×
丹尼尔·伯恩斯坦。

一次性单位错误会将以前所有的NTRU-HRSS会话密钥泄漏给chosen-ciphertext攻击。 (英语) Zbl 1519.94051号

Isobe,Takanori(编辑)等人,密码学进展–INDOCRYPT 2022。2022年12月11日至14日在印度加尔各答举行的第23届国际密码学会议。诉讼程序。查姆:斯普林格。莱克特。注释计算。科学。13774, 617-643 (2023).
摘要:本文提出了一种高效的攻击,在标准的IND-CCA2攻击模型中,再加上一次单位故障,恢复NTRU-HRSS会话密钥。这种类型的故障预计会通过自然DRAM位翻转发生在许多用户身上。在多目标IND-CCA2攻击模型加上一次性单位故障中,该攻击会恢复故障发生前封装到目标公钥中的每个NTRU-HRSS会话密钥。提供使用模拟故障执行完整多目标攻击的软件进行验证。本文还解释了2019年NTRU-HRSS的变化是如何导致这种攻击的。
关于整个系列,请参见[Zbl 1517.94008号].

MSC公司:

94A60 密码学

关键词:

选择密码攻击;自然断层;隐性拒绝

软件:

电子商务;电子广播控制系统;麦克利埃塞;曲线25519;NTRU公司
PDF格式BibTeX公司 XML格式引用
\textit{D.J.Bernstein},莱克特。注释计算。科学。13774、617--643(2023年;Zbl 1519.94051)
全文: 内政部

参考文献:

[1] -(无编辑),IEEE国际通信会议,ICC 2017,IEEE,2017。参见[38]
[2] Gorjan Alagic、Daniel Apon、David Cooper、Quynh Dang、Thin Dang、John Kelsey、Jacob Lichtinger、Carl Miller、Dustin Moody、Rene Peralta、Ray Perlner、Angela Robinson、Daniel-Smith-Tone、Yi-Kai Liu,NIST第三轮量子密码标准化进程的状态报告(2022年)。NISTIR 8413。引用于§1.1、§3.14、§3.14,§4.2
[3] Roberto Avanzi、Joppe Bos、Léo Ducas、Eike Kiltz、Tancrede Lepoint、Vadim Lyubashevsky、John M.Schanck、Peter Schwabe、Gregor Seiler、Damien Stehlé、CRYSTALS-Kyber:算法规范和支持文档(2020年)。§3.14引用
[4] Ciprian Baetu、F.Betül Durak、Loís Huguenin-Dumittan、Abdullah Talayhan、Serge Vaudenay,《后量子密码系统的滥用攻击》,载于《欧洲密码2019》[61](2019),第747-776页。引用于§3.7·Zbl 1509.81351号
[5] Mihir Bellare(编辑),《密码学进展-密码2000》,LNCS,1880,Springer,2000年。参见[62]
[6] Mihir Bellare、Hannah Davis、Felix Günther,《分离您的域:NIST PQC KEM、甲骨文克隆和只读无异性》,载于《Eurocrypt 2020》[32](2020),3-32。§3.10引用·Zbl 1492.94065号
[7] Mihir Bellare、Dennis Hofheinz、Eike Kiltz,IND-CCA定义中的细微差别:何时以及如何禁止挑战解密?,《密码学杂志》28(2015),29-48。§3.4引用·Zbl 1308.94059号
[8] Daniel J.Bernstein,《关于ECC的当前共识》(2001)。§1.1引用
[9] 丹尼尔·伯恩斯坦(Daniel J.Bernstein),《曲线25519:新的Diffie-Hellman速度记录》,载于《PKC 2006》[103](2006),207-228。§1.1引用·Zbl 1151.94480号
[10] 丹尼尔·伯恩斯坦(Daniel J.Bernstein),《对理想格的亚场对数攻击》(2014)。§3.3引用
[11] Daniel J.Bernstein,《如何设计椭圆曲线签名系统》(2014)。§2.4引用
[12] Daniel J.Bernstein,比较基于格的加密的安全性证明(2019)。第二届PQC标准化会议。§3.2引用
[13] 丹尼尔·伯恩斯坦(Daniel J.Bernstein),《论FO去民主化的松散》(2021年)。§3.14引用
[14] Daniel J.Bernstein,《理解二进制Goppa解码》(2022年)。§3.8、§3.8和§3.8引用
[15] Daniel J.Bernstein,libsecded(软件包)(2022年)。§4.6引用
[16] Daniel J.Bernstein,attackntrw(软件包)(2022年)。§4引用
[17] Daniel J.Bernstein、Leon Groot Bruinderink、Tanja Lange、Lorenz Panny、HILA5 Pindakaas:关于基于格的加密的CCA安全性和纠错,载于《非洲密码》2018[64](2018),203-216。§3.7引用·Zbl 1423.94051号
[18] Daniel J.Bernstein,Tanja Lange(编辑),eBACS:加密系统的ECRYPT基准测试(2022)。2022年8月25日查阅。§4.2引用
[19] Daniel J.Bernstein,Edoardo Perschetti,《迈向KEM统一》(2018年)。引用于§3.12、§4.4
[20] Eli Biham(编辑),《快速软件加密》,第四届国际研讨会,FSE’97,LNCS,1267,Springer,1997年。参见[91]
[21] Eli Biham,Lior Neumann,打破蓝牙配对固定坐标无效曲线攻击,SAC 2019[84](2019),250-273。§1.1引用·Zbl 1453.94060号
[22] Nina Bindel,Douglas Stebila,Shannon Veitch,《改进学习中的密钥重用攻击,错误密钥交换》,Latincrypt 2021[74](2021),168-188。§3.7引用·Zbl 1491.94039号
[23] Mario Blaum、Patrick G.Farrell、Henk C.A.van Tilborg(编辑),《信息、编码和数学》,Kluwer工程和计算机科学国际丛书,687,Kluwer,2002年。MR 2005a:94003。参见[101]·Zbl 1054.94001号
[24] Daniel Bleichenbacher,针对基于RSA加密标准PKCS#1的协议的选择密文攻击,《加密》1998[70](1998),1-12。§1引用·Zbl 2017年9月31日
[25] Hanno Böck,Juraj Somorovsky,Craig Young,《布莱肯巴赫预言威胁的回归》(ROBOT),[43](2018),817-849。§1引用
[26] Dan Boneh(编辑),《密码学进展-2003》,LNCS,2729,Springer,2003年。参见[56]·Zbl 1027.00041号
[27] Dan Boneh、Richard A.DeMillo和Richard J.Lipton,《关于检查密码协议故障的重要性》(扩展摘要),载于《欧洲密码》1997年[47](1997),第37-51页;另请参阅更新版本[28]。引用于§2.3、§2.3、?.3、§2.3和§2.4、§2.4、?.5、?.5和?.5
