[논문 리뷰] Machine-Learning Side-Channel Attacks on the GALACTICS Constant-Time Implementation of BLISS
이 논문은 BLISS 양자후보 서명 체계의 일관시간 구현인 GALACTICS에 대한 세 가지 기계학습 기반 사이드 채널 공격을 제시한다. Cortex-M4에서 수집한 프로파일링 전력 트레이스를 바탕으로 저자들은 민감한 내부 값—특히 가우시안 샘플러와 부호 전환 연산에서의 값—을 예측할 수 있는 분류기들을 학습시켰으며, 최소 320개의 서명만으로 1분 이내에 전체 비밀 키를 복구하는 데 성공하였다.
Due to the advancing development of quantum computers, practical attacks on conventional public-key cryptography may become feasible in the next few decades. To address this risk, post-quantum schemes that are secure against quantum attacks are being developed. Lattice-based algorithms are promising replacements for conventional schemes, with BLISS being one of the earliest post-quantum signature schemes in this family. However, required subroutines such as Gaussian sampling have been demonstrated to be a risk for the security of BLISS, since implementing Gaussian sampling both efficient and secure with respect to physical attacks is highly challenging. This paper presents three related power side-channel attacks on GALACTICS, the latest constant-time implementation of BLISS. All attacks are based on leakages we identified in the Gaussian sampling and signing algorithm of GALACTICS. To run the attack, a profiling phase on a device identical to the device under attack is required to train machine learning classifiers. In the attack phase, the leakages of GALACTICS enable the trained classifiers to predict sensitive internal information with high accuracy, paving the road for three different key recovery attacks. We demonstrate the leakages by running GALACTICS on a Cortex-M4 and provide proof-of-concept data and implementation for all our attacks.
연구 동기 및 목표
- GALACTICS, 즉 BLISS 양자후보 서명 체계의 일관시간 구현에 대한 사이드 채널 공격에 대한 보안을 조사하기 위해.
- GALACTICS의 가우시안 샘플링 및 서명 과정에서 유의미한 전력 소비 유출을 규명하기 위해.
- 기계학습이 일관시간 구현에서도 내부 비밀 값을 사이드 채널 트레이스에서 효과적으로 예측할 수 있음을 보여주기 위해.
- 다양한 유출 원천을 기반으로 한 세 가지의 차별화된 키 복구 공격을 개발하고 검증하기 위해.
- 이러한 기계학습 기반 사이드 채널 공격에 대비한 마스킹 기법 등의 대응 조치의 실현 가능성을 평가하기 위해.
제안 방법
- Cortex-M4 장치에서 암호화 연산 중에 수집한 전력 트레이스를 기반으로 기계학습 분류기를 학습시켰다.
- 사용 가능한 네 가지 유출 원천을 식별: CDT 샘플링, 버니ولي 기각, 가우시안 샘플링 중 부호 전환, 서명 생성 중 부호 전환.
- 프로파일링 단계에서 동일한 장치에서 모델을 학습한 후, 공격 단계에서 예측 정확도가 높은 내부 값 예측에 이를 적용하였다.
- 예측된 값들로부터 선형 방정식 시스템을 구성하여 커널 계산을 통해 비밀 키를 복구하였다.
- 예측된 부호 전환 지표를 바탕으로 비밀 키 후보의 로그우도를 최대화하기 위해 기울기 상승법을 적용하였다.
- 320개의 서명(공격 1), 2000개의 서명(공격 2), 250,000개의 서명(공격 3)을 사용하여 키 복구를 성공하였으며, 전체 키 복구 시간은 1분 이내였다.
실험 결과
연구 질문
- RQ1기존 전력 트레이스를 기반으로 학습된 기계학습 분류기가 GALACTICS 구현 내부의 값을 높은 정확도로 예측할 수 있는가?
- RQ2일관시간 구현임에도 불구하고 이러한 예측을 바탕으로 전체 비밀 키 복구 공격를 성공시킬 수 있는가?
- RQ3가우시안 샘플러에서의 유출가 없이도 다른 연산에서의 유출만으로도 키 복구가 가능한가?
- RQ4다양한 유출 원천에 기반한 공격 변종 간에 필요한 서명 수의 스케일링 특성은 어떻게 되는가?
- RQ5마스킹 기법은 이러한 기계학습 기반 사이드 채널 공격에 효과적으로 대응할 수 있는가?
주요 결과
- 320개의 전력 트레이스만으로 GALACTICS 구현에서 1분 이내에 전체 비밀 키 복구를 성공하였다.
- 버니ولي 기각 유출을 기반으로 한 공격는 전체 키 복구에 약 2000개의 서명을 필요로 하였다.
- 세 번째 공격는 부호 전환 유출만을 활용하여 약 250,000개의 서명으로 비밀 키를 복구하였다.
- 150,000개의 서명으로 504개의 계수를 부분적으로 복구하여 나머지 부분에 대한 브루트포스 복구를 가능하게 하였다.
- 일관시간 구현이더라도 내부 연산이 전력 소비를 통해 노출될 경우 기계학습 기반 사이드 채널 공격를 방지할 수 없다는 점을 입증하였다.
- 가우시안 샘플러에서 유출가 없더라도 부호 전환 연산 자체만으로도 키 복구에 악용될 수 있음을 저자들이 입증하였다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.