×

加密实现的可验证并行通道安全性:恒定时间MEE-CBC。 (英语) Zbl 1387.94064号

Peyrin,Thomas(编辑),《快速软件加密》。2016年3月20日至23日在德国波鸿举行的2016年FSE第23届国际会议。修订了选定的论文。柏林:施普林格出版社(ISBN 978-3-662-52992-8/pbk;978-3-562-52993-5/ebook)。计算机科学课堂讲稿9783,163-184(2016)。
摘要:我们提供了进一步的证据,证明实施针对定时攻击的软件对策是一项非平凡的任务,需要特定于域的软件开发过程:我们报告了AWS实验室最近发布的s2n库中的一个实现错误。这个错误(现已修复)允许绕过针对MAC然后编码然后CBC加密(MEE-CBC)组件实现中部署的定时攻击的平衡对策,创建了一个类似于Lucky 13利用的定时侧信道{}尽管这样的攻击只能在MEE-CBC组件单独使用的情况下发动,但阿尔布雷希特和帕特森最近在独立工作中证实,s2n的第二道防线一旦得到加强,针对当前对手的能力提供了充分的缓解措施&它的存在进一步证明了传统的软件验证过程在安全属性的研究和验证中是无效的。为了解决这个问题,我们定义了一个在定时攻击者面前证明实现安全性的方法:首先,证明黑匣子安全密码构造的算法描述;然后,建立功能正确性关于算法描述的实现;最后,证明实现是防泄漏.{} 我们将我们的方法论应用于MEE-CBC,并将三种不同的正式验证工具结合在一起,生成该结构的组装实现,该实现可验证地安全对抗对手,并可访问一些定时泄漏。我们的方法涵盖了以前在实现级别将可证明安全性和副通道分析联系起来的工作,并支持对更大的案例研究进行验证。我们的案例研究本身为部署的复杂计时对策(例如,在OpenSSL中)提供了第一个可证明的安全性验证。
关于整个系列,请参见[兹伯利1344.68014].

MSC公司:

94A60型 密码学
PDF格式BibTeX公司 XML格式引用
全文: 内政部 链接

参考文献:

[1] Albrecht,M.R.,Paterson,K.G.:幸运的微秒:对亚马逊第二代TLS实现的定时攻击。Cryptology ePrint Archive,报告2015/1129(2015)。http://eprint.iacr.org/ ·Zbl 1385.94004号
[2] AlFardan,N.J.,Paterson,K.G.:幸运十三:打破TLS和DTLS记录协议。摘自:IEEE安全与隐私研讨会SP 2013,第526-540页。IEEE计算机学会(2013)
[3] Almeida,J.,Barbosa,M.,Barthe,G.,Dupressoir,F.,Emmi,M.:验证恒定时间实现。手稿(2015)。https://fdupress.net/files/ctverif.pdf
[4] Barthe,G.、Betarte,G.,Campo,J.D.、Luna,C.D.、Pichardie,D.:恒定时间加密的系统级无干扰。摘自:Ahn,G.-J.,Yung,M.,Li,N.(编辑)ACM CCS 2014,第1267-1279页。ACM出版社,2014年11月·Zbl 1459.68027号
[5] Barthe,G.、Crespo,J.M.、Grégoire,B.、Kunz,C.、Lakhnech,Y.、Schmidt,B.和Béguelin,S.Z.:计算模型中基于加密的全自动分析。收录:Sadeghi,A.-R.,Gligor,V.D.,Yung,M.(编辑),ACM CCS 2013,第1247-1260页。ACM出版社,2013年11月
[6] Barthe,G.,Dupressoir,F.,Grégoire,B.,Kunz,C.,Schmidt,B.,Strub,P.-Y:简易加密:教程。收录于:Aldini,A.,Lopez,J.,Martinelli,J.(编辑)FOSAD 2013,第146-166页。斯普林格,海德堡(2014)·Zbl 1448.68184号
[7] Barthe,G.,Grégoire,B.,Heraud,S.,Béguelin,S.Z.:工作密码学家的计算机辅助安全证明。收录:Rogaway,P.(编辑)《密码2011》。LNCS,第6841卷,第71-90页。斯普林格,海德堡(2011)·Zbl 1287.94048号 ·doi:10.1007/978-3642-22792-95
[8] Barwell,G.、Page,D.、Stam,M.:盗贼解密失败:调和AE鲁棒性概念。摘自:Groth,J.等人(编辑)IMACC 2015。LNCS,第9496卷,第94-111页。斯普林格,海德堡(2015)。doi:10.1007/978-3-319-27239-96·Zbl 1376.94026号 ·doi:10.1007/978-3-319-27239-96
[9] Bellare,M.,Namprempre,C.:认证加密:概念之间的关系和通用合成范式的分析。收录:Okamoto,T.(编辑)ASIACRYPT 2000。LNCS,第1976卷,第531-545页。斯普林格,海德堡(2000)·Zbl 0973.68059号 ·doi:10.1007/3-540-44448-341
[10] Bellare,M.,Paterson,K.G.,Rogaway,P.:针对大规模监视的对称加密安全性。收录于:Garay,J.A.、Gennaro,R.(eds.)《2014年密码》,第一部分,LNCS,第8616卷,第1-19页。斯普林格,海德堡(2014)·Zbl 1317.94084号 ·doi:10.1007/978-3-662-44371-2_1
[11] Bernstein,D.,Schwabe,P.:加密软件、旁道和验证。收件人:COST CryptoAction WG3会议,2015年4月
[12] Bernstein,D.J.:AES时间变化一览(2015)。http://cr.yp.to/mac/variability1.html。2015年10月25日访问
[13] Bernstein,D.J.:AES的缓存时间攻击(2005)。作者的网页
[14] Bernstein,D.J.,Lange,T.,Schwabe,P.:新密码库的安全影响。收录:Hevia,A.,Neven,G.(编辑)LatinCrypt 2012。LNCS,第7533卷,第159-176页。斯普林格,海德堡(2012)·Zbl 1303.94067号 ·doi:10.1007/978-3-642-33481-89
[15] Boldyreva,A.,Degabriele,J.P.,Paterson,K.G.,Stam,M.:关于对称加密的可区分解密失败。收录:Moriai,S.(编辑)FSE 2013。LNCS,第8424卷,第367-390页。斯普林格,海德堡(2014)·Zbl 1321.94044号
[16] Canvel,B.,Hiltgen,A.P.,Vaudenay,S.,Vuagnoux,M.:SSL/TLS通道中的密码拦截。收录:Boneh,D.(编辑)《密码》2003。LNCS,第2729卷,第583-599页。斯普林格,海德堡(2003)·Zbl 1122.94362号 ·doi:10.1007/978-3-540-45146-4_34
[17] Chothia,T.,Smirnov,V.:针对电子护照的可追溯性攻击。收录人:Sion,R.(编辑)FC 2010。LNCS,第6052卷,第20-34页。斯普林格,海德堡(2010)·doi:10.1007/978-3-642-14577-35
[18] Degabriele,J.-P.,Paterson,K.G.,Watson,G.J.:现实世界中可证明的安全性。IEEE安全。枢密院9(3),33-41(2011)·doi:10.1109/MSP.2010.200
[19] Goguen,J.A.,Meseguer,J.:安全政策和安全模型。摘自:1982年IEEE安全与隐私研讨会,美国加利福尼亚州奥克兰,4月26-28日,第11-20页。IEEE计算机学会(1982)
[20] Hoang,V.T.,Katz,J.,Malozemoff,A.J.:认证加密方案的自动分析和合成。Cryptology ePrint Archive,报告2015/624(2015)。http://eprint.iacr.org/2015/624
[21] Käsper,E.,Schwabe,P.:更快、更及时的抗攻击AES-GCM。收录:Clavier,C.,Gaj,K.(编辑)CHES 2009。LNCS,第5747卷,第1-17页。斯普林格,海德堡(2009)·Zbl 1290.94102号 ·doi:10.1007/978-3642-04138-9_1
[22] Krawczyk,H.:保护通信的加密和身份验证顺序(或者:SSL的安全性如何?)。收录:Kilian,J.(编辑)《密码》2001年。LNCS,第2139卷,第310-331页。斯普林格,海德堡(2001)·Zbl 1002.94529号 ·doi:10.1007/3-540-44647-8_19
[23] 兰利,A.:幸运十三号攻击TLS CBC。《紫罗兰》,2013年2月。https://www.imperialviolet.org/2013/02/04/luckythirteen.html。2015年10月25日访问
[24] Leroy,X.:编译器后端的正式认证,或者:使用校对助手对编译器进行编程。In:ACM编程语言原理研讨会POPL 2006(2006)·Zbl 1369.68124号
[25] Maurer,U.,Tackmann,B.:关于Authenticate-then-Encrypt的可靠性:形式化对称加密的延展性。收录于:Al-Shaer,E.,Keromytis,A.D.,Shmatikov,V.(编辑)ACM CCS 2010,第505-515页。ACM出版社,2010年10月
[26] Paterson,K.G.,Ristenpart,T.,Shrimpton,T.:标签大小是否重要:TLS记录协议的攻击和证明。收录人:Lee,D.H.,Wang,X.(编辑)《2011年亚洲期刊》。LNCS,第7073卷,第372-389页。斯普林格,海德堡(2011)·Zbl 1227.94060号 ·doi:10.1007/978-3-642-25385-0_20
[27] Rauzy,P.,Guilley,S.:针对CRT-RSA上的故障注入攻击的对策的正式证明。J.Crypt。工程4(3),173-185(2014)·doi:10.1007/s13389-013-0065-3
[28] Schmidt,S.:介绍s2n,一种新的开源TLS实现,2015年6月。https://blogs.aws.amazon.com/security/post/TxCKZM94ST1S6Y/Introducting-s2n-a-New-Open-Source-TLS-Implementation。2015年10月25日访问
[29] Vaudenay,S.:CBC填充导致的安全缺陷-SSL、IPSEC和WTLS应用程序。收录:Knudsen,L.R.(编辑)EUROCRYPT 2002。LNCS,第2332卷,第534-546页。斯普林格,海德堡(2002)·Zbl 1056.94517号 ·doi:10.1007/3-540-46035-7_35
此参考列表基于出版商或数字数学图书馆提供的信息。它的项目与zbMATH标识符启发式匹配,并且可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。