⃝可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 7(2021)36www.elsevier.com/locate/icte量子密钥分发系统中密钥协调的单迹边信道攻击及其有效对策Dongjun Parka,GyuSang Kima,Donghoe Heoa,Suhri Kima,HeeSeok Kimb,Jiang,Seokhie Hongaa韩国大学信息安全研究生院网络安全与隐私研究所(ICSP),首尔02841,韩国b韩国世宗30019高丽大学科技学院网络安全系接收日期:2020年11月23日;接收日期:2021年1月22日;接受日期:2021年1月28日在线预订2021年摘要虽然量子力学保证了量子密钥分发系统的安全性,但关键是要检查实现缺陷是否会导致敏感信息的泄露。提出了一种针对量子密钥分发系统中密钥协调的边信道攻击方法。在这个系统中,筛选的密钥和伴随式被用来获得两个用户之间的共享密钥。从我们的攻击中,这些可以通过发送方此外,我们提出了有效的对策,以挫败这种侧信道攻击。c2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。关键词:低密度奇偶校验码;量子密钥分配;安全性;边信道攻击;单迹攻击1. 介绍它被证明,信息理论上的安全加密,可以实现时,从一个一次性密码本加密的消息与一个新的秘密密钥分配的安全密钥分配系统[1]。实现安全的密钥分配系统是密码学的重要应用之一。BB84协议是第一个基于量子力学的量子密钥分发(QKD)协议,是实现安全密钥分发系统的最著名的构建块[2]。目前,由于量子技术的进步,QKD系统已经在超过404 km的距离上取得了成功,并且已经在商业环境中实现[3,4]。同时,侧信道攻击是利用加密设备的物理泄漏而不是算法本身的弱点的攻击[5,6]。最近的一系列论文表明,可以利用物理设备的侧信道泄漏来恢复分组密码[7],数字签名[8]和后量子密码学[9,10]的秘密。如今,旁道攻击被认为是最重要的攻击之一。∗ 通讯作者。电子邮件地址:djpark@korea.ac.kr(D.Park),ks9509@korea.ac.kr(G.Kim),dong5641@korea.ac.kr(D.Heo),luthien09@korea.ac.kr(S. Kim),80khs@korea.ac.kr(H. Kim),shhong@korea.ac.kr(S.Hong)。实际攻击,因此它目前被认为是实现加密算法的事实标准[11]。随着QKD系统的商业使用变得可见,与对QKD系统的侧信道攻击有关的研究变得活跃。这包括定时攻击[12],光学攻击[13,14],光子注入攻击[15]和特洛伊木马攻击[16]。然而,大多数攻击都集中在改变量子信道上,因此很容易被检测到[17]。针对量子密钥分发系统中的密钥协调问题,提出了单迹边信道攻击。1在QKD系统中,纠错码用于纠正筛选密钥中的自然错误。通过分析在发送方侧的伴随式计算期间测量的单个功率消耗轨迹,攻击者可以恢复100%的筛选的密钥和伴随式。在恢复了这些敏感值之后,可以进行隐私放大,并且可以获得两个用户之间的共享密钥我们还提出了有效的对策,对拟议的攻击。本文的其余部分组织如下。第二节简要介绍了量子密钥分配系统及其相关工作。在第3节中,提出了侧信道攻击和对策,并给出了实验结果。最后,我们在第4节中结束。同行审议由韩国通信研究所负责教育与信息科学(KICS)。https://doi.org/10.1016/j.icte.2021.01.0131本文是会议论文 的扩展版本[18]。2405-9595/2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。D. 帕克湾,澳-地Kim,D.Heo等人ICT Express 7(2021)3637=××H22222. 