×

关于带谓词的有界距离译码:打破隐藏数问题的“格障碍”。 (英语) Zbl 1479.94108号

Canteaut,Anne(编辑)等人,《密码学进展–EUROCRYPT 2021》。第40届加密技术理论与应用国际年会,克罗地亚萨格勒布,2021年10月17日至21日。诉讼程序。第一部分查姆:施普林格。莱克特。注释计算。科学。12696, 528-558 (2021).
摘要:密码分析中基于格的算法通常将满足整数线性约束的目标向量作为某些格中最短或最接近的向量进行搜索。在这项工作中,我们观察到,这些公式可能会丢弃底层应用程序中的非线性信息,这些信息可用于区分目标向量,即使它远非唯一的接近或短。
我们用区分目标向量的谓词形式化了格问题,并给出了求解这些问题实例的算法。我们将我们的技术应用于基于格的方法来解决隐藏数问题,这是一种在侧信道攻击中恢复秘密DSA或ECDSA密钥的流行技术,并证明我们的算法成功地恢复了以前认为使用格方法无法解决的实例的签名密钥。我们使用我们的估算和求解框架进行了广泛的实验,我们也在这项工作中提供了这一框架。
关于整个系列,请参见[Zbl 1475.94010号].

MSC公司:

94A60型 密码学
PDF格式BibTeX公司 XML格式引用
全文: 内政部

参考文献:

[1] Ajtai,M.,Kumar,R.,Sivakumar,D.:最短格向量问题的筛选算法。收录于:第33届ACM STOC,第601-610页。ACM出版社,2001年7月·Zbl 1323.68561号
[2] Albrecht,M.R.,Bai,S.,Fouque,P.A.,Kirchner,P.,Stehlé,D.,Wen,W.:更快的基于枚举的晶格约简:根厄米因子\(k^{1/(2k)}\)时间\(k_{k/8+o(k)}\)。收录于:Micciancio和Ristenpart[5],第186-212页·Zbl 1501.94023号
[3] 阿尔布雷希特,MR;西德,C。;福盖尔,J。;菲茨帕特里克,R。;Perret,L.,关于LWE上BKW算法的复杂性,Des。密码。,74, 2, 325-354 (2015) ·Zbl 1331.94051号 ·doi:10.1007/s10623-013-9864-x
[4] Albrecht,M.R.,Deo,A.,Paterson,K.G.:NTT下对环和模块LWE密钥的冷启动攻击。IACR TCHES 2018(3),173-213(2018)。https://tches.iacr.org/index.php/tches/article/view/7273
[5] 阿尔布雷希特,MR;杜卡斯,L。;Herold,G。;Kirshanova,E。;Postlethwaite,电子战;史蒂文斯,M。;Ishai,Y。;Rijmen,V.,《晶格还原中的一般筛核和新记录》,《密码学进展——2019年欧洲密码》,717-746(2019),查姆:斯普林格,查姆·兹比尔1509.94054 ·doi:10.1007/978-3-030-17656-325
[6] 阿尔布雷希特,MR;Göpfert,F。;维迪亚,F。;Wunderer,T.公司。;Takagi,T。;Peyrin,T.,《重新审视解决uSVP的预期成本及其在LWE中的应用》,《密码学进展——ASIACRYPT 2017》,297-322(2017),查姆:斯普林格,查姆·Zbl 1420.94034号 ·doi:10.1007/978-3-319-70694-8_11
[7] Albrecht,M.R.,Heninger,N.:使用谓词源代码的有界距离解码,2020年12月。https://github.com/malb/bdd-谓词/
[8] 阿尔布雷希特,MR;球员,R。;Scott,S.,《关于错误学习的具体硬度》,J.Math。加密。,9, 3, 169-203 (2015) ·Zbl 1352.94023号 ·文件编号:10.1515/jmc-2015-0016
[9] Aldaya,A.C.,Brumley,B.B.,ul Hassan,S.,GarcíA,C.P.,Tuveri,N.:港口争夺的乐趣和利润。2019年IEEE安全与隐私研讨会,第870-887页。IEEE计算机学会出版社,2019年5月
[10] Alkim,E.,Ducas,L.,Pöppelmann,T.,Schwabe,P.:后量子密钥交换——一个新的希望。摘自:Holz,T.,Savage,S.(编辑)USENIX Security 2016,第327-343页。USENIX协会,2016年8月
[11] 阿普勒巴姆,B。;现金,D。;佩克特,C。;Sahai,A。;Halevi,S.,《基于困难学习问题的快速加密原语和循环安全加密》,《密码学进展-密码2009》,595-618(2009),海德堡:斯普林格,海德伯格·Zbl 1252.94044号 ·doi:10.1007/978-3-642-03356-8_35