[28] Dan Boneh、Richard A.DeMillo和Richard J.Lipton,《关于密码计算中消除错误的重要性》,《密码学杂志》14(2001),101-119;另请参阅旧版本[27]·Zbl 1018.94014号
[29] Joe P.Buhler(编辑),算法数论,第三届国际研讨会,ANTS-III,LNCS,1423,Springer,1998年。参见[52]
[30] Kevin Butler,Kurt Thomas(编辑),第31届USENIX安全研讨会,USENIX-协会,2022年。参见[96]
[31] L.Jean Camp,Stephen Lewis(编辑),《信息安全经济学》,信息安全进展,12,Springer,2004年。参见[80]·Zbl 1054.91064号
[32] Anne Canteaut,Yuval Ishai(编辑),《密码学进展-欧洲密码2020》,LNCS,12106,Springer,2020年。参见[6]·Zbl 1482.94003号
[33] Anne Canteaut,François-Xavier Standaert(编辑),《密码学进展-欧洲密码2021》,LNCS,12697,Springer,2021。参见[34]·Zbl 1475.94011号
[34] Pierre-Louis Cayrel、Brice Colombier、Vlad-Florin Dragoi、Alexandre Menu、Lilian Bossuet,对经典McEliece密码系统的消息恢复激光故障注入攻击,[33](2021),438-467。§2.2中引用·Zbl 1479.94141号
[35] Cong Chen、Oussama Danba、Jeffrey Hoffstein、Andreas Hulsing、Joost Rijneveld、John M.Schanck、Peter Schwabe、William Whyte、Zhang、NTRU:算法规范和支持文档(2019年)。§4.4引用
[36] Mauro Conti、Jianying Zhou、Emiliano Casalicchio、Angelo Spognardi(编辑),《应用密码学和网络安全——第18届国际会议》,ACNS 2020,LNCS,12146,Springer,2020。参见[59]·Zbl 1454.94003号
[37] Alexander W.Dent,KEM设计师指南,载于Cirencester 2003[83](2003),133-151。引用于§3.10·Zbl 1123.94336号
[38] Jintai Ding,Saed Alsayigh,R.V.Saraswathy,Scott R.Fluhrer,Xiaodong Lin,RLWE密钥交换中重复使用密钥的信号功能泄漏,国际商会2017年[1](2017),1-6。§3.7引用
[39] 丁金泰,乔舒亚·迪顿,库尔特·施密特,维沙卡,张政,《一种针对NTRU密码系统的简单有效的密钥重用攻击》(2019)。§3.7引用
[40] Jintai Ding,Scott R.Fluhrer,Saraswathy RV,使用重用密钥完全攻击RLWE密钥交换,无信号泄漏,载于ACISP 2018[97](2018),467-486。§3.7引用·Zbl 1444.94063号
[41] John R.Douceur、Albert G.Greenberg、Thomas Bonald和Jason Nieh(编辑),第十一届计算机系统测量和建模国际联席会议记录,SIGMETRICS/Performance 2009,ACM,2009。参见[93]
[42] Orr Dunkelman,Stefan Dziembowski(编辑),《密码学进展-欧洲密码2022》,LNCS,13277,Springer,2022。参见[60]·Zbl 1493.94003号
[43] William Enck,Adrienne Porter Felt(编辑),第27届USENIX安全研讨会,2018年8月15日至17日,美国马里兰州巴尔的摩,USENIX-安全,2018年。参见[25]
[44] Wieland Fischer、Naofumi Homma(编辑),《密码硬件和嵌入式系统-CHES 2017》,LNCS,10529,Springer,2017。参见[57]·Zbl 1371.68007号
[45] Scott R.Fluhrer,基于环-LWE的密钥交换与密钥共享重用的密码分析(2016)。§3.7引用
[46] 藤崎英一郎(Eiichiro Fujisaki),冈本达介(Tatsuaki Okamoto),《非对称和对称加密方案的安全集成》,收录于《加密1999》[102](1999),第537-554页。§3.8引用·Zbl 0942.94019号
[47] Walter Fumy(编辑),《密码学进展-欧洲密码》97,LNCS,1233,Springer,1997年。参见[27]
[48] Debin Gao,Qi Li,Xiaohong Guan,Xiaofeng Liao(编辑),信息与通信安全第23届国际会议,ICICS 2021,LNCS,12919,Springer,2021。参见[105]·Zbl 1487.68013号
[49] J.Alex Halderman、Seth D.Schoen、Nadia Heninger、William Clarkson、Williams Paul、Joseph A.Calandrino、Ariel J.Feldman、Jacob Appelbaum、Edward W.Felten,《让我们记住:对加密密钥的冷启动攻击》,载于USENIX Security 2008[82](2008),45-60。引用于§2.6、§2.6、§2.6、§2.6
[50] Chris Hall,Ian Goldberg,Bruce Schneier,《针对多个公钥密码系统的反应攻击》,载于ICICS 1999[100](1999),2-12。§3.6、§3.6和§3.6引用·Zbl 0981.94027号
[51] Martin Hirt,Adam D.Smith(编辑),《密码学理论——第14届国际会议》,TCC 2016-B,LNCS,99862016年。参见[98]·Zbl 1349.94008号
[52] Jeffrey Hoffstein,Jill Pipher,Joseph H.Silverman,NTRU:基于环的公钥密码系统,载于ANTS III[29](1998),267-288。引用于§3.3,§3.3·Zbl 1067.94538号