背景在本节中,我们简要介绍了量子密钥分配系统和利用量子密钥分配系统的经典信道的物理泄漏的相关工作。2.1. 量子密钥分发系统QKD系统由三个步骤组成[19]。第一步是原始密钥交换,在两个用户之间交换敏感值。发送器将比特序列编码为量子态,并通过量子信道传输编码的量子比特。接收器测量发送器发送的量子比特并对其进行解码。相互交换的比特序列称为原始密钥。原始密钥可能会被窃听。然而,由于量子测量的性质,检测窃听者是可行的[20]。第二步是关键筛选。这一步保证了两个用户有相同的密钥,并以很高的概率检测到任何窃听。发送方和接收方通过一个不安全的经典信道公开他们使用的所有基,然后只保存用相同基测量的比特。为了检测屋檐脱落,他们公开了一些保存的比特,并计算了不一致的数量。如果不一致性明显很高,它们会丢弃整个位并从原始密钥交换重新开始。否则,他们使用未公开的比特作为筛选的密钥。如果筛选的密钥没有足够的位数,则重复上述两个步骤。最后一步是后处理,主要包括密钥协调和隐私放大两个过程。在密钥协调中,使用纠错方法来纠正接收方筛选密钥中的自然错误,并保证两个最常用的方法是级联[21]、Winnow [22]、基于低密度奇偶校验(LDPC)码的方法[23]和基于极化码的方法[24]。通常,发送方计算筛选的密钥的伴随式并将其发送给接收方。接收器使用从发送器接收的校正子来校正筛选的密钥。在密钥协调之后,进行隐私放大,以消除密钥协调期间泄露的任何秘密信息。2.2. 相关作品由于在QKD系统的后处理中仍然使用经典计算设备,如图1所示,因此还应考虑检查此类设备中可能的侧信道漏洞。侧信道攻击利用从设备泄漏的物理量,例如设备消耗的功率[6]和从设备辐射的电磁波[25]。关于QKD系统,有一些侧信道攻击不会改变量子信道,因此可以-不容易被发现。在[12]中,他们提出了一种攻击,Fig. 1. 两个用户通过量子和经典信道相互通信,一个攻击者测量来自计算并发症的经典设备的侧信道泄漏。原始密钥交换在[27]中,他们在后处理中的隐私放大期间检查了缓存总而言之,针对QKD系统经典信道的侧信道攻击是一个真正的威胁,但文献中提出的工作并在本文中,我们攻击发送方的密钥协调恢复筛选的密钥。具体地说,我们的目标,得到伴随式计算时,LDPC码为基础的纠错方法被使用。当发送方计算校正子时,需要两个输入。一个是二进制LDPC矩阵,另一个是发送方的筛选密钥。其思想是,由于LDPC矩阵是公开的,通过测量发送方侧的伴随式计算期间的功耗,侧信道攻击者具有足够的请注意,即使该综合征不是公开的,它也可以通过拟议的攻击来揭示我们将在下一节中详细描述这次攻击3. 单迹旁道攻击本节提出了对QKD系统中密钥协调的单迹侧信道攻击。我们的攻击目标是使用LDPC码实现即插即用QKD系统[19]。然而,我们强调,我们的攻击并不限于此实现。该思想可以扩展到使用LDPC码的任何QKD系统此外,我们提出了有效的对策,以挫败这种侧信道攻击,目前的实验结果。在整篇文章中,我们说,当一个值被物理泄漏所知时,它就被揭示了。我们还说,当一个价值被先前揭示的价值或通过将它们与公共价值相结合而知道时,它就被恢复了3.1. 攻击描述我们利用的功耗跟踪测量,而发送方计算的LDPC码,这是用于在密钥和解的综合征。综合征计算如下。设H是LDPC码的一个m n二进制校验矩阵,x是发送方的一个n1筛选密钥。A综合征Hx计算并通过不安全的经典信道传输给接收方。2由于H只有l=6列,2 即使已知s∈Zm×1和H∈Zm×n,如果m n,则利用接收方从发送方接收不同量子比特时的时间差。在[26]中,他们提出了一种攻击,很难找到方程s=Hx关于x∈Zn×1。通过将H T两边相乘,我们得到H Ts=H T Hx。在我们的例子中,TH∈ Zn×n是不可逆的,因为rank(H TH)= m小于n。一个单一的电磁辐射跟踪测量期间,这意味着有最多2 n-m的解决方案。D. 