Raccon:更好防侧信道攻击的后量子签名方案

1. 引言

安全社区已经开发出了一些出色的加密算法,这些算法非常安全,但最终,所有的数据都会被存储在硅和金属中,而入侵者越来越多地会在那里放置监视器来破解密钥。

破解加密密钥通常涉及暴力破解方法或利用实施过程中的缺陷。然而,人们对物理侧信道攻击的兴趣日益浓厚。
侧信道攻击是指:

  • 无意中泄露加密信息,如电磁辐射、功耗、电压波动,甚至声音和热量变化。

目前很少有公司保护其设备免受侧信道攻击,尤其是因为这种攻击成本高昂,需要使用复杂的设备进行大量测试。

随着设备的速度越来越快,可能会发射越来越多的无线电和电磁 (electromagnetic,EM) 辐射。如:

  • 2GHz 处理器的运行频率与 Wi-Fi 信号 (2.4 GHz) 相同,且芯片通常不受无线电波发射保护,这是设备快速运行的自然副产品。由于这些高频,通常很难阻止电磁辐射耦合到附近的电线和其他电路中:
    在这里插入图片描述
    本文重点关注后量子签名方案,如:Dilithium、SPHINCS+ 、FALCON和Raccoon的侧信道攻击问题。
    所谓Raccoon:
  • 为由PQShied开发的,基于Lattice的后量子签名方案。
  • 已作为额外签名,提交到NIST PQC竞赛。
  • 使用无aborts的Fiat-Shamir方法。而Dilithium则使用的是有aborts的Fiat-Shamir方法。
  • 所谓无aborts的Fiat-Shamir方法,是指:支持分布式门限签名,且对侧信道攻击进行了改进。
  • 开源代码实现见:https://asecuritysite.com/pqc/raccoon

2. PQC 中的侧通道

在这里插入图片描述

在PQShield团队 Masking-Friendly Signatures and the Design of Raccoon 的精彩演讲中,作者概述了 PQC 签名的三种主要方法(Dilithium、SPHINCS+ 和 FALCON)容易受到侧信道攻击:
在这里插入图片描述

在这里插入图片描述
在 FALCON 中,Karabulut 和 Aysu 表明,功耗主要源自签名和私钥(sk)的点积,甚至纯粹是私钥的点积:
在这里插入图片描述
Masking-Friendly Signatures and the Design of Raccoon 作者随后展示了 Dilithium 如何存在侧信道问题,并使用了经典的过河难题:
在这里插入图片描述

3. Dilithium后量子签名方案

Dilithium keygen为:

  • 从密钥 ( s k sk sk)和误差矩阵 ( e e e ) 中推导出公钥 ( v k vk vk ) ,采用经典的 LWE (learning with errors) 方法:
    v k = A ⋅ s k + e ​​ vk = \mathbf{A}⋅sk + e​​ vk=Ask+e​​
    其中:
    • A \mathbf{A} A k × l k\times l k×l矩阵, t t t k k k 个元素的向量。
    • 这些都取 ( m o d q \mod q modq ),其中 q q q是素数。
    • 验签密钥将是 ( A , v k ) ( \mathbf{A} , vk ) (A,vk),签名密钥是 s k sk sk

Dilithium签名过程为:

  • 采用一个简短的随机秘密( r r r)和消息( m s g msg msg),并创建一个挑战承诺(其中 e ′ e' e e e e的一个样本),计算:
    w = A ⋅ r + e ′ w = \mathbf{A}⋅r + e' w=Ar+e​​
    c = H a s h ( v k , m s g , w ) c =Hash(vk,msg,w) c=Hash(vkmsgw)
    然后计算:
    z = r + c ⋅ s k z = r + c ⋅ sk z=r+csk
    • 若z太大,则重试以上计算流程。
  • 最后返回 ( w , z ) ( w,z ) (w,z) 作为签名。

这是一个经典的带有aborts的 Fiat-Shamir sigma 方法。该abort用于阻止签名密钥被泄露。

Dilithium验签过程为:

  • 首先检查z是否很小。
  • 然后计算:
    c ′ = H a s h ( v k , m s g , w ) c'=Hash(vk,msg,w) c=Hash(vkmsgw)
  • 然后检查: A ⋅ z ≈ w + c ⋅ v k \mathbf{A} ⋅ z ≈ w + c ⋅ vk Azw+cvk

