后量子密码算法的侧信道攻击与防御综述

为解决量子计算对公钥密码安全的威胁,后量子密码成为密码领域的前沿焦点研究问题.后量子密码通过数学理论保证了算法安全性,但在具体实现和应用中易受侧信道攻击,这严重威胁到后量子密码的安全性.本文基于美国NIST第二轮候选算法和中国CACR公钥密码竞赛第二轮的候选算法,针对基于格、基于编码、基于哈希、基于多变量等多种后量子密码算法进行分类调研,分析其抗侧信道攻击的安全性现状和现有防护策略.为了深入分析后量子密码的侧信道攻击方法,按照算法核心算子和攻击类型进行分类,总结了针对各类后量子密码常用的攻击手段、攻击点及攻击评价指标.进一步,根据攻击类型和攻击点,梳理了现有防护策略及相应的开销代价.最后我们在总结部分,根据攻击方法、防护手段和防护代价提出了一些安全建议,并且还分析了未来潜在的侧信道攻击手段与防御方案.     

基于编码的后量子公钥密码研究进展

基于编码的公钥密码由于能抵抗量子攻击和美国NIST后量子公钥密码算法的征集而受到越来越多的关注。本文主要围绕最近的基于编码的NIST抗量子攻击公钥密码征集算法,梳理基于编码的公钥方案具有的特点,即三种加密方式,三种重要的参与码类,三种安全性基于的困难问题,为对这方面有兴趣的科研人员提供一篇综述性论文。     

后量子加密算法的硬件实现综述

现有的密码体制大多基于RSA、ECC等公钥密码体制,在信息安全系统中实现密钥交换、数字签名和身份认证等,有其独特的优势,其安全性分别依赖于解决整数分解问题和离散对数问题的难度。近年来,随着量子计算机的快速发展,破解上述数学问题的时间大幅减少,这将严重损害数字通信的安全性、保密性和完整性。与此同时,一个新的密码学领域,即后量子密码学应运而生,基于它的加密算法可以对抗量子计算机的攻击,因此成为近年来的热点研究方向。2016年以来,NIST向世界各地的研究者征集候选抗量子密码学方案,并对全部方案进行安全性、成本和性能的评估,最终通过评估的候选方案将被标准化。本文比较了NIST后量子密码学算法征集(第2轮、第3轮)的各个方案,概述目前后量子加密算法的主要实现方法:基于哈希、基于编码、基于格和基于多变量,分析了各自的安全性,签名参数及计算量的特点以及后期的优化方向。PQC算法在硬件实现上的挑战其一是算法规范的数学复杂性,这些规范通常是由密码学家编写的,关注的重点是其安全性而非实现的效率,其二需要存储大型公钥、私钥和内部状态,这可能会导致不能实现真正的轻量级,从而降低硬件实现的效率。本文重点介绍了目前后量子加密算法的硬件实现方式,包括PQC硬件应用程序编程接口的开发,基于HLS的抽象实现和基于FPGA/ASIC平台的硬件实现。PQC方案的硬件化过程中不仅需要算法的高效实现,同时需要抵抗针对硬件结构的侧信道攻击。侧信道攻击可以通过来自目标设备泄露的相关信息来提取密码设备的密钥。本文讨论了后量子加密算法在具体实现和应用中受到侧信道攻击类别和防御对策。     

基于格陷门的高效密钥封装算法

量子计算机的深入研究已经威胁到基于离散对数和大整数分解问题的传统公钥密码,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)于2017年开始了后量子密码算法征集,希望从全球提交的算法中评选出可以代替传统公钥密码的后量子公钥密码标准。在征集的后量子密码算法中,基于格的密码算法占比最多,基于格的密码算法具有抵抗量子算法攻击、困难问题存在“最坏情形”到“平均情形”的安全归约、计算简单等优势,是后量子密码算法中最具应用前景的密码算法。目前为止,提交的基于格的密钥封装算法均需要去随机化、误差采样等操作。去随机化即将底层概率性加密算法,通过引入随机喻言机模型(Random Oracle Model,ROM),将加密算法转化为确定性算法,以实现量子随机喻言机模型下的安全归约。误差采样指模空间上的离散高斯采样,在基于格的公钥加密中,通常需要特殊的算法设计,以满足加密算法性能与安全性需求。去随机化和误差采样操作既降低了算法运行效率,又增加了遭受侧信道攻击的风险。本文基于格的单向陷门函数,设计并实现了高效密钥封装算法,算法避免了去随机化和误差采样等操作,从算法设计层面提升了方案的效率。首先,本文提出了针对密钥封装算法设计场景的格上单向陷门优化技术,显著减小了格陷门的长度;其次,基于优化的格上陷门单向函数,构造了高效的量子随机喻言机模型(Quantum Random Oracle Model,QROM)下选择密文攻击不可区分安全(Indistinguishabilityagainst Chosen Ciphertext,IND-CCA)的密钥封装方案;最后,对密钥封装方案进行了攻击分析和实用参数设置分析,并对方案进行了软件实现和性能分析。     

