×
纪尧姆·巴布;克里斯托夫·吉拉德

所有这些都应该是FA-LLL:使用基于格的故障攻击来破坏CT-RSA 2022和CHES 2022的感染性对策。 (英语) Zbl 1522.94036号

Mike Rosulek(编辑),密码学主题–CT-RSA 2023。2023年4月24日至27日,在美国加利福尼亚州旧金山举行的RSA 2023年会议上,密码学家的足迹。诉讼程序。查姆:斯普林格。莱克特。注释计算。科学。13871, 445-468 (2023).
摘要:在[W.曹等,Lect。注释计算。科学。13161, 169–195 (2022;Zbl 1492.94074号)]引入了一种新的感染对策来保护确定性ECDSA和EdDSA签名方案,以抵御故障攻击的威胁。几个月后,确定性ECDSA的另一个感染对策出现在[S.Bauer公司,事务处理。加密程序。哈德。嵌入。系统。2022年,第4期,第25–55期(2022年;doi:10.46586/tches.v2022.i4.25-55)]在White-Box实现的上下文中。在本文中,我们通过引入几种结合故障注入和格约简技术的攻击,表明这两种对策并没有达到其目标。只要有两个错误的签名,我们就能成功地恢复相应的私钥。这些结果再次证明,感染对策的设计是一项非常具有挑战性的任务,尤其是在非对称加密的情况下。
关于整个系列,请参见[Zbl 1521.94005号].

MSC公司:

94A60型 密码学
94A62 身份验证、数字签名和秘密共享

关键词:

故障攻击;基于格的攻击;确定性ECDSA;EdDSA公司;白盒

引文:

Zbl 1492.94074号

软件:

fpylll公司;fpLLL公司;版本25519;github
PDF格式BibTeX公司 XML格式引用
\textit{G.Barbu}和\textit{C.Giraud},Lect。注释计算。科学。13871,445--468(2023;Zbl 1522.94036)
全文: 内政部

参考文献:

[1] 安布罗斯,C。;Bos,JW;费伊,B。;乔伊,M。;罗切特,M。;B.穆雷。;智能,NP,确定性签名的差异攻击,密码学主题-CT-RSA 2018,339-353(2018),Cham:Springer,Cham·Zbl 1507.94060号 ·doi:10.1007/978-3-319-76953-0_18
[2] Anderson,R.,Kuhn,M.:改进的差动故障分析。Manuscrit,1996年11月12日
[3] Aranha,D.F.,Novaes,F.R.,Takahashi,A.,Tibouchi,M.,Yarom,Y.:梯子泄漏:以不到一位的暂时泄漏破坏ECDSA。摘自:Ligatti,J.、Ou,X.、Katz,J.和Vigna,G.(编辑)《ACM CCS 2020》,第225-242页。ACM出版社(2020)
[4] Bao,F.,Deng,R.,Han,Y.,Jeng,A.,Narasimhalu,A.D.,Ngair,T.H.:一种在防篡改设备上对抗RSA新攻击的方法。马努斯克里特,1996年10月24日
[5] Bao,F.,Deng,R.,Han,Y.,Jeng,A.,Narasimhalu,A.D.,Ngair,T.-H.:对RSA防篡改设备的新攻击。马努斯克里特,1996年10月13日
[6] Bao,F.,Deng,R.,Han,Y.,Jeng,A.,Narasimhalu,D.,Nagir,T.H.:对防篡改设备上的公钥密码系统的新攻击。马努斯克里特,1996年10月29日
[7] Bar-El,H。;Choukri,H。;Naccache,D。;Tunstall,M。;Whelan,C.,《魔法师的错误攻击学徒指南》,Proc。IEEE,94,2,370-382(2006)·doi:10.1109/JPROC.2005.862424
[8] 巴布,G。;K.黑泽明。;Hanaoka,G.,对CRT-RSA的联合攻击:为什么公共验证不能是公共的?,公开密钥密码术-PKC 2013,198-215(2013),海德堡:施普林格·Zbl 1314.94055号 ·doi:10.1007/978-3-642-36362-7_13
[9] Barbu,G.,ECDSA白盒实现:CHES 2021挑战的攻击和设计,IACR Trans。加密程序。哈德。嵌入。系统。,2022, 4, 527-552 (2022) ·doi:10.46586/tches.v2022.i4.527-552
[10] 巴伦吉,A。;佩洛西,G。;小川,K。;Yoshioka,K.,《针对确定性签名方案的错误攻击注释》,《信息与计算机安全进展》,182-192(2016),查姆:斯普林格,查姆·Zbl 1398.94190号 ·doi:10.1007/978-3-319-44524-3_11
[11] Barker,E.,Kelsey,J.:使用确定性随机位生成器生成随机数的建议。技术报告,NIST(2015)。doi:10.6028/NIST。SP.800-90Ar1型
[12] Battistello,A.,Giraud,C.:感染性AES计算的故障分析。收录于:Fischer,W.,Schmidt,J.-M.(编辑)FDTC 2013,第101-107页。IEEE(2013)
[13] Battistello,A.,Giraud,C.:翻译迷失:感染性安全证据的错误分析。摘自:Homma,N.,Lomné,V.(编辑)FDTC 2015,第45-53页。IEEE计算机学会(2015)
[14] Battistello,A。;Giraud,C。;Standaert,F-X;Oswald,E.,《关于CHES 2014对称感染对策安全性的说明》,《建设性侧面渠道分析和安全设计》,144-159(2016),查姆:斯普林格,查姆·doi:10.1007/978-3-319-43283-09
[15] Bauer,S.、Drexler,H.、Gebhardt,M.、Klein,D.、Laus,F.、Mittmann,J.:针对白盒ECDSA的攻击和对策讨论——关于2021年WhibOx竞赛的报告。《加密电子打印档案》,报告2022/448(2022)。https://ia.cr/2022/448
[16] Bauer,S。;Drexler,H。;Gebhardt,M。;克莱因,D。;Laus,F。;Mittmann,J.,《针对白盒ECDSA的攻击和对策讨论》,《2021年WhibOx竞赛报告》,IACR Trans。加密程序。哈德。嵌入。系统。,2022, 4, 25-55 (2022) ·doi:10.46586/tches.v2022.i4.25-55
[17] Bellcore:新的威胁模型破坏了密码。新闻稿(1996年)
[18] DJ伯恩斯坦;杜伊夫,N。;兰格,T。;施瓦布,P。;Yang,BY,《高速高安全签名,密码硬件和嵌入式系统》(CHES 2011):第十三届国际研讨会,日本奈良,2011年9月28日至10月1日,124-142(2011),海德堡:斯普林格,海德伯格·Zbl 1321.94039号 ·doi:10.1007/978-3-642-23951-9_9
