Skip to main content
Nubint
QUICK REVIEW

[论文解读] Stronger and Faster Side-Channel Protections for CSIDH

Daniel Cervantes-Vázquez, Mathilde Chenu|arXiv (Cornell University)|Jul 19, 2019
Cryptography and Residue Arithmetic参考文献 30被引用 48
一句话总结

本文通过修复先前算法中的计时侧信道漏洞,并引入基于爱德华曲线算术与最优加法链的优化,提出了一种更快且更安全的CSIDH常数时间实现。其性能相比先前工作提升了39%,并提出了一种无冗余操作的变体,可抵抗故障注入攻击,仅带来两倍的性能损失。

ABSTRACT

CSIDH is a recent quantum-resistant primitive based on the difficulty of finding isogeny paths between supersingular curves. Recently, two constant-time versions of CSIDH have been proposed: first by Meyer, Campos and Reith, and then by Onuki, Aikawa, Yamazaki and Takagi. While both offer protection against timing attacks and simple power consumption analysis, they are vulnerable to more powerful attacks such as fault injections. In this work, we identify and repair two oversights in these algorithms that compromised their constant-time character. By exploiting Edwards arithmetic and optimal addition chains, we produce the fastest constant-time version of CSIDH to date. We then consider the stronger attack scenario of fault injection, which is relevant for the security of CSIDH static keys in embedded hardware. We propose and evaluate a dummy-free CSIDH algorithm. While these CSIDH variants are slower, their performance is still within a small constant factor of less-protected variants. Finally, we discuss derandomized CSIDH algorithms.

研究动机与目标

  • 修复先前常数时间CSIDH实现中因细微缺陷而导致的计时与侧信道漏洞。
  • 通过优化同源公式并使用最优加法链进行标量乘法,提升常数时间CSIDH的效率。
  • 设计一种无冗余操作的常数时间CSIDH变体,以抵抗故障注入攻击,适用于具有静态密钥的嵌入式硬件。
  • 探索具有更强安全保证的去随机化CSIDH变体,尽管计算开销更高。
  • 提供一个公开可用的、经过优化的C语言实现,并在标准硬件上进行性能测量。

提出的方法

  • 通过确保条件操作不会通过计时或功耗痕迹泄露,识别并修正Meyer–Campos–Reith与Onuki等人实现中常数时间保证的缺陷。
  • 应用投影Elligator与扭结爱德华曲线算术,以加速同源计算并提升常数时间性能。
  • 为标量乘法实现最优加法链,以减少同源计算中的域运算次数。
  • 设计一种新型常数时间CSIDH算法,不使用冗余操作,依靠平衡计算路径以抵抗计时与简单功耗分析。
  • 通过消除对PRNG种子的依赖,引入CSIDH的去随机化变体,增强对PRNG被攻破的抗性。
  • 使用域运算次数与在Intel i7-6700K CPU上的周期计数对所有变体进行评估,并与[6]、[21]和[26]进行比较。

实验结果

研究问题

  • RQ1先前常数时间CSIDH实现中存在哪些细微缺陷,导致其计时侧信道防护失效?
  • RQ2如何利用爱德华曲线算术与最优加法链优化CSIDH中的同源计算,以实现常数时间性能?
  • RQ3能否设计一种无冗余操作的常数时间CSIDH变体,同时保持对计时与简单功耗分析的抵抗能力?
  • RQ4在故障注入攻击背景下,无冗余操作的常数时间CSIDH变体的性能开销有多大?
  • RQ5去随机化CSIDH变体在增加计算开销的前提下,能在多大程度上提升长期安全性?

主要发现

  • 本文识别并修复了Meyer–Campos–Reith与Onuki等人实现中常数时间声明的缺陷,这些实现因计时侧信道泄露而存在安全隐患。
  • 优化后的MCR风格实现相比原始Meyer–Campos–Reith实现性能提升了39%,周期数从39500万降至33700万。
  • 基于Onuki等人实现的OAYT风格实现,与基线相比,域运算成本降低了59%(比例为0.59),周期数减少了61%。
  • 所提出的无冗余操作CSIDH变体仅比原始Meyer–Campos–Reith实现慢22%,且比最快优化版本慢不到两倍。
  • 去随机化CSIDH变体通过将基域大小翻倍以上提升了量子安全性,但付出了显著的性能代价,且与原始CSIDH不兼容。
  • 所有实现,包括优化版与无冗余操作版本,均已公开发布于https://github.com/JJChiDguez/csidh,支持可复现性与进一步基准测试。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。