LadderLeak:用不到一位的随机数泄漏破坏ECDSA

2020-05-27 03:20:34

LadderLeak:用不到一位随机数泄漏打破ECDSA Diego F.Aranha和Felipe Rodrigues Novaes和Akira Takahashi以及Mehdi Tibouchi和Yuval Yarom摘要:虽然ECDSA是当今最流行的签名方案之一,但ECDSA存在许多实现陷阱,特别是由于作为签名算法的一部分生成的随机值(称为随机数)的非常敏感的性质。众所周知,任何少量的随机数暴露或随机数偏差原则上都可以导致完全密钥恢复:因此密钥恢复是Boneh和Venkatesan的隐藏数问题(HNP)的特定实例。文献中的许多攻击实际上都利用了这一观察结果,利用各种具体ECDSA实现中的实现缺陷或侧通道漏洞。然而,到目前为止,大多数攻击都依赖于至少2比特的随机数偏差(除了$80$比特安全级别的曲线的特殊情况外,对$1$比特偏差的攻击是已知的,尽管需要的签名数量非常多)。在本文中,我们发现了LadderLeak,这是ECDSA标量乘法中使用的蒙哥马利阶梯实现中的一类新的侧通道漏洞。该漏洞尤其存在于OpenSSL的几个最新版本中。然而,它泄露的有关现时值的信息不到$1$位,从这个意义上讲,它揭示了现时值的最重要的位,但概率为$<;1$。利用到目前为止文献中存在的技术,利用如此轻微的泄漏将是棘手的。然而,我们对求解HNP的傅立叶分析方法(一种最初由Bleichenbacher提出的方法)提出了一些理论改进,这使得我们实际上打破了在sect163r1和NIST P-192椭圆曲线上实例化的LadderLeak易受攻击的ECDSA实现。通过这样做,我们在针对HNP的实际攻击中获得了几个重要的计算记录。类别/关键词:旁路攻击、ECDSA、OpenSSL、蒙哥马利阶梯、隐藏数字问题、Bleichenbacher的攻击、列表和问题日期:已收到2020年5月25日联系作者:dfaranha at eng au dk,ra135663@Students ic unicamp br,Takahashi@cs au DK,Takahashi Akira 58s@京都-u jp,Mehdi tibouchi br@hco ntt co jp