对二元一次不定方程背包方案的格攻击

研究分析背包密度大于0.9408的背包密码方案的安全性非常重要. 针对基于二元一次不定方程的难解函数的新型背包公钥密码算法, 由公钥和密文构造一个格来攻击该方案, 通过采用NTL库验证上述格攻击算法的效率, 从而证明了该攻击方法的有效性. 进而说明此新型背包公钥密码体制是不安全的.     

基于多变量公钥密码体制的无证书多接收者签密体制

针对基于身份的多接收者签密方案不能抵抗量子攻击以及存在的密钥托管问题,基于多变量公钥密码体制,提出一个多接收者模型下的无证书签密方案.新方案不仅避免了基于身份密码体制的密钥托管问题,而且继承了多变量公钥密码体制的优势,实现了“抗量子攻击”的高安全性.与现有方案相比,新方案无需双线性对操作,具有更少的计算量,更高的计算效率,适用于智能卡等计算能力较小的终端设备.最后,在随机预言模型下,给出了该文方案基于MQ困难问题假设和IP困难问题假设的安全性证明.分析表明,该文方案具有不可否认性、前向安全性、后向安全性、保护接收者隐私等安全属性.     

格困难问题在信息安全领域中的应用

格密码体制是量子时代公钥密码体制的典型的一种,能抵抗量子计算的攻击,并具有良好的线性结构,在应用中加解密速度较快。分析了格及格上困难问题,对比了已知的安全加密体制,利用格困难问题构建公钥加密体制提高信息的安全性。     

基于NTRU格的异构签密

异构签密是为了解决不同的密码体制之间的安全通信。然而目前构造的异构签密方案的安全性都是基于传统数论困难问题。由于近些年来量子计算机技术的大力发展,使得传统密码体制的安全性受到巨大威胁。为了抵抗量子计算攻击,基于NTRU格设计是从传统PKI公钥密码体制到身份公钥密码体制(TPKI-to-IDPKC)的异构签密方案,而且在随机预言机模式下证明了方案的安全性。该方案与现有的格上异构签密方案相比密钥更小,效率更高。     

基于格理论公钥密码体制的分析与研究

AD 公钥密码体制,NTRU 公钥密码体制和 Regev 公钥密码体制是基于格理论公钥密码体制中最具代表性的三种 公钥密码体制。文章分别从困难问题,安全性和计算复杂性三个角度对三种公钥密码体制进行分析与研究,指出三种公 钥密码体制的联系与区别,并将基于格的公钥密码体制与其他公钥密码体制进行比较,指出了基于格理论公钥密码体制 的显著优点。     

前向安全的格基代理签名

顾名思义,前向安全的代理签名具备前向安全性和可代理性,因而,自提出以来,已被广泛应用在移动通信、电子拍卖等众多应用场景中.目前现有的前向安全的代理签名基本上都是基于离散对数难题亦或是大整数分解问题.而这些问题随着量子计算机逐渐成为现实,将会变得不再困难.因而,寻找量子计算环境下前向安全的代理签名已迫在眉睫.现存的量子安全的公钥密码体制有4类,分别为基于Hash的密码体制、基于编码的密码体制、多变量公钥密码体制以及格公钥密码体制.在这4类公钥密码体制中,格公钥密码以其量子免疫性,计算简单高效,任意实例下的安全性和最坏实例下的安全性相当等优势在近10年得到了快速发展,并已经取得了显著成就.在格上引入前向安全的代理签名这一概念并给出其安全性模型,基于格上已知NP困难的小整数解问题(small integer solution,SIS)提出了2个前向安全的格基代理签名.在这2个签名中,其中1个签名在随机预言机模型下被证明是不可伪造的,能够抵抗恶意原始签名人和未被授权代理签名人攻击,且与之前格基代理签名相比较,以牺牲效率为代价,达到了实现前向安全性的目的;另外1个签名在标准模型下是安全的,且能实现前向安全性.     