[12] 阿兰哈,DF;福克,P-A;杰拉德,B。;Kammerer,J-G;Tibouchi,M。;扎帕洛维奇,J-C;Sarkar,P。;岩田聪,T.,GLV/GLS分解,功率分析,以及对ECDSA签名的单比特nonce偏置攻击,密码学进展-ASIACRYPT 2014,262-281(2014),海德堡:斯普林格,海德伯格·Zbl 1306.94023号 ·doi:10.1007/978-3-662-45611-8_14
[13] Aranha,D.F.,Novaes,F.R.,Takahashi,A.,Tibouchi,M.,Yarom,Y.:梯子泄漏:用不到一位的临时泄漏破坏ECDSA。《加密电子打印档案》,《2020年/615年报告》(2020年)。https://eprint.iacr.org/2020/615
[14] Bai,S.,Stehlé,D.,Wen,W.:改进了从有界距离解码问题到格中唯一最短向量问题的简化。在:Chatzigiannakis,I.,Mitzenmacher,M.,Rabani,Y.,Sangiorgi,D.(编辑)ICALP 2016。LIPIcs,第55卷,第76:1-76:12页。达格斯图尔宫,2016年7月·Zbl 1391.94869号
[15] Becker,A.,Ducas,L.,Gama,N.,Laarhoven,T.:最近邻搜索的新方向及其在晶格筛分中的应用。在:Krauthgamer,R.(编辑)第27期SODA,第10-24页。ACM-SIAM,2016年1月·Zbl 1410.68093号
[16] Becker,A.,Gama,N.,Joux,A.:使用次二次最近邻搜索,在不增加内存的情况下加速晶格筛选。Cryptology ePrint Archive,报告2015/522(2015)。http://eprint.iacr.org/2015/522
[17] Benger,N。;范德波尔,J。;智能,NP;Yarom,Y。;巴蒂纳,L。;Robshaw,M.,“哦,啊……只是一点点”:少量的侧信道可以走很长的路,密码硬件和嵌入式系统-CHES 2014,75-92(2014),海德堡:海德堡斯普林格·Zbl 1332.94057号 ·doi:10.1007/978-3-662-44709-35
[18] Bleichenbacher,D.:关于DL签名方案中一次性密钥的生成。摘自:IEEE P1363工作组会议上的演讲,第81页(2000)
[19] Bleichenbacher,D.:DSA实验。CRYPTO 2005-2005年臀部训练(2005)
[20] Blum,A.、Kalai,A.、Wasserman,H.:容错学习、奇偶问题和统计查询模型。收录于:第32届ACM STOC,第435-440页。ACM出版社,2000年5月·Zbl 1296.68122号
[21] Boneh,D。;R.文卡特桑。;Koblitz,N.,《计算Diffie-Hellman和相关方案中最重要密钥位的困难》,《密码学进展-密码体制’96,129-142(1996)》,海德堡:斯普林格,海德伯格·Zbl 1329.94054号 ·doi:10.1007/3-540-68697-5_11
[22] 布莱特纳,J。;Heninger,N。;戈德伯格,I。;Moore,T.,《偏置当下感:针对加密货币中弱ECDSA签名的格攻击》,《金融加密与数据安全》,3-20(2019),查姆:斯普林格,查姆·Zbl 1460.94039号 ·doi:10.1007/978-3-030-32101-7_1
[23] 布鲁姆利,BB;北Tuveri。;阿图里,V。;Diaz,C.,远程定时攻击仍然实用,《计算机安全-ESORICS 2011》,355-371(2011),海德堡:施普林格·doi:10.1007/978-3642-23822-220
[24] Cabrera Aldaya,A.,Pereida GarcíA,C.,Brumley,B.B.:从A到Z:野外投影坐标泄漏。IACR TCHES 2020(3),428-453(2020)。https://tches.iacr.org/index.php/tches/article/view/8596
[25] Capkun,S.、Roesner,F.(编辑):USENIX Security 2020。USENIX协会,2020年8月
[26] 科珀史密斯,D。;Maurer,U.,寻找二元整数方程的小根;已知高比特的因子分解,《密码学进展-EUROCRYPT’96,178-189》(1996),海德堡:斯普林格·Zbl 1304.94043号 ·doi:10.1007/3-540-68339-9_16
[27] Dachman-Soled,D.,Ducas,L.,Gong,H.,Rossi,M.:LWE附带信息:攻击和具体安全评估。收录于:Micciancio和Ristenpart[56],第329-358页·兹比尔1504.94128