[53] Jeffrey Hoffstein、Jill Pipher、Joseph H.Silverman、NTRU:一种新的高速公钥密码系统(2016)。在Crypto 1996上发行,2016年上线。§3.3引用
[54] Jeffrey Hoffstein,Joseph H.Silverman,《针对NTRU公钥密码系统的反应攻击》(2000年)。§3.7、§4.5引用
[55] Dennis Hofheinz,Kathrin Hövelmanns,Eike Kiltz,Fujisaki-Okamoto变换的模块化分析,收录于TCC 2017-1[65](2017),341-371。§3.11、§3.12引用·Zbl 1410.94082号
[56] Nick Howgrave-Graham、Phong Q.Nguyen、David Pointcheval、John Proos、Joseph H.Silverman、Ari Singer、William Whyte,解密失败对NTRU加密安全性的影响,收录于《加密2003》[26](2003),第226-246页。§3.7引用·Zbl 1122.94377号
[57] Andreas Hülsing,Joost Rijneveld,John M.Schanck,Peter Schwabe,NTRU的高速密钥封装,in[44](2017),232-252。§4.4引用·Zbl 1440.94058号
[58] Andreas Hülsing、Joost Rijneveld、John M.Schanck、Peter Schwabe、NTRU-HRSS-KEM:算法规范和支持文档(2017)。§4.4引用·Zbl 1440.94058号
[59] Loís Huguenin-Dumittan,Serge Vaudenay,《对NIST第2轮PQC的经典误用攻击——基于等级的方案的威力》,载于ACNS 2020[36](2020),208-227。§3.7引用·Zbl 07314284号
[60] Loís Huguenin-Dumittan,Serge Vaudenay,关于ROM中的IND-qCCA安全及其应用:CPA安全对于TLS 1.3来说足够了,在Eurocrypt 2022[42](2022),613-642中。§1引用·Zbl 1496.94049号
[61] Yuval Ishai,Vincent Rijmen(编辑),《密码学进展——2019年欧洲密码》,LNCS,11477,Springer,2019年。参见[4]·兹比尔1416.94012
[62] 埃利安·贾尔姆斯(Eliane Jaulmes),安托万·朱克斯(Antoine Joux),《针对NTRU的选择密码攻击》,《加密2000》[5](2000),20-35。§3.7引用·兹比尔0995.94525
[63] Simon Josefsson,Ilari Liusvaara,Edwards-curve数字签名算法(EdDSA)(2017)。§2.4引用
[64] Antoine Joux、Abderrahmane Nitaj、Tajjeeddine Rachidi(编辑),《密码学进展——2018年非洲密码》,LNCS,10831,Springer,2018年。参见[17]·Zbl 1387.94004号
[65] Yael Kalai、Leonid Reyzin(编辑),《密码学理论——第15届国际会议》,TCC 2017,LNCS,10677,Springer,2017年。参见[55]·兹比尔1374.94004
[66] Burt Kaliski,PKCS#1:RSA加密版本1.5(1998)。§2.4引用
[67] Matthias Kannwischer,删除NIST不再考虑的方案(2022年)。§4.2引用
[68] Jonathan Katz,Yehuda Lindell,《现代密码学导论:原理和协议》,Chapman&Hall/CRC,2007年。§1.1引用·Zbl 1143.94001号
[69] Neal Koblitz,《数学和密码学之间令人不安的关系》,《美国数学学会通告》54(2007),972-979。§4.4、§4.4引用·Zbl 1185.00037号
[70] Hugo Krawczyk(编辑),《密码学进展——98年密码》,LNCS,1462年,斯普林格出版社,1998年。参见[24]
[71] Adam Langley,CECPQ2(2018)。§1引用
[72] Arjen K.Lenstra,《存在故障时RSA签名生成的备忘录》(1996年)。§2.3、§2.5引用
[73] Joseph K.Liu,Hui Cui(编辑),《信息安全与隐私——第25届澳大利亚会议》,ACISP 2020,LNCS,12248,Springer,2020。参见[81]·Zbl 1461.68013号
[74] Patrick Longa,Carla Ráfols(编辑),《密码学进展——LATINCRYPT 2021》,LNCS,12912,Springer,2021。参见[22]·Zbl 1487.94007号
[75] Vadim Lyubashevsky,官方评论:晶体-二锂(2018)。§1.1引用
[76] Robert J.McEliece,基于代数编码理论的公钥密码系统(1978),114-116。JPL DSN进度报告。引用于§3.3,§3.3
[77] Alfred Menezes,《密码学安全级别评估:RSA签名方案》(PKCS#1 v1.5,ANSI X9.31,ISO 9796)(2002年)。§1引用
[78] 美国国家标准与技术研究所,后量子密码学标准化过程的提交要求和评估标准(2016)。§1引用
[79] Jesper Buus Nielsen、Vincent Rijmen(编辑),《密码学进展——2018年欧洲密码》,LNCS,10822,Springer,2018年。参见[92]·Zbl 1387.94006号
[80] Andrew M.Odlyzko,《互联网上的隐私、经济和价格歧视》,[31](2004),187-211。§4.6引用
[81] Satoshi Okada,Yuntao Wang,Tsuyoshi Takagi,用更少的查询改进NewHope的密钥不匹配攻击,载于ACISP 2020[73](2020),505-524。引用于§3.7·Zbl 1464.94044号