帕克湾,澳-地Kim,D.Heo等人ICT Express 7(2021)3638ˆ×ˆˆˆ←⊕ˆ2←⊕ˆ-∈ˆ·=0←⊕ˆ示于图 二、注意,Hi,j和Hi表示(i,j)项密钥x∈Zn×1,置换P∈Zn×1。nk=0i,kn×1m×1n菲格二、 矩阵乘法模2与一个减少矩阵H。在由[19]实现的实际系统中,H可以被简化为由具有1作为每行的条目的列的索引组成的m-1矩阵H,如不影响最终输出s,因为si仅由H的第i行确定。下面的两个算法实现了这样一个受保护的计算与洗牌的顺序。在Alg。2、运算顺序由r随机化。Alg. 3通过排列每次执行的操作顺序提供了更高的安全级别。然而,置换初始置换P会导致额外的计算开销。此外,它需要随机性,因此很少适用于轻量级或物联网设备。我们强调,发送者和接收者不必共享操作顺序,因为它不会影响最终输出。和矩阵H的第i行。具体地,目标是Alg的步骤41.一、当发送方计算m×1个XOR时,每个操作输出1或0取决于两个输入s和算法2综合征计算(静态混洗)要求:一个约简的校验矩阵H∈Zm×l,一个筛选的我x,并将输出存储到寄存器。由于存储1确保:2一种综合症Ms=Hx∈Zm×1。Hi,j存储到寄存器比存储0消耗更多的功率,可以通过确定相应的子迹是否看起来高度消耗来揭示输出[28]。换句话说,每个子迹被聚类为两个组Ghigh和Glow,使得Ghigh包含高消耗子迹的索引对(i,j),Glow包含其他索引对。算法1综合征计算(无保护)要求:一个约简的校验矩阵H∈Zm×l,一个筛选的确保:2m×11:对于i从0到m−1,2: r←P i.3: s r← 0.4:对于j从0到l−1,5:s rs rx Hr,j。6:结束第七章: 端算法3综合征计算(动态混洗)密钥x∈Zn×1。n要求:一个约简的校验矩阵H∈Zm×l,一个筛选的一个伴随式s=Hx∈Z2。1:对于i从0到m−1,键x∈Z2,置换P∈Zm.确保:一个伴随式s=Hx∈ Zm×1。2: s i← 0.3:对于j从0到l−1,4:s is ix Hi,j.5:结束第六章: 端显然,如果(i,l1)G为高,则校正子si的第i位为1,否则为0。Alg中的筛选键x。1可以按如下方式恢复。对于j0,第二输入xHi,0等于所揭示的输出,因为第一输入si为0。• 当j > 0时,第二个输入x Hi,j可以通过对显示的输出和第一个输入s i进行异或来恢复,第一个输入s i之前被恢复为j−1x H。• F或j=l−1,接收的第二输入xH=i,l−1 是一曰: permutesP.2:对于i从0到m−1,3: r←P i.4: s r← 0.5:对于j从0到l−1,6:s rs rx Hr,j。7:结束第八章: 端3.3. 实验结果图3显示了我们的实验设置,主要由执行校正子计算算法的目标板和测量目标板功耗的示波器组成。目标板是ChipWhisperer CW 308 T-STM32 F405 RGT 6评估板Hi,l−1第位的筛选关键。配备32位ARM Cortex-M4处理器,2D. 帕克湾,澳-地Kim,D.Heo等人ICT Express 7(2021)3639−∈==-⨁ˆ7.37MHz时钟频率[29]。电力消耗轨迹3.2. 对策到目前为止,我们已经假设第i位的伴随式是以从0到m1的简单递增顺序计算。然而,如果操作i的顺序是随机的,秘密的、显示的值被错误地定位因此,没有人能够以一定的概率每比特大于50%。请注意,操作顺序使用LeCroy HDO 6104 A示波器进行采样,采样率为50 MHz,分辨率为12位。我们对阿尔格斯实施了计划中的攻击。 1m512、n1024和l6 [19]。 如图 四,每个子轨迹被聚类为两个组G高和G低。如果(i,j)G为高,则相应XOR操作显示为1,否则显示为0后整输出位被揭示,我们可以完全恢复筛选D. 帕克湾,澳-地Kim,D.Heo等人ICT Express 7(2021)3640ˆ图3.第三章。 用于测量功耗的实验装置。见图4。