这是有效的,因为error值相对较小:

  • A ⋅ z = A ⋅ ( r + c ⋅ s k ) = A ⋅ r + A ⋅ c ⋅ s k ≈ w + c ⋅ v k \mathbf{A} ⋅ z =\mathbf{ A} ⋅ ( r + c ⋅ sk ) = \mathbf{A} ⋅ r + \mathbf{A} ⋅ c ⋅ sk ≈ w + c ⋅ vk Az=A(r+csk)=Ar+Acskw+cvk
    因为 A ⋅ r ≈ A ⋅ r + e ′ \mathbf{A}⋅r ≈ \mathbf{A} ⋅ r+e' ArAr+e A ⋅ c ⋅ s k ≈ v k ⋅ c \mathbf{A} ⋅ c ⋅ sk ≈ vk⋅ c Acskvkc

为了不泄露计算结果,可掩盖该error值或 r。这是通过对均匀分布的error值进行采样来完成的,这可能是一项相当耗时的任务。除此之外,aborts也会减慢签名的生成速度:
在这里插入图片描述

4. Raccoon后量子签名方案

Raccoon后量子签名方案:

  • 利用了 Lyubashevsky 的签名方法(见Lyubashevsky 2009年论文《Fiat-Shamir with aborts: Applications to lattice and factoring-based signatures》,以及2012年论文《Lattice signatures without trapdoors》),但没有aborts。

Raccoon keygen为:

  • 从密钥 ( s k sk sk)和经典 LWE(learning with errors)方法的error 矩阵 e e e中得出公钥 ( v k vk vk ):
    v k = A ⋅ s k + e vk = \mathbf{A}⋅sk + e vk=Ask+e​​
    其中:
    • A \mathbf{A} A k × l k\times l k×l矩阵, t t t k k k 个元素的向量。
    • 这些都取 ( m o d q \mod q modq ),其中 q q q是素数。
    • 验签密钥为 ( A , v k ) ( A , vk ) (A,vk),签名密钥为 s k sk sk

Raccoon签名过程为:

  • 采用一个简短的随机秘密( r r r)和消息( m s g msg msg),并创建一个挑战承诺(其中 e ′ e' e e e e的一个样本):
    w = A ⋅ r + e ′ w = \mathbf{A}⋅r + e' w=Ar+e​​
    c = H a s h ( v k , m s g , w ) c = Hash(vk,msg,w) c=Hash(vkmsgw)
  • 接下来计算:
    z = r + c ⋅ s k z = r + c ⋅ sk z=r+csk
    y = c ⋅ e + e ′ y = c⋅e + e' y=ce+e​​
  • 那么签名就是 c , z , y c , z , y c,z,y

Raccoon验签过程为:

  • 计算:
    w ′ = A ⋅ z + y − c ⋅ v k w'= \mathbf{A} ⋅ z + y − c ⋅ vk w=Az+ycvk
    c ′ = H a s h ( v k , m s g , w ′ ) c'=Hash( vk , msg , w') c=Hash(vk,msg,w)
  • 然后检查 c = c ′ c = c' c=c是否成立,若成立则验签通过。
    • 这是因为:
      w ′ = A ⋅ z + y − c ⋅ v k − A ⋅ ( c ⋅ s k + r ) + c ⋅ e + e ′ + c ⋅ ( A ⋅ s k + e ) = A ⋅ c ⋅ s k + A ⋅ r + c ⋅ e + e ′ − c ⋅ A ⋅ s k − c ⋅ e = A ⋅ r + e = w w'= \mathbf{A} ⋅ z + y − c ⋅ vk − \mathbf{A} ⋅(c ⋅ sk + r)+ c ⋅ e + e'+ c ⋅ (\mathbf{A} ⋅ sk + e)= \mathbf{A} ⋅ c ⋅ sk + \mathbf{A} ⋅ r + c ⋅ e + e'− c⋅ \mathbf{A} ⋅ sk − c ⋅ e = \mathbf{A} ⋅ r + e = w w=Az+ycvkA(csk+r)+ce+e+c(Ask+e)=Acsk+Ar+ce+ecAskce=Ar+e=w
    • 因此 H a s h ( v k , m s g , w ) Hash( vk , msg , w ) Hash(vk,msg,w) 等于 H a s h ( v k , m s g , w ′ ) Hash( vk , msg , w') Hash(vk,msg,w)

