现有攻击精制到攻击椭圆曲线算法
研究人员已经证明,可以改进对ECDSA加密算法的现有攻击如何通过利用侧通道漏洞来减少所需的随机泄漏。
椭圆曲线数字签名算法(ECDSA)是RSA的替代方案,提供了更好的安全性,具有较小的密钥尺寸。
没有算法免受各种形式的漏洞利用,并且在ECDSA的情况下,可以利用omce.这是作为签名过程的一部分生成的。
但是,许多攻击依赖于最少的两位数偏差以提取或恢复完整键。
现已由Aarhus大学,坎普纳斯大学,阿德莱德大学,NTT和Data61提出了一种新的方法,能够破坏ECDSA,不到一点泄漏。
爬梯子
发布于5月25日,本文(PDF),由Diego Aranha,Felipe Rodrigues Novaes,Akira Takahashi,Mehdi Tibouchi和Yuval Yarom,探讨了一个名为“Ladderleak”的新理论攻击。
“由于作为签名算法的一部分产生的[omce]的非常敏感性,因此已知任何少量的随机曝光或偏差原则上都可以导致完整的关键恢复:键恢复是一个特定的instance of Boneh and Venkatesan’s hidden number problem (HNP),” the researchers explain.
一类小组侧沟道漏洞在Montgomery Ladder的实现中发现 - 用于计算椭圆曲线中的标量乘法的方法 - 存在于ECDSA系统中,包括一些旧版本的OpenSSL。
漏洞只泄漏不到一点点信息,“在这种意义上,它揭示了概率的omce,但有概率<1,”团队说,否则将排除虫子的因素旨在打破ECDSA的加密攻击。
然而,通过修改以前在192位和160比特椭圆曲线中利用一点泄漏的先前技术,学者能够“实际上”中断Ladderleak易受攻击的ECDSA实现。
曲线的前方
关键因素是优化傅立叶方法 - 基于Bleichenbacher攻击程序(PDF) - 解决HNP,同时还使用合理的计算资源。方法包括利用小型定时差异,使用刷新+重新加载策略以及FR-Trace程序进行缓存定时攻击。
选择的目标是在NIST P-192和Sect163R1上实例化的ECDSA。创建统一的时间 - 空间数据权衡公式,以查找组大小的“最佳攻击参数选择”以及给定金额的非偏差。
理论上,至少,该漏洞影响了许多ECDSA实现,包括广泛部署的NIST P-256曲线。
“我们的分析还提供了对多于1比特泄漏的数据复杂性的显着改进,允许侧通道攻击者在许多情况下仅在许多情况下恢复ECDSA密钥,或者在某些情况下甚至几百个方案,”纸张州。
根据研究人员,这可能是192位ECDSA的第一次用一点泄漏或更少的泄漏,以及用一位泄漏或P-256打破P-224,具有两位泄漏 -可以使用“相对谦逊的数据复杂性”。
放弃过时参数
谈到每日SWbeplay2018官网IG.,Aranha表示,由于必须收集使用相同键的许多签名来安装攻击,应考虑研究“学术兴趣”而不是真实的攻击探索的研究。
“对于广泛部署的NIST P-256曲线等更大的参数,原则上的攻击适用,但它仍然在计算得太贵,”研究人员添加了。
该团队向Openssl开发团队报告了他们的研究结果。然后创建一个补丁以修复版本1.0.2中的问题。
同样的错误“原则”也适用于OpenSSL的FIPS模块 - 因为它基于相同的分支 - 但数据复杂性意味着攻击需要更多的时间来成功。
重构1.1分支不受影响。
“如果在选择或加工算法的秘密上有很小的泄漏/偏差,无论用什么侧通道用于利用那样,Bleichenbacher的攻击(和未来的潜在改进)再次成为威胁,”阿兰哈说。
“我们目前正在调查其他图书馆。我们的实际建议是:升级openssl,放弃过时参数。“