[28] 达格伦。;施耐德,M。;D'Ambra,P。;瓜拉西诺,M。;Talia,D.,《最短晶格矢量的并行枚举》,《2010年欧洲物理学会-并行处理》,211-222(2010),海德堡:斯普林格出版社·doi:10.1007/978-3-642-15291-7_21
[29] Dall,F.等人:CacheQuote:通过缓存攻击有效恢复SGX EPID的长期机密。IACR TCHES 2018(2),171-191(2018)。https://tches.iacr.org/index.php/tches/article/view/879
[30] De Mulder,E。;Hutter,M。;马萨诸塞州马森;皮尔逊,P。;贝托尼,G。;Coron,J-S,使用Bleichenbacher对隐藏数字问题的解决方案攻击384位ECDSA中的瞬时泄漏,加密硬件和嵌入式系统-CHES 2013,435-452(2013),海德堡:斯普林格·doi:10.1007/978-3-642-40349-1_25
[31] Doulgerakis,E。;Laarhoven,T。;德韦格,B。;丁,J。;Steinwandt,R.,使用近似Voronoi细胞寻找最接近的晶格矢量,后量子密码术,3-22(2019),查姆:Springer,查姆·Zbl 1447.94033号 ·doi:10.1007/978-3-030-25510-7_1
[32] 杜卡斯,L。;尼尔森,JB;Rijmen,V.,晶格筛选的最短矢量:免费的几个维度,密码学进展-EUROCRYPT 2018,125-145(2018),Cham:Spriger,Cham·Zbl 1423.94069号 ·doi:10.1007/978-3319-78381-95
[33] 美国芬克。;Pohst,M.,《计算格中短长度向量的改进方法,包括复杂性分析》,数学。计算。,44, 170, 463-471 (1985) ·Zbl 0556.10022号 ·doi:10.1090/S0025-5718-1985-0777278-8
[34] Gama,N.,Nguyen,P.Q.:在Mordell不等式中寻找短格向量。在:Ladner,R.E.,Dwork,C.(编辑)第40届美国机械工程师学会STOC,第207-216页。ACM出版社,2008年5月·Zbl 1230.11153号
[35] 北加马。;Nguyen,PQ;Regev,O。;Gilbert,H.,《使用极端剪枝的格枚举》,《密码学进展-EUROCRYPT 2010》,257-278(2010),海德堡:斯普林格·Zbl 1280.94056号 ·doi:10.1007/978-3642-13190-5_13
[36] García,C.P.,Brumley,B.B.:具有可变时间调用方的常量时间调用方。收录于:Kirda,E.,Ristenpart,T.(编辑)USENIX Security 2017,第83-98页。USENIX协会,2017年8月
[37] Genkin,D.,Pachmanov,L.,Pipman,I.,Tromer,E.,Yarom,Y.:通过非侵入性物理侧通道从移动设备提取ECDSA密钥。收录于:Weipple,E.R.,Katzenbeisser,S.,Kruegel,C.,Myers,A.C.,Halevi,S.(编辑)ACM CCS 2016,第1626-1638页。ACM出版社(2016年10月)
[38] Gennaro,R.,Robshaw,M.J.B.(编辑):CRYPTO 2015,第一部分,LNCS,第9215卷。斯普林格,海德堡(2015)。doi:10.1007/978-3-662-48000-7·Zbl 1319.94002号
[39] Guo,Q.,Johansson,T.,Stankovski,P.:编码-BKW:使用格码求解LWE。收录于:Gennaro和Robshaw[38],第23-42页·Zbl 1336.94051号
[40] Hanrot,G。;Stehlé,D。;Menezes,A.,《Kannan最短格向量算法的改进分析》,《密码学进展-密码2007》,170-186(2007),海德堡:Springer,Heidelberg·Zbl 1215.94050号 ·doi:10.1007/978-3-540-74143-5_10
[41] Herold,G。;Kirshanova,E。;Fehr,S.,欧几里德规范中近似k-list问题的改进算法,公开密钥密码术-PKC 2017,16-40(2017),海德堡:斯普林格,海德伯格·Zbl 1404.11144号 ·doi:10.1007/978-3-662-54365-82
[42] Herold,G。;Kirshanova,E。;May,A.,关于解LWE的渐近复杂性,Des。密码。,86, 1, 55-83 (2018) ·Zbl 1381.94071号 ·doi:10.1007/s10623-016-0326-0
