Skip to main content
QUICK REVIEW

[論文レビュー] Machine-Learning Side-Channel Attacks on the GALACTICS Constant-Time Implementation of BLISS

Soundes Marzougui, Nils Wisiol|arXiv (Cornell University)|Sep 20, 2021
Cryptography and Data Security参考文献 25被引用数 10
ひとこと要約

本稿では、後量子署名方式BLISSの定数時間実装であるGALACTICSに対する、3つの機械学習ベースの側面攻撃を提示する。Cortex-M4からのパワートレースをプロファイリングすることで、著者らは分類器を訓練し、特にガウスサンプリングおよび符号反転操作からの内部値を予測可能にした。これにより、わずか320個の署名で1分未満で完全な秘密鍵を回復可能である。

ABSTRACT

Due to the advancing development of quantum computers, practical attacks on conventional public-key cryptography may become feasible in the next few decades. To address this risk, post-quantum schemes that are secure against quantum attacks are being developed. Lattice-based algorithms are promising replacements for conventional schemes, with BLISS being one of the earliest post-quantum signature schemes in this family. However, required subroutines such as Gaussian sampling have been demonstrated to be a risk for the security of BLISS, since implementing Gaussian sampling both efficient and secure with respect to physical attacks is highly challenging. This paper presents three related power side-channel attacks on GALACTICS, the latest constant-time implementation of BLISS. All attacks are based on leakages we identified in the Gaussian sampling and signing algorithm of GALACTICS. To run the attack, a profiling phase on a device identical to the device under attack is required to train machine learning classifiers. In the attack phase, the leakages of GALACTICS enable the trained classifiers to predict sensitive internal information with high accuracy, paving the road for three different key recovery attacks. We demonstrate the leakages by running GALACTICS on a Cortex-M4 and provide proof-of-concept data and implementation for all our attacks.

研究の動機と目的

  • GALACTICS、すなわち後量子署名方式BLISSの定数時間実装の側面攻撃に対する安全性を調査すること。
  • GALACTICSのガウスサンプリングおよび署名プロセスにおける、利用可能なパワーディスシレーションを同定すること。
  • 機械学習が、定数時間実装であっても、側面トレースからの内部秘密値を効果的に予測できることを示すこと。
  • 実装内の異なる漏洩源に基づいた、3つの異なる鍵回復攻撃を構築および検証すること。
  • これらの機械学習駆動の側面攻撃に対して、マスキング技術が有効であるかを評価すること。

提案手法

  • Cortex-M4デバイス上で暗号処理中に収集したパワートレースを用いて、機械学習分類器を訓練した。
  • 4つの利用可能な漏洩を同定した:CDTサンプリング、ベルヌーイの棄却、ガウスサンプリングにおける符号反転、署名生成中の符号反転。
  • プロファイリング段階で同一デバイス上でモデルを訓練し、攻撃段階でそのモデルを用いて内部値を高精度で予測した。
  • 予測値から線形方程式系を構築し、カーネル計算を用いて秘密鍵を回復した。
  • 予測された符号反転インジケータに基づいて、秘密鍵候補の対数尤度を最大化する勾配上昇法を適用した。
  • 鍵回復は、320個の署名(攻撃1)、2000個の署名(攻撃2)、250,000個の署名(攻撃3)を用いて実施され、1分未満で完全な鍵回復が達成された。

実験結果

リサーチクエスチョン

  • RQ1パワートレースを用いて訓練された機械学習分類器は、GALACTICS実装内の内部値を高い精度で予測できるか?
  • RQ2このような予測が、定数時間実装であっても、完全な秘密鍵回復攻撃に利用可能か?
  • RQ3ガウスサンプリングからの漏洩が存在しない場合でも、他の操作からの漏洩があれば鍵回復が可能か?
  • RQ4漏洩源に基づく異なる攻撃バージョンにおいて、必要な署名数はどのようにスケーリングされるか?
  • RQ5マスキング技術は、これらの機械学習ベースの側面攻撃を緩和できるか?

主な発見

  • GALACTICS実装からのわずか320個のパワートレースを用いて、1分未満で完全な秘密鍵回復が達成された。
  • ベルヌーイの棄却漏洩に基づく攻撃は、完全な鍵回復に約2000個の署名を要した。
  • 第3の攻撃は、符号反転漏洩のみを用いて秘密鍵を回復したが、約250,000個の署名を必要とした。
  • 150,000個の署名を用いて504個の係数の部分的鍵回復が達成され、残りの部分はブルートフォースで回復可能となった。
  • 本研究では、定数時間実装であっても、内部処理がパワーディスシレーションを通じて漏洩する場合、機械学習ベースの側面攻撃を防げないことが示された。
  • 著者らは、ガウスサンプリングが漏洩しなくても、符号反転操作そのものが鍵回復に利用可能であることを示した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。