[82] Paul C.van Oorschot(编辑),《第17届USENIX安全研讨会论文集》,USENIX协会,2008年。参见[49]
[83] Kenneth G.Paterson(编辑),《密码学和编码》,第九届IMA国际会议,LNCS,2898,Springer,2003年。参见[37]·Zbl 1029.00082号
[84] Kenneth G.Paterson,Douglas Stebila(编辑),密码学选定领域-SAC 2019,LNCS,11959,Springer,2020。参见[21]·Zbl 1430.94005号
[85] Trevor Perrin,《XEdDSA和VXEdDSA签名方案》(2016年)。§2.4引用
[86] Edoardo Perschetti,《提高基于代码的加密的效率》,博士论文,2012年。§3.11引用·Zbl 1501.94050号
[87] Bart Preneel(编辑),《密码学进展-欧洲密码2000》,LNCS,1807,Springer,2000年。参见[95]
[88] Yue Qin,Chi Cheng,Xiaohan Zhang,Yanbin Pan,Lei Hu,Jintai Ding,对基于格的NIST候选KEM的密钥失配攻击的系统方法和分析,载于Asiacrypt 2021[99](2021),92-121。§3.7引用·Zbl 1514.94126号
[89] Yue Qin,Ruoyu Ding,Chi Cheng,Nina Bindel,Yanbin Pan,Jintai Ding,Light the signal:针对基于LWE的密钥交换的信号泄漏攻击优化(2022)。§3.7引用
[90] 普拉桑纳·拉维、马蒂亚努斯·弗雷德里克·埃泽曼、希瓦姆·巴辛、阿努帕姆·查托帕迪亚、苏霍伊·辛哈·罗伊,你能为我跨过门槛吗?基于NTRU的KEM上的通用辅助侧通道选择密码攻击,《加密硬件和嵌入式系统上的IACR事务》2022.1(2022),722-761。§3.13引用
[91] 罗纳德·里维斯特(Ronald L.Rivest),《全或无加密和包转换》(All-or-nothing encryption and the package transform),载于FSE 1997[20](1997),210-218。§3.5引用·兹比尔1385.94067
[92] Tsunekazu Saito,Keita Xagawa,Takashi Yamakawa,量子随机预言模型中的加密密钥封装机制,载于Eurocrypt 2018[79](2018),520-551。第4.4、4.4、4.4和4.4节引用·兹比尔1415.94459
[93] Bianca Schroeder、Eduardo Pinheiro、Wolf-Dietrich Weber,《野外DRAM错误:大规模实地研究》,载于[41](2009),193-204。§1.2、§1.2和§1.2引用
[94] Mark Seaborn、Thomas Dullien,《利用DRAM rowhammer漏洞获取内核权限》(2015年)。§2.2引用
[95] Victor Shoup,使用散列函数作为选择密文攻击的对冲,载于Eurocrypt 2000[87](2000),275-288。§3.5引用·Zbl 1082.94530号
[96] George Arnold Sullivan,Jackson Sippe,Nadia Heninger,Eric Wustrow,Open to a fault:On the passive折中of TLS keys via transient error,在USENIX Security 2022[30](2022),233-250中。第2.3、2.3、2.3和2.3节引用
[97] Willy Susilo,Guomin Yang(编辑),《信息安全与隐私——第23届澳大利亚会议》,ACISP 2018,LNCS,10946,Springer,2018。参见[40]·Zbl 1392.94009号
[98] Ehsan Ebrahimi Targhi,Dominique Unruh,Fujisaki-Okamoto和OAEP变换的后量子安全,[51](2016),192-216。§4.4引用·Zbl 1397.94103号
[99] Mehdi Tibouchi,Huaxiong Wang(编辑),《密码学进展——亚洲密码2021》,LNCS,13093,Springer,2021。参见[88]·Zbl 1510.94003号
[100] Vijay Varadharajan,Yi Mu(编辑),《信息与通信安全》,第二届国际会议,ICICS’99,Springer,1999年。参见[50]·Zbl 0931.00051号
[101] Eric R.Verheul、Jeroen M.Doumen、Henk C.A.van Tilborg、Sloppy Alice攻击!McEliece公钥密码系统的自适应选择密文攻击,[23](2002),99-119。MR 2005b:94041。§3.6、§3.6和§3.6引用·Zbl 1071.94017号
[102] Michael J.Wiener(编辑),《密码学进展-密码’99》,LNCS,1666,Springer,1999年。参见[46]
[103] Moti Yung、Yevgeniy Dodis、Aggelos Kiayias、Tal Malkin(编辑),《公钥密码——第九届国际公钥密码理论与实践会议》,LNCS,3958,Springer,2006年。参见[9]·Zbl 1102.94003号
[104] Meilin Zhang、Vladimir M.Stojanovic、Paul Ampadu,多核系统的可靠超低压缓存设计,IEEE电路与系统交易II:快讯59(2012),858-862。§1.2引用
[105] 张晓翰,池成,丁若玉,《小泄漏沉没大船:PQC第三轮决赛选手NTRU-HRSS关键重用弹性评估》,ICICS 2021[48](2021),283-300。引用于§3.7·Zbl 1501.94061号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。