[43] Howgrave-Graham,N。;数字签名方案的智能、NP、格攻击。密码。,23283-290(2001年)·Zbl 1006.94022号 ·doi:10.1023/A:1011214926272
[44] Jancar,J.、Sedlacek,V.、Svenda,P.、Sys,M.:Minerva:ECDSA的诅咒。IACR TCHES 2020(4),281-308(2020)。https://tches.iacr.org/index.php/tches/article/view/8684
[45] Kannan,R.:整数规划和相关格问题的改进算法。收录于:第15届ACM STOC,第193-206页。ACM出版社,1983年4月
[46] Kannan,R.,Minkowski的凸体定理和整数规划,数学。操作。研究,12,3,415-440(1987)·Zbl 0639.90069号 ·doi:10.1287/门12.3.415
[47] Kirchner,P.,Fouque,P.A.:用于LWE的改进BKW算法及其在密码学和格中的应用。收录于:Gennaro和Robshaw[38],第43-62页·Zbl 1336.94058号
[48] Klein,P.N.:当晶格向量异常接近时,找到最接近的晶格向量。收录:Shmoys,D.B.(编辑)第11届SODA。第937-941页。ACM-SIAM,2000年1月·Zbl 0953.65043号
[49] Laarhoven,T.:密码学中的搜索问题:从指纹到格筛。埃因霍温理工大学博士论文(2015)
[50] Laarhoven,T。;玛丽亚诺,A。;兰格,T。;Steinwandt,R.,《渐进式晶格筛分》,《后量子密码术》,292-311(2018),查姆:斯普林格,查姆·Zbl 1425.94066号 ·数字对象标识代码:10.1007/978-3-319-79063-3_14
[51] 阿拉斯加州伦斯特拉;Lenstra,HW Jr;Lovász,L.,有理系数因式分解多项式,数学。《年鉴》,261366-389(1982)·Zbl 0488.12001号 ·doi:10.1007/BF01457454
[52] 刘,M。;陈,J。;李,H。;Lin,D。;徐,S。;Yung,M.,对SM2签名算法的部分已知nonce和故障注入攻击,信息安全与密码学,343-358(2014),Cham:Springer,Cham·Zbl 1347.94047号 ·doi:10.1007/978-3-319-12087-422
[53] 刘,M。;Nguyen,PQ;Dawson,E.,《通过枚举解决BDD:更新》,《密码学主题-CT-RSA 2013》,293-309(2013),海德堡:斯普林格,海德伯格·Zbl 1312.94070号 ·doi:10.1007/978-3-642-36095-4_19
[54] Merget,R.、Brinkmann,M.、Aviram,N.、Somorovsky,J.、Mittmann,J.和Schwenk,J.:浣熊攻击:发现和利用TLS-DH(E)中最重要的生物,2020年9月。https://raccoon-attack.com/RacoonAattack.pdf。2020年9月11日访问
[55] Micciancio博士。;Regev,O。;DJ伯恩斯坦;Buchmann,J。;Dahmen,E.,《基于格的密码学》,《后量子密码术》,147-191(2009),海德堡:施普林格·兹比尔1161.81324 ·doi:10.1007/978-3-540-88702-7_5
[56] Micciancio,D.,Ristenpart,T.(编辑):《密克罗夫托2020》,第二部分,LNCS,第12171卷。斯普林格,海德堡(2020)。doi:10.1007/978-3-030-56880-1
[57] Micciancio,D.,Voulgaris,P.:最短向量问题的更快指数时间算法。收录于:Charika,M.(编辑)《第21版SODA》,第1468-1480页。ACM-SIAM(2010)·Zbl 1288.94076号
[58] Micciancio,D.,Walter,M.:开销最小的快速格点枚举。摘自:Indyk,P.(编辑)第26版SODA,第276-294页。ACM-SIAM,2015年1月·兹比尔1372.68140
[59] Micciancio博士。;Walter,M。;费希林,M。;科隆,J-S,实用,可预测格基约简,密码学进展-EUROCRYPT 2016,820-849(2016),海德堡:施普林格,海德伯格·Zbl 1385.94062号 ·doi:10.1007/978-3-662-49890-331