基于DHSP的格上最短向量量子算法的研究

SVP问题是格的公钥密码体制抗量子性的理论依据,论文运用量子计算分析SVP问题,对Kuperberg算法改进,提出了DH-SP多项式时间量子算法,并以此算法为模型框架,以Oded Regev算法理论为基础,提出近似因子为O(n3),时间复杂度是O(n4)的SVP量子算法,最后对其进行性能分析。论文算法的提出将对基于格的公钥密码体制的安全性带来重大威胁。     

一种基于编码的公钥密码体制的参数选择研究

TCHo公钥密码体制是“Trapdoor Cipher,Hardware Oriented＆quot;的缩写,是受快速相关攻击中的陷门密码启发而得到的一种基于编码的公钥密码体制.它能抵抗量子计算机的攻击,是一种后量子密码体制.2006年,Finiasz和Vaudenay提出了TCHo公钥密码体制的一种非多项式解密时间的早期版本.2007年,Aumasson等人介绍了使用启发式算法多项式复杂度的TCHo密码体制.2013年,Alexandre和Serge在“Advances in Network Analysis and its Applications”一书中系统介绍了TCHo密码体制.它的安全性基于低重量多项式的倍式问题和带噪声的LFSR区分问题,因此参数的选择决定了密码体制的安全性与可靠性.文章详细介绍了TCHo密码体制,针对TCHo密码体制的参数选择进行了分析,指出该密码体制达到唯一译码的条件,并给出了衡量密码体制可靠性程度的计算公式,同时提出了参数选择的一种方法,从而使密码体制更可靠.     

迈向量子安全：后量子密码迁移研究与思考

量子科技的飞速发展使得大规模量子计算机的实现只是时间问题,一些量子算法的提出(如Shor、Grover、Simon)使得对现代密码体制(公钥密码和对称密码)实施量子计算攻击成为可能,从而严重威胁经典密码的安全。为提升密码系统抵抗量子计算攻击的能力,以格密码为代表的后量子密码(PQC)算法得到广泛关注和研究。从经典密码算法到PQC的迁移是密码系统实现量子安全的有效路径。首先,该文调研了NIST,ETSI及其他组织和学者提出的PQC迁移路线,总结起来,就是以NIST为代表的替换方案、以ETSI为代表的二次加密方案以及其他混合加密方案三种迁移路线;其次,针对PQC迁移过程,从迁移目标、迁移准备、迁移实施三个环节介绍了迁移策略;此外,为了促进PQC迁移的顺利高效实施,提出了需要考虑的迁移评估要素,包括资源投入、时间成本、业务风险、维护成本、用户体验、商业影响六个方面;最后,提出PQC迁移下一步研究方向。总之,文中工作将为PQC迁移的方案设计和高效实施提供有益参考。     

格上基于智能卡的安全口令认证方案

基于智能卡的认证方案是一种高效且常用的认证机制,但安全性基于数论难题构建的相关认证方案存在不能抵抗量子攻击、恶意读卡器攻击等问题.提出一种新的格上基于智能卡的口令认证方案,该方案利用格密码中近似平滑投射哈希函数和可拆分公钥密码体制,通过用户口令和智能卡完成与服务器的身份认证和会话密钥协商.该方案在随机预言模型下满足理论可证明安全,在抵抗量子攻击、恶意读卡器攻击和其他类型攻击方面有较高的可靠度.仿真实验表明,所提方案执行效率高,满足实际应用需求.     

格基密钥封装算法OSKR/OKAI硬件高效实现

量子计算技术的快速发展为现有公钥密码体系(RSA、椭圆曲线密码等)带来了巨大的挑战,为了抵御量子计算的攻击,后量子密码技术受到了学术界和工业界的广泛研究.其中,格基密码方案具有良好的安全性与实现效率,成为后量子密码领域的主要研究方向之一.最近,美国标准与技术研究院公布了基于模格MLWE困难问题的Kyber算法作为密钥封装方案的标准,2019年我国举行的后量子密码算法竞赛的一等奖获奖算法Aigis也是基于同类困难问题.基于非对称密钥共识机制、混合数论变换、封装512比特密钥长度等技术,我国学者进一步提出了Kyber和Aigis的优化算法:OSKR和OKAI.针对算法设计高效、统一的硬件架构对我国推进后量子密码的标准化进程具有重要的借鉴意义.本文基于FPGA平台设计实现OSKR和OKAI两种算法的专用电路结构,主要工作如下:设计了一种四并行的多项式运算模块,可实现多种模值参数(3329和7681)下的数论变换、多项式乘法、多项式压缩等运算过程,从而提升了算法的整体运行效率;在此基础上设计了多功能采样模块、编解码模块和存储模块等,充分利用FPGA平台并行性的特点研究核心运算模块的优化设计.考...     

