 斯维特拉·尼科娃;Vincent Rijmen;Schläffer,Martin,《存在故障时非线性函数的安全硬件实现》,《密码学杂志》,24,2,292-321(2010)·兹比尔1239.94060 ·doi:10.1007/s00145-010-9085-7
[57] E.Oswald,P.Rohatgi,编辑。CHES 2008。《计算机科学讲义》,第5154卷(施普林格出版社,2008年)·Zbl 1152.68310号
[58] R.Poussier,V.Grosso,F.-X.Standaert,《比较侧通道安全评估等级估计方法》,N.Homma,M.Medwed编辑,CARDIS 2015。计算机科学讲义,第9514卷(Springer,2015),第125-142页
[59] B.Preneel,T.Takagi,编辑。CHES 2011。计算机科学讲义,第6917卷(Springer,2011)·Zbl 1223.68010号
[60] 埃曼纽尔·普罗夫;Rivain,Matthieu,《屏蔽侧信道攻击:正式的安全证明》,密码学进展-EUROCRYPT 2013142-159(2013),柏林,海德堡:施普林格-柏林-海德堡,柏林,海德堡·Zbl 1306.94087号 ·doi:10.1007/978-3-642-38348-99
[61] E.Prouff,T.Roche,《基于单形函数的AES高阶掩蔽攻击》,G.Gong,K.C.Gupta编辑,INDOCRYPT 2010。计算机科学讲义,第6498卷(施普林格,2010),第262-281页·Zbl 1294.94070号
[62] 马修·雷纳尔;迪娜·卡梅尔(Dina Kamel);François-Xavier Standaert;Denis Flandre,《65纳米DDSLL AES S-Box的信息理论和安全性分析》,密码硬件和嵌入式系统-CHES 2011,223-239(2011),柏林,海德堡:施普林格-柏林-海德堡,柏林·doi:10.1007/978-3-642-23951-9_15
[63] M.Renauld,F.-X.Standaert,N.Veyrat-Charvillon,《AES的代数副通道攻击:为什么时间在DPA中也很重要》,C.Clavier,K.Gaj编辑,CHES 2009。计算机科学讲义,第5747卷(Springer,2009),第97-111页·Zbl 1290.94123号
[64] M.Renauld,F.-X.Standaert,N.Veyrat-Charvillon,D.Kamel,D.Flandre,纳米器件功率可变性问题和副通道攻击的正式研究,收录于K.G.Paterson,编辑,EUROCRYPT 2011,计算机科学讲义,第6632卷(Springer,2011),第109-128页·Zbl 1281.94051号
[65] M.Rivain,《关于高斯模型中边信道分析的准确成功率》,R.M.Avanzi、L.Keliher、F.Sica编辑,SAC 2008年。计算机科学讲义,第5381卷(Springer,2008),第165-183页·Zbl 1256.94062号
[66] M.Rivain,E.Prouff,《AES的高阶掩蔽安全性》,S.Mangard,F.-X.Standaert,编辑,CHES 2010。《计算机科学讲义》,第6225卷(Springer,2010),第413-427页·Zbl 1321.94087号
[67] 托马斯·罗奇;Prouff,Emmanuel,使用安全多方计算协议实现AES的高阶无故障实现,《密码工程杂志》,第2期,第111-127页(2012年)·doi:10.1007/s13389-012-0033-3
[68] P.Sarkar,T.Iwata,编辑。2014年亚洲版。计算机科学讲义,第8873卷(Springer,2014)·Zbl 1301.94002号
[69] W.Schindler,K.Lemke,C.Paar,差分侧信道密码分析的随机模型,载于J.R.Rao,B.Sunar,编辑,CHES。计算机科学讲义,第3659卷(Springer,2005),第30-46页
[70] F.-X.Standaert,C.Archambeau,《使用基于子空间的模板攻击来比较和组合电力和电磁信息泄漏》,收录于Oswald和Rohatgi[57],第411-425页
[71] F.-X.Standaert,T.Malkin,M.Yung,《分析副通道密钥恢复攻击的统一框架》,载于《欧洲密码》编辑A.Joux。计算机科学讲义,第5479卷(Springer,2009),第443-461页·Zbl 1239.94066号
[72] F.-X.Standaert,N.Veyrat-Charvillon,E.Oswald,B.Gierlichs,M.Medwed,M.Kasper,S.Mangard,《世界还不够:二阶DPA的另一种看法》,载于M.Abe,ASIACRYPT编辑,《计算机科学讲义》,第6477卷(Springer,2010),第112-129页·Zbl 1290.94132号
[73] 斯坦达尔特,O.-X。;Peeters,E。;Rouvroy,G。;《针对现场可编程门阵列的功率分析攻击概述》,《IEEE学报》,94,2,383-394(2006)·doi:10.1109/JPROC.2005.862437
[74] F.-X.Standaert,C.Petit,N.Veyrat Charvillon,《加密与安全:从理论到应用》(Cryptography and Security:From Theory to Applications)编辑D.Naccache,《用随机查找表进行掩蔽以防止所有顺序的侧信道攻击》。计算机科学课堂讲稿,第6805卷(施普林格出版社,2012年),第283-299页·Zbl 1300.94094号
[75] N.Veyrat-Charvillon,B.Gérard,M.Renauld,F.-X.Standaert,《最佳密钥枚举算法及其在旁道攻击中的应用》,L.R.Knudsen,H.Wu编辑,《密码学中的选定区域》。计算机科学课堂讲稿,第7707卷(施普林格,2012),第390-406页·Zbl 1327.94078号
[76] 尼古拉斯·维拉特·查维隆(Nicolas Veyrat-Charvillon);杰拉德,贝诺;Standaert,François-Xavier,《超越计算能力的安全评估》,《密码学进展-EUROCRYPT 2013,126-141(2013)》,柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1306.94095号 ·doi:10.1007/978-3-642-38348-98
[77] 尼古拉斯·维拉特·查维隆(Nicolas Veyrat-Charvillon);杰拉德,贝诺;Standaert,François-Xavier,《软分析边通道攻击》,计算机科学讲义,282-296(2014),柏林,海德堡:施普林格-柏林-海德堡,柏林·Zbl 1306.94096号
[78] 尼古拉斯·维拉特·查维隆(Nicolas Veyrat-Charvillon);梅德韦德(Medwed),马塞尔(Marcel);克尔霍夫,圣埃芬尼;Standaert,François-Xavier,《对抗边信道攻击的洗牌:一项带有警告注释的综合研究》,《密码学进展——2012年亚洲密码协会》,740-757(2012),柏林,海德堡:斯普林格-柏林-海德堡,柏林,海德堡·Zbl 1292.94146号 ·doi:10.1007/978-3-642-34961-444
[79] X.Wang,K.Sako,编辑。2012年亚洲版。计算机科学讲义,第7658卷(Springer,2012)·Zbl 1258.94006号
[80] C.Whitnall,E.Oswald,使用公平评估框架对相互信息分析进行综合评估,收录于P.Rogaway,CRYPTO编辑,2011年。计算机科学讲义,第6841卷(Springer,2011),第316-334页·兹比尔1287.94104
[81] M.J.维纳,编辑。99年密码。计算机科学讲义,第1666卷(Springer,1999)·兹比尔0921.00042
[82] 叶欣;托马斯·艾森巴特(Thomas Eisenbarth);马丁,威廉,有界,还足够吗?《如何确定有限的侧面渠道信息是否支持密钥恢复、智能卡研究和高级应用》,215-232(2015),Cham:Springer International Publishing,Cham·doi:10.1007/978-3-319-16763-3_13
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。