[19] Berzati,A.、Canovas,C.、Goubin,L.:(In)针对CRT-RSA实现的故障注入攻击的安全性。收录于:Breveglieri,L.、Gueron,S.、Koren,I.、Naccache,D.、Seifert,J.-P.(编辑)FDTC 2008,第101-107页。IEEE计算机学会(2008)
[20] 贝尔,I。;梅耶,B。;缪勒,V。;Bellare,M.,椭圆曲线密码系统的差分错误攻击,密码学进展-CRYPTO 2000,131-146(2000),海德堡:Springer,Heidelberg·Zbl 0989.94505号 ·doi:10.1007/3-540-44598-68
[21] Biham,E.,Shamir,A.:DES的一种新的密码分析攻击。马努斯克里特,1996年10月18日
[22] Biham,E.,Shamir,A.:差分故障分析:识别密封在防篡改装置中的未知密码的结构。Manuscrit,1996年11月10日
[23] Biham,E。;沙米尔。;Kaliski,BS,秘密密钥密码系统的差分错误分析,密码学进展-密码学’97,513-525(1997),海德堡:斯普林格·Zbl 0886.94010号 ·doi:10.1007/BFb0052259
[24] Blömer,J.、Otto,M.、Seifert,J.-P.:一种新的CRT-RSA算法,可抵御Bellcore攻击。收录于:Jajodia,S.、Atluri,V.、Jaeger,T.(编辑)ACM CCS 2003,第311-320页。ACM出版社(2003)
[25] Boneh,D。;德米洛,RA;利普顿,RJ;Fumy,W.,《关于检查密码协议故障的重要性》,《密码学进展-EUROCRYPT’97,37-51》(1997),海德堡:斯普林格·doi:10.1007/3-540-69053-04
[26] Boneh,D。;文卡特桑,R。;Koblitz,N.,《计算Diffie-Hellman和相关方案中最重要密钥位的困难》,《密码学进展-密码体制’96,129-142(1996)》,海德堡:斯普林格,海德伯格·Zbl 1329.94054号 ·doi:10.1007/3-540-68697-5_11
[27] 布莱特纳,J。;Heninger,N。;戈德伯格,I。;Moore,T.,《偏置当下感:针对加密货币中弱ECDSA签名的格攻击》,《金融加密与数据安全》,3-20(2019),查姆:斯普林格,查姆·Zbl 1460.94039号 ·doi:10.1007/978-3-030-32101-7_1
[28] Bruinderink,LG;Pessl,P.,确定性晶格特征的差分故障攻击,IACR TCHES,2018,3,21-43(2018)·doi:10.46856/tches.v2018.i3.21-43
[29] 曹伟。;Kwon,S。;Yun,A.,利用wNAF算法对ECDSA进行两次基于格的差分故障攻击,信息安全和密码学-ICISC 2015,297-313(2016),Cham:Spriger,Cham·Zbl 1384.94040号 ·doi:10.1007/978-3-319-30840-1_19
[30] 曹伟。;Shi,H。;陈,H。;陈,J。;范,L。;Wu,W。;Galbraith,SD,《对ECDSA和EdDSA确定性签名方案的基于格的故障攻击》,《密码学主题-CT-RSA 2022,169-195(2022)》,查姆:斯普林格,查姆·Zbl 1492.94074号 ·doi:10.1007/978-3-030-95312-68
[31] Ciet,M。;Joye,M.,存在永久和瞬态故障的椭圆曲线密码系统,Des。密码隐秘。,36, 1, 33-43 (2005) ·Zbl 1077.94012号 ·doi:10.1007/s10623-003-1160-8
[32] T.F.开发团队:fpylll,fplll晶格简化库的Python包装器,版本:0.4.1(2018)。https://github.com/fplll/fpylll网址
[33] Dottax,E。;Giraud,C。;Houzelot,A。;巴辛,S。;De Santis,F.,《White-box ECDSA:挑战与现有解决方案》,《建设性侧通道分析与安全设计》,184-201(2021),查姆:施普林格,查姆·Zbl 1491.94046号 ·doi:10.1007/978-3-030-89915-89
[34] 费克斯,B。;Venelli,A。;Prouff,E.,《利用故障注入战胜组合抗攻击指数法》,《构造性侧通道分析与安全设计》,32-45(2013),海德堡:斯普林格出版社,海德伯格·doi:10.1007/978-3-642-40026-13
