Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Weak instances of SIDH variants under improved torsion-point attacks

Péter Kutas, Chloe Martindale|arXiv (Cornell University)|Jan 1, 2020
Cryptography and Residue Arithmetic参考文献 21被引用数 4
ひとこと要約

本稿は、同型暗号基盤鍵交換の変種におけるねじれ点攻撃を改善し、 Petit(2017)の多項式時間での破壊を、より広範なパラメータ範囲にまで拡張する。中程度に不均衡なパラメータおよびバランスの取れたパラメータの両方の下で、弱い SIDH 変種を構築し、特定の曲線選択と基数体が脆弱であることを示しているが、NIST の SIKE 提出物には影響しない。

ABSTRACT

SIDH is a post-quantum key exchange algorithm based on the presumed difficulty of computing isogenies between supersingular elliptic curves. However, the exact hardness assumption SIDH relies on is not the pure isogeny problem; attackers are also provided with the action of the secret isogeny restricted to a subgroup of the curve. Petit (2017) leverages this information to break variants of SIDH in polynomial time, thus demonstrating that exploiting torsion-point information can lead to an attack in some cases. The contribution of this paper is twofold: First, we revisit and improve the techniques of Petit to span a broader range of parameters. Second, we construct SIDH variants designed to be weak against the resulting attacks; this includes weak choices of starting curve under moderately imbalanced parameters as well as weak choices of base field under balanced parameters. We stress that our results do not reveal any weakness in the NIST submission SIKE. However, they do get closer than previous attacks in several ways and may have an impact on the security of SIDH-based group key exchange (Azarderakhsh et al., 2019) and certain instantiations of B-SIDH (Costello, 2019).

研究の動機と目的

  • 同型暗号基盤鍵交換のパラメータ範囲をより広くカバーするように、 Petit(2017)のねじれ点攻撃手法を拡張・改善すること。
  • 中程度に不均衡なパラメータ下で、特定の初期曲線選択によって弱い SIDH 変種を同定・構築すること。
  • バランスの取れたパラメータ下で、基数体選択の脆弱性を露呈させ、弱い SIDH 実装を導くこと。
  • これらの改善された攻撃が、B-SIDH や SIDH を基盤とするグループ鍵交換プロトコルに与える影響を評価すること。
  • NIST の SIKE は依然として安全であるが、他の SIDH 実装における潜在的リスクを明確にすること。

提案手法

  • 秘密の同型写像がねじれ部分群に作用する方法を再考・精錬し、その適用範囲を拡大すること。
  • 同型写像の作用構造を r-ねじれ点に適用し、利用可能な代数的依存関係を同定すること。
  • 改善された攻撃に脆弱な、慎重に選択された初期曲線を用いた新しい SIDH 変種を構築すること。
  • 弱い基数体を同定することで、バランスの取れたパラメータ設定への攻撃フレームワークを拡張すること。
  • 代数的幾何学と同型写像グラフの性質を用いて、さまざまなパラメータ設定下での攻撃表面をモデル化すること。
  • 同型写像の自己準同型と部分群構造の理論的解析を通じて、攻撃の多項式時間実行可能性を検証すること。

実験結果

リサーチクエスチョン

  • RQ1ねじれ点攻撃フレームワークは、より広範な SIDH パラメータ集合に一般化可能か?
  • RQ2中程度に不均衡なパラメータ下で、どのような初期曲線選択が弱い SIDH 変種を生じさせるか?
  • RQ3バランスの取れたパラメータ設定下で、多項式時間攻撃に対して脆弱な基数体の選択は存在するか?
  • RQ4これらの改善された攻撃は、B-SIDH や SIDH を基盤とするグループ鍵交換プロトコルのセキュリティにどのように影響を与えるか?
  • RQ5これらの発見は、NIST の SIKE 提出物を除く SIDH のセキュリティに、どの程度の影響を与えるか?

主な発見

  • 改善されたねじれ点攻撃は、以前に知られていた範囲をはるかに超えて、多数の SIDH 変種を破壊可能であり、 Petit の元来の範囲を拡張している。
  • 中程度に不均衡なパラメータ下で、特定の初期曲線が弱いと判明し、多項式時間攻撃が可能となった。
  • バランスの取れたパラメータ設定下で、弱い基数体が同定され、特定の SIDH 実装が脆弱になった。
  • 攻撃は依然として NIST の SIKE 提出物に対しては効果を示さない。これは、異なるパラメータと曲線選択が採用されているためである。
  • これらの結果は、SIDH を基盤とするグループ鍵交換や B-SIDH 実装において、パラメータ選択の影響による潜在的リスクを示唆している。
  • 本研究は、ねじれ点情報の存在が、以前に想定されていたよりも、より効果的に利用可能であることを示している。これは、見かけ上安全な設定でも同様である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。