[60] Moghimi,D.,Lipp,M.,Sunar,B.,Schwarz,M.:美杜莎:通过自动攻击合成的微架构数据泄漏。收录于:Capkun和Roesner[25],第1427-1444页
[61] Moghimi,D.,Sunar,B.,Eisenbarth,T.,Heninger,N.:TPM-FAIL:TPM遇到定时和晶格攻击。收录:Capkun和Roesner[25],第2057-2073页
[62] Nemec,M.,SíS,M.、Svenda,P.、Klinec,D.、Matyas,V.:铜匠攻击的回归:广泛使用的RSA模的实际因式分解。收录于:Thurasingham,B.M.,Evans,D.,Malkin,T.,Xu,D.(编辑)ACM CCS 2017,第1631-1648页。ACM出版社(2017)
[63] Nguyen,PQ;Shparlinski,I.,数字签名算法的不安全性,部分已知nonce,J.Cryptol。,15, 3, 151-176 (2002) ·Zbl 1009.94011号 ·文件编号:10.1007/s00145-002-0021-3
[64] Nguyen,PQ;Tibouchi,M。;乔伊,M。;Tunstall,M.,《基于格的签名错误攻击》,《密码学中的错误分析》,201-220(2012),海德堡:斯普林格出版社·Zbl 1267.94087号 ·电话:10.1007/978-3-642-29656-7_12
[65] Nguyen,PQ;Vidick,T.,最短向量问题的筛选算法是实用的,J.Math。加密。,2, 2, 181-207 (2008) ·Zbl 1193.11117号 ·doi:10.1515/JMC.2008.009
[66] Phost,M.,关于最小长度、连续最小值和约化基的格向量的计算及其应用,SIGSAM Bull。,15, 37-44 (1981) ·Zbl 0467.10022号 ·doi:10.1145/1089242.1089247
[67] Regev,O.:关于格、错误学习、随机线性码和密码学。收录人:Gabow,H.N.,Fagin,R.(编辑),第37届ACM STOC,第84-93页。ACM出版社,2005年5月·Zbl 1192.94106号
[68] Ryan,K.:隐藏数字问题的回归。IACR TCHES 2019(1),146-168(2018)。https://tches.iacr.org/index.php/tches/article/view/7337
[69] Ryan,K.:硬件支持的抢劫:从高通的TrustZone中提取ECDSA密钥。收录于:Cavallaro,L.、Kinder,J.、Wang,X.、Katz,J.(编辑)ACM CCS 2019,第181-194页。ACM出版社,2019年11月
[70] Schnorr,CP,多项式时间格基约简算法的层次结构,Theor。计算。科学。,5201-224(1987年)·Zbl 0642.10030号 ·doi:10.1016/0304-3975(87)90064-8
[71] 施诺尔,C。;Euchner,M.,《格基约简:改进的实用算法和解决子集和问题》,数学。程序。,66, 181-199 (1994) ·Zbl 0829.90099号 ·doi:10.1007/BF01581144
[72] Stein,W.等人:Sage数学软件9.0版。圣人发展团队(2019年)。http://www.sagemath.org
[73] Takahashi,A.,Tibouchi,M.,Abe,M.:新的Bleichenbacher记录:qDSA签名的错误攻击。IACR TCHES 2018(3),331-371(2018)。https://tches.iacr.org/index.php/tches/article/view/7278
[74] FPLLL开发团队:FPLLL,晶格还原库(2020年)。https://github.com/fplll/fplll
[75] FPLLL开发团队:FPyLLL,FPLLL的Python接口(2020)。https://github.com/fplll/fpylll网址
[76] G6K开发团队:G6K(2020年)。https://github.com/fplll/g6k
[77] Tibouchi,M.:对(ec)dsa的有偏见的攻击(2017年)。https://ecc2017.cs.ru.nl/slides/ecc2017-tibouchi.pdf,椭圆曲线密码工作坊
[78] Weiser,S.,Schrammel,D.,Bodner,L.,Spreitzer,R.:大数字-大问题:系统分析(EC)DSA实现中的临时泄漏。收录于:Capkun和Roesner[25],第1767-1784页
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。