[论文解读] Adversary Model: Adaptive Chosen Ciphertext Attack with Timing Attack
本文提出了一种新型敌手模型——自适应选择密文攻击与计时侧信道攻击结合模型(CCA2-TA),该模型在标准 CCA2 模型的基础上,引入了计时侧信道信息。研究证明,只要加密和解密操作对所有输入(包括有效和无效输入)均以恒定时间运行,即使敌手获得计时信息,其优势仍可忽略不计,因此密码系统在 CCA2-TA 下依然安全。
We have introduced a novel adversary model in Chosen-Ciphertext Attack with Timing Attack (CCA2-TA) and it was a practical model because the model incorporates the timing attack. This paper is an extended paper for 'A Secure TFTP Protocol with Security Proofs'. Keywords - Timing Attack, Random Oracle Model, Indistinguishabilit, Chosen Plaintext Attack, CPA, Chosen Ciphertext Attack, IND-CCA1, Adaptive Chosen Ciphertext Attack, IND-CCA2, Trivial File Transfer Protocol, TFTP, Security, Trust, Privacy, Trusted Computing, UBOOT, AES, IOT, Lightweight, Asymmetric, Symmetric, Raspberry Pi, ARM.
研究动机与目标
- 开发一种结合自适应选择密文攻击与计时侧信道泄漏的实用敌手模型。
- 增强轻量级协议(如嵌入式系统和物联网设备中使用的 TFTP)的安全性。
- 形式化一个能反映密码实现中真实世界计时侧信道漏洞的安全模型。
- 证明加密和解密函数的固定时间实现可在随机预言模型下抵御 CCA2-TA 攻击。
提出的方法
- 通过允许敌手访问密码操作的运行时信息,扩展 IND-CCA2 模型。
- 引入 CCA2-TA 敌手模型,该模型可获知加密和解密函数的执行时间,包括网络延迟。
- 在随机预言模型下,以不可区分性定义安全性,并要求执行时间为固定时间。
- 要求所有输入(包括有效和无效输入)均以恒定时间处理,以防止计时侧信道泄漏。
- 采用基于挑战的不可区分性实验,敌手需在两个明文之间进行猜测。
- 通过定理 1.0 证明安全性,表明若加密和解密操作均以固定时间运行,则敌手的优势可忽略。
实验结果
研究问题
- RQ1如何将计时侧信道信息整合进标准 CCA2 敌手模型,以反映真实世界的攻击?
- RQ2密码系统需满足何种条件,才能在 CCA2-TA 下保持安全?
- RQ3加密和解密函数的固定时间实现是否可防止 CCA2-TA 中基于计时的优势?
- RQ4网络传输延迟的引入如何影响 CCA2-TA 中的安全模型?
- RQ5随机预言模型在 CCA2-TA 下的安全性证明中起什么作用?
主要发现
- 所提出的 CCA2-TA 模型是 CCA2 的实用扩展,整合了计时侧信道泄漏。
- 若加密和解密对所有输入均以固定时间运行,则密码系统在 CCA2-TA 下是安全的。
- 当强制执行固定时间时,敌手在区分挑战密文时的优势可忽略不计。
- 即使对无效输入也必须以固定时间处理,以防止基于计时的泄漏。
- 使用最坏情况计时作为固定时间可确保安全性,但可能降低性能。
- 该模型支持在随机预言模型下的形式化安全证明,验证了 Cramer-Shoup 等协议在该扩展威胁模型下的安全性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。