[论文解读] Machine-Learning Side-Channel Attacks on the GALACTICS Constant-Time Implementation of BLISS
本文提出三种基于机器学习的侧信道攻击,针对GALACTICS(BLISS后量子签名方案的恒定时间实现)实施攻击。通过在Cortex-M4上采集功耗波形进行分析,作者训练分类器以预测敏感的内部值,特别是高斯采样和符号翻转操作中的值,仅需320个签名即可在不到一分钟内完成完整私钥恢复。
Due to the advancing development of quantum computers, practical attacks on conventional public-key cryptography may become feasible in the next few decades. To address this risk, post-quantum schemes that are secure against quantum attacks are being developed. Lattice-based algorithms are promising replacements for conventional schemes, with BLISS being one of the earliest post-quantum signature schemes in this family. However, required subroutines such as Gaussian sampling have been demonstrated to be a risk for the security of BLISS, since implementing Gaussian sampling both efficient and secure with respect to physical attacks is highly challenging. This paper presents three related power side-channel attacks on GALACTICS, the latest constant-time implementation of BLISS. All attacks are based on leakages we identified in the Gaussian sampling and signing algorithm of GALACTICS. To run the attack, a profiling phase on a device identical to the device under attack is required to train machine learning classifiers. In the attack phase, the leakages of GALACTICS enable the trained classifiers to predict sensitive internal information with high accuracy, paving the road for three different key recovery attacks. We demonstrate the leakages by running GALACTICS on a Cortex-M4 and provide proof-of-concept data and implementation for all our attacks.
研究动机与目标
- 研究GALACTICS(BLISS后量子签名方案的恒定时间实现)在侧信道攻击下的安全性。
- 识别GALACTICS中高斯采样与签名过程中可被利用的功耗泄漏。
- 证明即使在恒定时间实现中,机器学习仍可有效预测侧信道波形中的内部秘密值。
- 基于实现中不同的泄漏源,开发并验证三种不同的私钥恢复攻击。
- 评估防护措施(如掩码)对这些基于机器学习的侧信道攻击的可行性。
提出的方法
- 在Cortex-M4设备上采集加密操作期间的功耗波形,训练机器学习分类器。
- 识别出四种可被利用的泄漏:CDT采样、伯努利拒绝、高斯采样中的符号翻转,以及签名生成过程中的符号翻转。
- 通过训练阶段在相同设备上训练模型,随后在攻击阶段应用这些模型,以高精度预测内部值。
- 基于预测值构建线性方程组,通过核计算恢复私钥。
- 应用梯度上升法,最大化基于预测符号翻转指示器的私钥候选值的对数似然。
- 展示了使用320个签名(攻击1)、2000个签名(攻击2)和250,000个签名(攻击3)实现私钥恢复,且整个恢复过程在不到一分钟内完成。
实验结果
研究问题
- RQ1基于功耗波形训练的机器学习分类器能否以高精度预测GALACTICS实现中的内部值?
- RQ2即使在恒定时间实现下,这些预测是否仍可用于完整私钥恢复攻击?
- RQ3若高斯采样无泄漏,但其他操作存在泄漏,是否仍可实现私钥恢复?
- RQ4不同攻击变体(基于不同泄漏源)所需签名数量如何随泄漏源变化?
- RQ5掩码技术能否有效缓解这些基于机器学习的侧信道攻击?
主要发现
- 仅使用320个来自GALACTICS实现的功耗波形,即在不到一分钟内完成完整私钥恢复。
- 基于伯努利拒绝泄漏的攻击约需2000个签名即可实现完整私钥恢复。
- 第三种攻击仅利用符号翻转泄漏,约需250,000个签名即可恢复私钥。
- 使用150,000个签名实现了504个系数的部分私钥恢复,从而可对剩余部分进行暴力破解。
- 本研究证明,即使实现为恒定时间,若内部操作通过功耗产生泄漏,仍无法防止基于机器学习的侧信道攻击。
- 作者表明,即使高斯采样不产生泄漏,仅符号翻转操作本身也足以被利用以实现私钥恢复。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。