抗量子可信计算安全支撑平台技术

随着科技的发展,量子计算机大规模部署逐渐变为可能,基于部分计算困难问题的公钥密码算法将被量子算法有效求解.传统的可信硬件芯片如TCM/TPM等由于广泛使用了RSA、SM3、ECC等公钥密码体制,其安全性将受到严重影响;而绝大部分具有抗量子能力的密码算法并不适配现有TCM/TPM芯片有限的计算能力,因此需要对抗量子可信计...     

一种针对分组密码S盒的组合侧信道攻击方法*

近年来随着半导体工艺的飞速发展和信息安全的重要性不断增强,越来越多的硬件嵌入了密码算法以保证数据安全性。针对嵌入了FPGA密码芯片的设备在运行算法时泄漏的侧信道信息进行了研究,提出一种改进分组密码S盒的组合侧信道攻击方案,该方案由差分功耗攻击、模板攻击、和毛刺攻击构成。通过传统的差分功耗攻击确定S盒运行的时间区间,然后针对目标S盒的输入输出利用一个时钟周期内逻辑门毛刺个数与部分功耗线性相关的方法,采用线性模型匹配算法恢复密钥并减少了基于多元高斯模型匹配的计算量,为今后提高侧信道攻击的效率提供依据。     

多模式多变量公钥密码体制

针对量子计算机对公钥密码体制的挑战,提出一种能抵抗量子算法的多模式多变量公钥密码算法。量子计算机在解决多变量多项式问题并无高效算法,在传统多变量公钥密码体制的基础上,使用多分支模式,在分支内部采用加模式、减模式和迭代模式,增强了多变量公钥密码体制的安全性。通过分析各种常见攻击的复杂度,多模式多变量公钥密码体制能有效抵抗各种攻击,可以应用于加解密、签名和数据完整性验证。     

基于Polar码的ElGamal型公钥密码体制

在量子计算技术飞速发展的时代背景下,为了满足密码应用的安全需求,提出了一种基于Polar码的ElGamal型公钥密码体制。采用Polar码为基于纠错码ElGamal型公钥密码体制中的公开码,利用SC译码算法进行译码,并对方案的译码失败概率和安全性进行了分析。结果表明算法具有较高的传信率,选取的参数满足信息集译码复杂度和译码失败概率的要求,且算法满足IND-CPA安全性。     

基于MLWE的格密码高效硬件实现

后量子密码的发展已经引起各界的广泛关注,硬件实现效率是后量子密码最终标准的重要衡量指标之一。其中基于模误差学习问题(Module Learning With Errors,MLWE)的CRYSTALS-Kyber格密码是NIST第三轮后量子密码标准中最有希望的一种加密方案,可变的公钥矩阵维度参数k将基于MLWE的公钥加密方案的安全性扩展到不同级别,相较于其他格密码方案更具灵活性和安全性。本文首先分析了基于NIST第三轮最新参数q=3329的MLWE的格密码公钥加密方案的算法理论,并针对其中的核心模块—多项式乘法模块提出了两种不同的硬件实现方式。两种多项式乘法硬件实现方式都是采用基于频率抽取的数论变换(Number Theoretic Transform,NTT)算法,使用NTT算法实现多项式乘法降低了传统算法实现的线性复杂度,在硬件结构上能够面对不同应用场景进行优化,因此本文针对NTT算法中循环计算的核心模块提出了两种不同的优化硬件结构。一是面积和执行时间折中的迭代型NTT硬件结构,二是高性能低时延的多路延时转接(Multi-path Delay Commutator)的流水型NTT硬件结构;并且针对于面积时间均衡的迭代型NTT模块设计了一种整体MLWE硬件实现结构。与已有的先进设计相比,本文的流水型NTT结构具备更好的速度性能,在速度上相较于之前的设计分别提升11.64%和59.43%。而对于使用迭代型NTT的MLWE整体实现方案,本文的设计使用了最少的周期和最小的面积时间乘积(Area-Time-Product,ATP),其效率比最新发表的工作的硬件效率实现高2倍左右。