使用 Raccoon,不会在short emphemal secret(r)采样中出现延迟,也不会有aborts:
在这里插入图片描述

总体而言,将其分成了 d d d份,其中 Raccoon 在masking方面的扩展性比 Dilithium 好得多:
在这里插入图片描述

5. 结论

PQShield团队slide Masking-Friendly Signatures and the Design of Raccoon的结论部分,可看到 Raccoon 的假设与 Dilithium 类似,且更简单。Raccoon验签(公钥)密钥大小也差不多。不幸的是,签名大小是Dilithium的四倍。若使用masking,Raccoon比其他提议的标准要快得多:
在这里插入图片描述

参考资料

[1] Prof Bill Buchanan OBE FRSE 2024年6月博客 Side Channels in Post Quantum Cryptography
[2] PQShield团队slide Masking-Friendly Signatures and the Design of Raccoon
[3] Thomas Prest——PQShield首席密码学研究员博客
[4] 2023年11月20日 2nd Oxford Post-Quantum Cryptography Summit 2023 视频PQC Scheme: Raccoon(相应slide见Raccoon)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/38293.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2029年AI服务器出货量将突破450万台,AI推理服务器即将爆发式增长

在2020年,新冠疫情与远程办公模式的兴起推动了所有类型服务器的出货量达到峰值,随后几年里,除了AI服务器之外的所有类别都回归到了正常水平。 根据Omdia的研究数据,AI服务器的出货量在2020年急剧上升,并且至今未显示出…

浏览器中如何获取用户网络状态

网页开发中存在需要获取用户是否在线的场景及用户网络状态,浏览器提了navigator.onLine和navigator.connection可以实现这一需求。 获取在线状态 if (navigator.onLine) {console.log("online"); } else {console.log("offline"); }监听网络状…

日志的介绍

知识铺垫:在我们日常开发中,其实日志是和我们息息相关的。但可能平常都没怎么注意到日志相关的知识点,也不怎么关注日志,然后,在生产环境中,日志是必不可少的存在,项目出现问题了都是通过日志来…

cesium 添加 Echarts 图层(空气质量点图)

cesium 添加 Echarts 图层(下面附有源码) 1、实现思路 1、在scene上面新增一个canvas画布 2、通坐标转换,将经纬度坐标转为屏幕坐标来实现 3、将ecarts 中每个series数组中元素都加 coordinateSystem: ‘cesiumEcharts’ 2、示例代码 <!DOCTYPE html> <html lan…

Excel 数据筛选难题解决

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 目录 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌…

缓存穿透、雪崩与击穿

缓存穿透、雪崩、击穿 1、缓存穿透强调都没有数据并发访问布隆过滤器缓存NULL值 2、缓存雪崩强调批量Key过期并发访问 3、缓存击穿强调单个Key过期并发访问互斥锁逻辑过期 分布式并发控制 1、缓存穿透 缓存穿透是指数据库和缓存都没有的数据&#xff0c;这样缓存永远不会生效&…

图形化用户界面-java头歌实训

图形化用户界面 import java.awt.*; import javax.swing.*; public class GraphicsTester extends JFrame { public GraphicsTester() { super("Graphics Demo"); setSize(480, 300); setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE); } public void paint…

服务器raid5坏盘-换盘-修复阵列过程

目录 背景原因分析解决步骤名词解释进入raid管理界面换回旧4号&#xff0c;进行import再次更换4号盘 总结 背景 服务器除尘之后文件服务器部分文件不能访问了,部分文件夹内容为空&#xff0c;起初以为是新配置的权限的问题&#xff0c;排查之后发现不仅仅是权限问题 jumpserv…

ISA95-标准2-数据字典部分的解析与设计指南

在 MES/MOM 系统中,ISA-95 第二部分的数据字典扮演着至关重要的角色,它确保了数据的一致性和准确性,为不同系统间的数据交换提供了标准化的术语和定义。以下是 MES/MOM 系统实现 ISA-95 第二部分数据字典的具体概念、功能模块以及应用场景: 一、概念、功能模块以及应用场景…

numpy - array(4)

arr1 np.array([[1, 2], [3, 4], [5, 6]]) &#xff08;1&#xff09;def insert(arr, obj, values, axisNone) 向array指定位置插入指定值 axis为默认值None时&#xff0c;如果array是多维数据,则先将array转化成向量obj&#xff1a;插入的索引&#xff0c;接受int或者多…

