Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Stronger and Faster Side-Channel Protections for CSIDH

Daniel Cervantes-Vázquez, Mathilde Chenu|arXiv (Cornell University)|Jul 19, 2019
Cryptography and Residue Arithmetic参考文献 30被引用数 48
ひとこと要約

本論文は、先行アルゴリズムにおけるタイミング側帯域攻撃の脆弱性を是正し、エドワーズ算術と最適加算列を用いた最適化を導入することで、より高速かつより安全な定数時間実装のCSIDHを提案する。これにより、先行研究比で39%の性能向上を達成し、ダミーを含まない故障挿入攻撃に対する耐性を持つバージョンを導入したが、性能は2倍のペナルティにとどまる。

ABSTRACT

CSIDH is a recent quantum-resistant primitive based on the difficulty of finding isogeny paths between supersingular curves. Recently, two constant-time versions of CSIDH have been proposed: first by Meyer, Campos and Reith, and then by Onuki, Aikawa, Yamazaki and Takagi. While both offer protection against timing attacks and simple power consumption analysis, they are vulnerable to more powerful attacks such as fault injections. In this work, we identify and repair two oversights in these algorithms that compromised their constant-time character. By exploiting Edwards arithmetic and optimal addition chains, we produce the fastest constant-time version of CSIDH to date. We then consider the stronger attack scenario of fault injection, which is relevant for the security of CSIDH static keys in embedded hardware. We propose and evaluate a dummy-free CSIDH algorithm. While these CSIDH variants are slower, their performance is still within a small constant factor of less-protected variants. Finally, we discuss derandomized CSIDH algorithms.

研究の動機と目的

  • 微細な欠陥によって損なわれるタイミングおよび側帯域攻撃の脆弱性を抱える、先行の定数時間CSIDH実装の問題を是正する。
  • 同型写像の公式の最適化とスカラー乗算に最適加算列を用いることで、定数時間CSIDHの効率を向上させる。
  • 静的鍵を有する組み込みハードウェアに適した、ダミー操作を含まない定数時間CSIDHの変種を開発し、故障挿入攻撃に対して耐性を持つ。
  • より強いセキュリティ保証を得るが、計算コストが高くなる、確率的生成を排除したCSIDHの変種を検討する。
  • 標準ハードウェア上で性能測定を実施した、公開可能な最適化C実装を提供する。

提案手法

  • マイヤー–キャンパス–レイスおよびオヌキらの実装における定数時間保証の欠陥を特定・是正し、条件付き演算がタイミングまたは電力トレースを通じて漏洩しないようにする。
  • 射影的イェルミットおよびねじれたエドワーズ算術を適用し、同型写像の計算を高速化するとともに、定数時間性能を向上させる。
  • スカラー乗算に最適加算列を実装し、同型写像評価における有限体演算の回数を削減する。
  • ダミー操作を含まない新しい定数時間CSIDHアルゴリズムを設計し、バランスの取れた計算パスによってタイミングおよびシンプル電力分析攻撃に耐性を持つ。
  • PRNGのシードに依存しないようにすることで、CSIDHの確率的生成を排除した変種を導入し、PRNGの侵害に対する耐性を強化する。
  • すべての変種を、Intel i7-6700K CPU上で、フィールド演算回数とサイクルカウントを用いて評価し、[6]、[21]、[26]と比較する。

実験結果

リサーチクエスチョン

  • RQ1先行の定数時間CSIDH実装に内在する微細な欠陥は、どのような点でタイミング側帯域攻撃の耐性を損なうのか?
  • RQ2エドワーズ曲線算術と最適加算列を用いることで、CSIDHにおける同型写像計算をどのように定数時間性能向上に最適化できるか?
  • RQ3ダミー操作を含まない定数時間CSIDHの変種を設計可能か? その場合、タイミングおよびシンプル電力分析攻撃に対して耐性を維持できるか?
  • RQ4故障挿入攻撃の文脈において、ダミーを含まないCSIDH変種の性能ペナルティはどの程度か?
  • RQ5計算コストの増加を伴うが、長期間にわたるセキュリティを向上させるために、確率的生成を排除したCSIDH変種はどの程度の恩恵をもたらすか?

主な発見

  • 本論文は、マイヤー–キャンパス–レイスおよびオヌキらの実装における定数時間の主張に起因する欠陥を特定・是正し、これらがタイミング側帯域漏洩に対して脆弱であることを明らかにした。
  • 最適化されたMCRスタイル実装は、元のマイヤー–キャンパス–レイス実装比で39%の性能向上を達成し、サイクルカウントを39500万サイクルから33700万サイクルに削減した。
  • オヌキらに基づくOAYTスタイル実装は、ベースライン比でフィールド演算コストを59%削減(比0.59)し、サイクルカウントも61%削減した。
  • 提案されたダミーを含まないCSIDH変種は、元のマイヤー–キャンパス–レイス実装比で22%遅く、最速の最適化バージョン比では2倍未満の遅延にとどまった。
  • 確率的生成を排除したCSIDH変種は、基底体サイズを2倍以上に拡大することで量子攻撃に対する耐性を高めたが、顕著な性能ペナルティを伴い、元のCSIDHとは互換性がなかった。
  • 最適化版およびダミーを含まないバージョンを含む、すべての実装が https://github.com/JJChiDguez/csidh で公開されており、再現性およびさらなるベンチマークが可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。