Till innehåll på sidan
Till KTH:s startsida

Side-Channel Analysis of Post-Quantum Cryptographic Algorithms

Tid: Fr 2023-03-31 kl 14.00

Plats: Ka-Sal C (Sven-Olof Öhrvik), Kistagången 16, Kista

Videolänk: https://kth-se.zoom.us/j/67548169772

Språk: Engelska

Ämnesområde: Informations- och kommunikationsteknik

Respondent: Kalle Ngo , Elektronik och inbyggda system

Opponent: Professor Lejla Batina, Radboud University

Handledare: Johnny Öberg, Elektronik och inbyggda system; Professor Ingo Sander, Elektronik och inbyggda system; Elena Dubrova, Elektronik och inbyggda system

Exportera till kalender

QC 20230310

Abstract

Kryptografiska system för offentlig nyckel som används idag är beroende av omöjligheten i vissa matematiska problem som är kända för att vara effektivt lösbara med en storskalig kvantdator. För att möta behovet av långsiktig säkerhet startade NIST 2016 ett projekt för standardisering av post-kvantkryptografi (PQC) primitiver som förlitar sig på problem som inte är kända för att vara mål för en kvantdator, såsom gitterproblem. Algoritmer som är säkra ur traditionell kryptoanalyss synvinkel kan dock vara svaga mot sidokanalsattacker. Därför lägger NIST stor vikt vid att utvärdera härdigheten hos kandidatalgoritmer mot sidokanalsattacker.

Denna avhandling fokuserar på att undersöka känsligheten av två NIST PQC-kandidater, Saber och CRYSTALS-Kyber Key Encapsulation Mechanisms (KEMs), mot sidokanalsattacker. Vi presenterar en samling av nio artiklar, varav åtta fokuserar på sidokanalanalys av Saber och CRYSTALS-Kyber, och en visar en passiv sidokanalattack på en hårdvarugenerator för slumptal (RNG) integrerad i STM32 MCU:er.

I de första tre artiklarna demonstrerar vi attacker på maskerade programvaruimplementationer av hög ordning av Saber och CRYSTALS-Kyber. Vårt huvudsakliga bidrag är en ny träningsmetod för neuronnätverk som kallas rekursiv inlärning, som möjliggör träning av neuronnätverk som kan återställa en meddelandebit med en sannolikhet som är högre än 99% från maskerade implementationer av hög ordning.

I de följande två artiklarna visar vi att även mjukvaruimplementationer av Saber och CRYSTALS-Kyber skyddade av både första ordningens maskering och blandning kan äventyras. Vi presenterar två metoder för meddelandeåterställning: Hamming-viktbaserad och Fisher-Yates (FY) indexbaserad. Båda tillvägagångssätten är framgångsrika för att återställa hemliga nycklar, där den senare använder betydligt färre mätningar. Dessutom utökar vi den ECC-baserade metoden för hemlig nyckelåterställning som presenterades i det föregående kapitlet till ECC:er med större kodavstånd.

I de två sista artiklarna betraktar vi en annan typ av sidokanalamplitudmodulerade elektromagnetiska (EM) emanationer. Vi visar att information som läckt från implementeringar av Saber och CRYSTALS-Kyber genom amplitudmodulerade EM-sidokanaler kan användas för att återställa sessionen och hemliga nycklar. Det huvudsakliga bidraget är en flerbitars felinjiceringsmetod som gör att vi kan utnyttja läckage på bytenivå. Vi visar framgången av vår attack mot ett nRF52832 system-på-chip som stöder Bluetooth 5 och en hårdvaruimplementering av CRYSTALS-Kyber i Xilinx Artix-7 FPGA.

Slutligen presenterar vi en passiv sidokanalattack på en hårdvaru-TRNG i en kommersiell integrerad krets i vårt senaste dokument. Vi visar att det är möjligt att träna ett neuronnätverk som kan återvinna Hamming-vikten för slumptal som genereras av RNG från kraftmätningar med en sannolikhet som är högre än 60%. Vi presenterar också en ny metod för att mildra enhets intervariabilitet baserad på iterativ omträning.

Sammantaget belyser vår forskning vikten av att utvärdera motståndet hos  av kandidat-PQC-algoritmer mot sidokanalsattacker och visar känsligh-eten hos nuvarande PQC- för olika typer av sidokanalanalys. Våra resultat förväntas ge värdefulla insikter i utformningen av framtida PQC-algoritmer som är resistenta mot sidokanalanalys.

urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-324669