VTK学习日志:基于VTK9.3.0+Visual Studio c++实现DICOM影像MPR多平面重建+V R体绘制4个视图展示功能的实现(二)

前段时间对VTK9.3.0进行了编译&#xff0c;开发了MPRVR实现的demo,显示效果不是很理想&#xff0c;正好趁着周末有时间&#xff0c;再度对之前的程序进行优化和完善&#xff0c;先展示下效果&#xff1a; VTK实现MPRVR四视图 再次讲解下基于VTK的MPRVR实现的简单项目创建过程&a…

linux守护进程生命周期管理-supervisord

简介 supervisor是一个client/server系统,允许用户控制多个类unix系统的进程,摆脱rc.d脚本的不方便性.supervisor具有简单,集中化管理,搞笑,可扩展性,高兼容. 整套软件包含:supervisord(守护进程),supervisorctl(命令行工具),web server(一个web交互界面),XML-RPC 交互 安装 …

git回退commit的方式

在Git中&#xff0c;回退commit&#xff08;即撤销之前的提交&#xff09;可以通过多种方式来实现。以下是一些常见的方法&#xff0c;以及它们的详细步骤和注意事项&#xff1a; ### 1. 使用git revert命令 git revert命令用于撤销某次commit&#xff0c;但它并不会删除该comm…

FFmpeg 硬件编码加速文档介绍

介绍 硬件访问:许多平台提供了对专用硬件的访问,这些硬件可以用于执行解码、编码或过滤等视频相关操作。 性能与资源使用:使用硬件可以加快某些操作的速度或减少其他资源(特别是CPU)的使用,但可能会产生不同的结果或质量较低,或带来在使用纯软件时不存在的额外限制。 硬…

公爹公婆出首付买房,离婚的儿媳妇能分吗?

小两口结婚后为了更好地生活打算购房&#xff0c;男方父母帮助支付首付款&#xff0c;后房屋登记在夫妻名下。后两人因感情不和打算离婚&#xff0c;女方要求按照房屋的现行价值进行分割&#xff0c;能否得到支持&#xff1f;近日&#xff0c;江苏省南通市中级人民法院对这起离…

【Postman学习】

Postman是一个非常流行的API开发和测试工具&#xff0c;广泛用于Web服务的开发、测试和调试。它提供了一个图形界面&#xff0c;允许用户轻松地构建、发送和管理HTTP(S)请求&#xff0c;同时查看和分析响应。下面是对Postman接口测试工具的详细解释&#xff1a; 1. Postman简介…

Linux安装Node-RED并实现后台运行及开机启动

首先确保系统中已近成功安装Node.js&#xff0c;并保证需要的合适版本&#xff1a; 关于node.js的安装可以参考我的另一篇博文:《AliyunOS安装Node.js》。 然后就可以使用npm工具安装Node-RED了&#xff0c;很简单使用如下命令&#xff1a; sudo npm install -g --unsafe-per…

【代码随想录算法训练Day53】LeetCode 739.每日温度、LeetCode 496.下一个更大元素、LeetCode 503. 下一个更大元素 II

Day53 单调栈 LeetCode 739.每日温度 经典的单调栈题目&#xff0c;确实的感受到了单调栈的强大之处。 class Solution { public:vector<int> dailyTemperatures(vector<int>& temperatures) {stack<int> st;vector<int> res(temperatures.size…

php+redis 生成二维码库

项目场景&#xff1a; 活动报名二维码&#xff0c;生成 30W 的二维码量存放到 redis 中&#xff0c;并通过 redis 读取&#xff0c;以减轻 mysql 数据库的压力。 实现很简单&#xff0c;分为两步&#xff1a; 1、生成&#xff1a;通过 for 循环&#xff0c;以集合方式插入到…

MATLAB使用系统辨识工具箱建立PID水温的传递函数系数

概述 利用PID控制水温&#xff0c;由于实际在工程项目中&#xff0c;手动调节PID参数比较耗费时间&#xff0c;所以可以先利用MATLAB中的Simulink软件建立模型&#xff0c;先在仿真软件上调节大概的PID参数&#xff0c;再利用此PID参数为基础在实际的工程项目中手动调节PID参数…