×
奥努尔Acáiçmez;沃纳·辛德勒

由于指令缓存分析及其在OpenSSL上的演示,RSA实现中存在漏洞。 (英语) Zbl 1153.94341号

Malkin,Tal(编辑),密码学主题-CT-RSA 2008。2008年4月8日至11日,美国加利福尼亚州旧金山举行的2008年RSA大会上,密码学家们的足迹。诉讼程序。柏林:施普林格出版社(ISBN 978-3-540-79262-8/pbk)。《计算机科学讲义》4964256-273(2008)。
摘要:微体系结构分析(MA)技术,特别是简单分支预测分析(SBPA)和指令缓存分析,有可能揭示软件实现的密码系统的整个执行流程。在本文中,我们将展示,即使有最安全的配置,包括针对侧通道和MicroArchitectural分析的所有对策(特别是基础盲法),也可以在原始未修补的OpenSSL版本(v.0.9.8e)中完全破坏RSA。我们还讨论了防止这种攻击的(已知)对策。
在第一步中,我们应用指令缓存攻击来揭示哪些蒙哥马利操作需要额外的缩减。为了利用这些信息,我们通过随机过程对模幂算法的计时行为进行建模。它的分析提供了最佳猜测策略,揭示了密钥(pmod{p_1})以及RSA模(n=p_1p_2)的因式分解。对于指令缓存攻击,我们应用了嵌入在目标进程(OpenSSL)中的间谍进程,这显然有助于实验部分。这种简化并没有使我们的结果无效,因为嵌入式间谍进程和(适当实现的)独立间谍进程的缓存内攻击经验结果非常接近,而且我们的猜测策略是容错的。有趣的是,我们攻击的第二步与智能卡上的特定功率和定时组合攻击有关。
在我们发布结果之前,我们通知了OpenSSL开发团队,他们在v.0.9.7e和CERT的稳定分支中加入了一个补丁,并通知了软件供应商。特别是,该对策包含在当前版本0.9.8f中。我们只分析了OpenSSL,因此我们目前不知道其他加密库的强度。
关于整个系列,请参见[Zbl 1134.94002号].

引用于5文件

理学硕士:

94A60型 密码学

关键词:

RSA公司;蒙哥马利乘法;指令-缓存攻击;微观建筑分析;侧通道分析;随机过程

软件:

开放SSL
PDF格式BibTeX公司 XML格式引用
\textit{O.Acçmez}和\textit{W.Schindler},莱克托。注释计算。科学。4964,256--273(2008;Zbl 1153.94341)
全文: 内政部

参考文献:

[1] Acáiçmez,O.,Schindler,W.:由于微体系结构分析威胁,RSA实现中的一个主要漏洞。Cryptology ePrint Archive,报告2007/336(2007年8月)
[2] Acíiçmez,O.,《又一次微体系结构攻击:利用i-cache》,ACM计算机安全体系结构研讨会,11-18(2007),纽约:ACM出版社,纽约·数字对象标识代码:10.1145/1314466.1314469
[3] 俄亥俄州Acáiçmez。;Seifert,J.-P.,《廉价硬件并行性意味着廉价安全》,第四届密码术故障诊断和容错研讨会-FDTC 2007,80-91(2007),Los Alamitos:IEEE计算机学会,Los Alamitos·doi:10.1109/FDTC2007.16
[4] 俄亥俄州Acáiçmez。;Gueron,S。;塞弗特,J.-P。;Galbraith,S.D.,OpenSSL中的新分支预测漏洞和必要的软件对策,密码学和编码,185-203(2007),海德堡:施普林格,海德堡·Zbl 1154.94367号 ·doi:10.1007/978-3-540-77272-9_12
[5] Acıiçmez,O.,Koç,Ç。K.,Seifert,J.-P.:《简单分支预测分析的力量》。在:Deng,R.,Samarati,P.(编辑)ACM信息、计算机和通信安全研讨会(ASIACCS 2007),第312-320页(2006);Cryptology ePrint Archive,报告2006/351(2006年10月)
[6] 俄亥俄州Acáiçmez。;圣科奇。英国。;塞弗特,J.-P。;Abe,M.,通过分支预测预测密钥,密码学主题-CT-RSA 2007,225-242(2006),海德堡:施普林格·Zbl 1177.94125号 ·doi:10.1007/11967668_15
[7] 俄亥俄州Acáiçmez。;辛德勒,W。;圣科奇。英国。;Abe,M.,AES上基于缓存的远程定时攻击,密码学主题-CT-RSA 2007,271-286(2006),海德堡:施普林格·Zbl 1177.94126号 ·doi:10.1007/11967668_18
[8] 俄亥俄州Acáiçmez。;辛德勒,W。;圣科奇。英国。;梅多斯,C。;Syverson,P.,《改进对无保护SSL实现的Brumley和Boneh定时攻击》,第12届ACM计算机和通信安全会议论文集,139-146(2005),纽约:ACM出版社,纽约·doi:10.1145/1102120.1102140
[9] Bernstein,D.J.:AES的缓存式攻击。技术报告,37页(2005年4月),http://cr.yp.to/tantiforgery/cachetiming-20050414.pdf
[10] Brumley,D.和Boneh,D.:远程定时攻击很实用。摘自:第12届Usenix安全研讨会论文集,第1-14页(2003年)
[11] Dhem,J.-F。;科恩,F。;勒鲁,P.-A。;梅斯特雷,P.-A。;基斯夸特,J.-J。;威廉,J.-L。;施耐尔,B。;Quisurger,J.-J.,《定时攻击的实际实现》,智能卡。研究与应用,175-191(2000),海德堡:施普林格,海德堡
[12] Gueron,S。;小B·S·卡利斯基。;圣科奇。英国。;Paar,C.,《增强蒙哥马利乘法,密码硬件和嵌入式系统-CHES 2002,46-56(2003)》,海德堡:斯普林格,海德伯格·Zbl 1028.68001号 ·doi:10.1007/3-540-36400-55
[13] 哈切斯,G。;基斯夸特,J.-J。;Paar,C。;圣科奇。K.,无最终减法的蒙哥马利指数:改进的结果,密码硬件和嵌入式系统-CHES 2000,91-100(2000),海德堡:斯普林格·doi:10.1007/3-540-44499-8_23
[14] Kocher,P.C.,Jaffe,J.M.:智能卡和其他密码系统的安全模块指数与泄漏最小化。美国专利,专利号:US 6298442 B1(2001年10月)
[15] 梅内泽斯,A.J。;van Oorschot,P.C。;Vanstone,S.C.,《应用密码学手册》(1997),纽约:CRC出版社,纽约·Zbl 0868.94001号
[16] Neve,M.:基于缓存的漏洞和SPAM分析。伦敦大学学院应用科学博士论文(2006年7月)
[17] 内夫,M。;塞弗特,J.-P。;Biham,E。;Youssef,A.M.,《AES上访问驱动缓存攻击的进展》,《密码学中的选定领域》,147-162(2007),海德堡:斯普林格出版社·Zbl 1161.94421号 ·doi:10.1007/978-3-540-74462-7_11
[18] Osvik,D.A。;沙米尔。;Tromer,E。;Pointcheval,D.,《缓存攻击与对策:AES案例》,密码学主题-CT-RSA 2006,1-20(2006),海德堡:斯普林格,海德伯格·Zbl 1125.94326号 ·doi:10.1007/11605805_1
[19] Page,D.:缓存作为密码分析边通道的理论使用。布里斯托尔大学计算机科学系技术报告(2002年6月)
[20] 珀西瓦尔,C.:缺少缓存是为了好玩和盈利。BSDCan 2005,渥太华(2005),http://www.daemonology.net/hyperreading-considered-hardial/
[21] 辛德勒,W。;Vaudenay,S.,《用高级随机方法优化边信道攻击》,公钥密码-PKC 2005,85-103(2005),海德堡:斯普林格,海德伯格·兹比尔1081.94536
[22] 辛德勒,W。;Walter,C.D。;Paterson,K.G.,《针对RSA实现的联合定时和功率攻击的更多细节》,密码术和编码,245-263(2003),海德堡:施普林格·Zbl 1123.94361号
[23] 辛德勒,W。;Naccache,D。;Paillier,P.,《定时和功率攻击的组合》,公钥密码术,263-279(2002),海德堡:施普林格出版社·Zbl 1055.94531号 ·doi:10.1007/3-540-45664-3_19
[24] Schindler,W.,《针对公钥密码系统的优化定时攻击,统计与决策》,第20期,第191-210页(2002年)·Zbl 1023.62005年
[25] 辛德勒,W。;科恩,F。;基斯夸特,J.-J。;Honary,B.,《通过更好的错误检测/纠正策略改进针对密码系统的分治攻击》,《密码与编码》,245-267(2001),海德堡:斯普林格·Zbl 0998.94545号 ·doi:10.1007/3-540-45325-3_22
[26] 辛德勒,W。;Paar,C。;圣科奇。K.,利用中国剩余定理对RSA进行定时攻击,密码硬件和嵌入式系统-CHES 2000,110-125(2000),海德堡:Springer,Heidelberg·doi:10.1007/3-540-44499-88
[27] Walter,C.D。;汤普森,S。;Naccache,D.,《通过观察模减法区分指数数字》,密码学主题-CT-RSA 2001,192-207(2001),海德堡:斯普林格,海德伯格·Zbl 0991.94048号 ·doi:10.1007/3-540-45353-9_15
[28] Walter,C.D.,Montgomery指数无需最后减法,IEE Electronics Letters,35,21,1831-1832(1999)·doi:10.1049/el:1991230
[29] Walter,C.D。;圣科奇。英国。;Paar,C.,蒙哥马利的乘法技术:如何使其更小更快,密码硬件和嵌入式系统,80-93(1999),海德堡:斯普林格·Zbl 0955.68007号 ·doi:10.1007/3-5440-48059-5_9
[30] http://www.ntt.co.jp/news/news06e/0611/061108a.html
[31] http://cvs.openssl.org/chngview?cn=16275
[32] ftp://ftp.openssl.org/快照/
[33] http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-3108年
[34] 网址:http://www.cert.org/
[35] 美国CERT漏洞说明,http://www.kb.cert.org/vuls/id/724968
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。