论文2023/1674

携带错误：基于边信道保护LWE的KEM的错误传播攻击

摘要

后量子密码（PQC）算法，特别是那些基于错误学习（LWE）问题的算法，最近受到了几次物理攻击。虽然攻击大体上分为两类——被动侧通道攻击和主动故障攻击，但由于此类算法的固有复杂性，攻击策略差异很大。因此，探索进一步的攻击面是最终确保部署这些算法的重要步骤。此外，在这方面测试已经提出的对策的稳健性也很重要。在这项工作中，我们提出了一种新的利用故障传播的基于LWE的密钥封装机制（KEM）的侧通道安全屏蔽实现的故障攻击。攻击通常源于广泛用于启用掩蔽的算法修改，即算术到布尔（$\mathtt{A2B}$）转换。我们利用$\mathtt{A2B}$中加法器进位链的数据依赖性，提取敏感信息，尽管存在屏蔽（任意顺序）。作为这种信息泄漏可利用性的实际证明，我们展示了Kyber的密钥恢复攻击，尽管Saber等其他方案也存在这种泄漏。对Kyber的攻击以解密模块为目标，并利用信任传播（BP）进行密钥恢复。据我们所知，这是第一次利用引入的算法组件来简化掩蔽的攻击，而不是仅利用掩蔽引入的随机性来获得所需的错误（正如Delvaux所做的那样）。最后，我们对运行在STM32平台上的开源一阶安全Kyber实现的攻击进行了模拟和基于电磁（EM）故障的实际验证。