[35] 冯,J。;陈,H。;李毅。;焦,Z。;Xi,W.,《针对故障攻击的感染对策评估和分析框架》,IEEE Trans。Inf.法医安全。,15, 391-406 (2020) ·doi:10.1109/TIFS.2019.2903653
[36] FIPS PUB 186-5(草案)。数字签名标准。国家标准与技术研究所,2019年10月31日
[37] Gierlichs,B。;施密特,J-M;Tunstall,M。;Hevia,A。;Neven,G.,《感染性计算和伪轮:输出前无校验分组密码的故障保护》,《密码学进展-LATINCRYPT 2012,305-321(2012)》,海德堡:斯普林格,海德伯格·Zbl 1304.94062号 ·doi:10.1007/978-3-642-33481-8_17
[38] Giraud,C。;多伯丁,H。;Rijmen,V。;Sowa,A.,AES上的DFA,高级加密标准-AES,27-41(2005),海德堡:斯普林格·Zbl 1117.94319号 ·数字对象标识代码:10.1007/115064474
[39] Giraud,C。;克努森,EW;Wang,H。;Pieprzyk,J。;Varadharajan,V.,《签名方案的错误攻击》,信息安全与隐私,478-491(2004),海德堡:施普林格·Zbl 1098.94613号 ·doi:10.1007/978-3-540-27800-9_41
[40] 吉罗,C。;克努森,EW;Tunstall,M。;Gollmann,D。;拉内,J-L;Iguchi-Cartigny,J.,《签名方案的改进故障分析》,智能卡研究与高级应用,164-181(2010),海德堡:施普林格·doi:10.1007/978-3642-12510-2-12
[41] Giraud,C。;蒂贝奥德,H。;基斯夸特,J-J;帕拉迪纳斯,P。;德斯瓦特,Y。;El Kalam,AA,故障攻击调查,智能卡研究和高级应用VI,159-176(2004),马萨诸塞州波士顿:斯普林格·doi:10.1007/1-4020-8147-2_11
[42] Jancar,J.、Sedlacek,V.、Svenda,P.、Sys,M.:Minerva:ECDSA nonces的诅咒。摘自:IACR《加密硬件和嵌入式系统交易》,第281-308页(2020年)
[43] Joye,M.,Quiscuter,J.-J.:使用中国剩余物攻击系统。技术报告CG-1996/9,UCL(1996)。http://www.dice.ucl.ac.be/crypto/tech报告.html
[44] Lenstra,A.:关于存在故障时RSA签名生成的备忘录。手稿(1996)。http://cm.bell-labs.com/who/akl/rsa.doc
[45] 阿拉斯加州伦斯特拉;伦斯特拉,HW;Lovasz,L.,有理系数多项式的分解,数学。《年鉴》,261515-534(1982)·Zbl 0488.12001号 ·doi:10.1007/BF01457454
[46] Lomné,V.,Roche,T.,Thillard,A.:关于故障攻击对策中随机性的需求——应用于AES。收录于:Bertoni,G.,Gierlichs,B.(编辑)FDTC 2012,第85-94页。IEEE计算机学会(2012)
[47] Naccache,D。;Nguyín,PQ;汤斯顿,M。;惠兰,C。;Vaudenay,S.,《故障、格和DSA实验》,公钥密码术-PKC 2005,16-28(2005),海德堡:施普林格,海德伯格·Zbl 1081.94533号 ·doi:10.1007/978-3-540-30580-43
[48] Nguyen,PQ;Shparlinski,I.,数字签名算法的不安全性,部分已知nonce,J.Cryptol。,15, 3, 151-176 (2002) ·Zbl 1009.94011号 ·文件编号:10.1007/s00145-002-0021-3
[49] Nguyen,PQ;Shparlinski,IE,部分已知nonce的椭圆曲线数字签名算法的不安全性,Des。密码。,201-217年2月30日(2003年)·Zbl 1039.94008号 ·doi:10.1023/A:1025436905711
[50] Nguyen,PQ;Tibouchi,M。;乔伊,M。;Tunstall,M.,《基于格的签名错误攻击》,《密码学中的错误分析》,201-220(2012),海德堡:斯普林格出版社·Zbl 1267.94087号 ·doi:10.1007/978-3-642-29656-7_12
[51] Piret,G。;基斯夸特,J-J;沃尔特,CD;科奇,切克;Paar,C.,《针对SPN结构的差分故障攻击技术及其在AES和Khazad中的应用》,《密码硬件和嵌入式系统-CHES 2003》,77-88(2003),海德堡:斯普林格,海德伯格·Zbl 1274.94107号 ·doi:10.1007/978-3-540-45238-67
[52] Poddebniak,D.,Somorovsky,J.,Schinzel,S.,Lochter,M.,Rösler,P.:使用故障攻击攻击确定性签名方案。摘自:《2018年欧洲标准普尔》,第338-352页。IEEE(2018)
[53] Pornin,T.:数字签名算法(DSA)和椭圆曲线数字签名算法的确定性使用。RFC 6979(2013)。https://www.rfc-editor.org/info/rfc6979
[54] Quishuter,J.-J.:使用故障分析进行彻底搜索的捷径:DES、MAC、键控哈希函数、识别协议等的应用。。。Manuscrit 1996年10月23日
[55] Rauzy,P.,Guilley,S.:针对CRT-RSA的高阶故障注入攻击的对策。见:Tria,A.,Choi,D.(编辑)FDTC 2014,第68-82页。IEEE计算机学会(2014)
[56] Rivane,M。;Clavier,C。;Gaj,K.,《DES中局差分故障分析》,密码硬件和嵌入式系统-CHES 2009,457-469(2009),海德堡:斯普林格·Zbl 1290.94124号 ·doi:10.1007/978-3-642-04138-9_32
[57] 罗氏、T.、洛美、V.、穆施勒、C.、Imbert、L.:《泰坦之旅》。收录于:Bailey,M.,Greenstadt,R.(编辑)USENIX Security 2021,第231-248页。USENIX协会(2021)
[58] Romailler,Y.,Pelissier,S.:针对Ed25519和EdDSA签名方案的实际错误攻击。收录于:FDTC 2017,第17-24页。IEEE计算机学会(2017)
[59] Samwel,N。;巴蒂纳,L。;Joux,A。;Nitaj,A。;Rachidi,T.,《确定性签名的实用错误注入:EdDSA案例》,《密码学进展-非洲密码》2018,306-321(2018),查姆:斯普林格,查姆·Zbl 1423.94100号 ·doi:10.1007/978-3-319-89339-6_17
[60] Schmidt,J.,Medwed,M.:对ECDSA的错误攻击。收录于:Breveglieri,L.、Koren,I.、Naccache,D.、Oswald,E.、Seifert,J.(编辑)FDTC 2009,第93-99页。IEEE计算机学会(2009)
[61] 施密特,J-M;Tunstall,M。;阿文齐,R。;基日瓦托夫,I。;Kasper,T。;奥斯瓦尔德,D。;阿卜杜拉,M。;巴雷托,PSLM,《联合实现抗攻击指数化》,《密码学进展-LATINCRYPT 2010,305-322(2010)》,海德堡:斯普林格,海德伯格·Zbl 1285.94096号 ·doi:10.1007/978-3-642-14712-8_19
[62] 施诺尔,CP;尤奇纳,M。;Budach,L.,《格基约简:改进的实用算法和解决子集和问题》,《计算理论基础》,68-85(1991),海德堡:斯普林格·Zbl 0925.11049号 ·doi:10.1007/3-540-54458-5_51
[63] Sun,C。;Espitau,T。;Tibouchi,M。;Abe,M.,《猜测比特:(EC)DSA上的改进格攻击(nonce leakage)》,IACR Trans。嵌入加密硬件。系统。,2022, 1, 391-413 (2022)
[64] Tupsamudre,H。;比什特,S。;Mukhopadhyay博士。;巴蒂纳,L。;Robshaw,M.,用随机化破坏故障不变量,密码硬件和嵌入式系统-CHES 2014,93-111(2014),海德堡:Springer,Heidelberg·Zbl 1383.94046号 ·doi:10.1007/978-3-662-44709-36
[65] Vanstone,S.,对NIST提案的回应,Commun。ACM,35,50-52(1992)
[66] Wagner,D.:可证明安全的CRT-RSA算法的密码分析。摘自:Atluri,V.,Pfitzmann,B.,McDaniel,P.(编辑)ACM CCS 2004,第92-97页。ACM出版社(2004)
[67] 日元,S-M;Kim,D。;月亮,SJ;布雷维格里。;科伦,I。;Naccache博士。;Seifert,J-P,基于故障感染的RSA和CRT两种协议的密码分析,密码学中的故障诊断和容错,53-61(2006),海德堡:斯普林格·doi:10.1007/11889700_5
[68] 宋明,Y。;Kim,S。;Lim,S。;Moon,S。;Kim,K.,RSA使用对硬件故障密码分析免疫的剩余数系统加速,信息安全和密码学-ICISC 2001,397-413(2002),海德堡:斯普林格·Zbl 0999.94539号 ·文件编号:10.1007/3-540-45861-1_30
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。