左:在一次执行校正子计算中,XOR的3072个子迹线重叠。为了更好地理解,属于G高的子迹用实线表示,否则用虚线表示。右:每个子迹的时间间隔[702, 713]中的总功耗。X轴示出操作6i+j的索引。表1伴随式计算算法的比较算法时间(µs)空间安全无保护5.3 3072弱静态洗牌6.7 3584强动态洗牌46 3584更强在不受保护的算法的情况下,通过应用第3.1节中描述的恢复规则来恢复密钥。然而,由于操作r的顺序是随机的和未知的,对受保护算法的密钥恢复攻击失败了。表1显示了三种算法之间的比较(Algs. 第1第二列显示了在64位Intel Core i7- 8700 K处理器上以3.70 GHz时钟频率运行的每个算法的执行时间。第三列表示应该存储在矩阵H和置换P的阵列中的条目的数量。在这些算法中,Alg.3是最安全的算法,因为它改变了每次执行的操作顺序。然而,Alg。2是足够安全的,不需要随机性,使它可以是最有效的算法对建议的攻击。4. 结论针对量子密钥分配系统中的密钥协调问题,提出了一种侧信道攻击方法。通过在发送方侧的伴随式计算期间测量的单个功耗迹线我们的结果表明,虽然QKD系统被证明是量子力学安全的,其实际应用必须考虑对后处理的侧信道攻击。为此,我们还提出了有效的对策,以挫败这种侧信道攻击。CRediT作者贡献声明Dongjun Park:概念化,方法论,软件,验证,数据管理,写作-原始草稿,可视化。GyuSang Kim:方法论,形式分析。许东和:概念化,写作-评论编辑。SuhriKim:概念化,调查,写作-评论编辑。HeeSeok Kim:资源,写作-评论编辑,资金获取。洪锡奇:写作-审查编辑,监督,项目管理.竞合利益作者声明,他们没有已知的可能影响本文所报告工作致谢这项工作得到了韩国国家研究基金会(NRF)的基础科学研究计划的支持,该基金会由韩国科学和信息通信技术部资助,资助号为NRF-2019 R1 A2 C2088960。引用[1] C.E. Shannon,保密系统的通信理论,贝尔系统。Tech. J. 28(4)(1949)656[2] C.H. Bennett,G. 1984年,量子密码学:公钥分配和掷硬币,在计算机、系统和信号处理国际会议论文集上,第100页。175比179[3] H.- L. Yin,T.- Y.陈志- W. Yu,H.刘湖,澳-地X.你Y H.周先生,S.-陈杰,Y.毛,M.- Q.黄伟J.Zhang等人,404公里光纤上的测量设备无关量子密钥分配,物理。Rev. Lett. 117 (19)(2016 )190501。[4] M. Xing,G. Liu,X.陆,量子安全通信技术在电网服务中的应用,物理学报,1303(2019)012087,IOP出版社。[5] P.C. Kocher,Timing attacks on implementations of Diffie-Hellman,RSA , DSS , and other systems , in : Annual InternationalCryptologyConference,Springer,1996,pp. 104-113[6] P. Kocher,J. Jaffe,B. Jun,差分功率分析,在:年度国际密码学会议,Springer,1999,pp. 388-397.[7] M. Rivain,J. Wang,针对内部编码白盒实现的差分计算攻击的分析和改进,IACRTrans. Cryptogr. Hardw. Embed. 系统(2019)225[8] D.帕克,S。李,S。周,H。Kim,S.洪,基于查找表的标量乘算法的水平相关性分析,J. Korea Inst. Inf. Secur. 密码醇30(2)(2020)179-187。[9] A.帕克,K- A. Shim,N. Koo,D.- G. Han,基于多元二次方程的后 量 子 签 名 方 案 的 边 信 道 攻 击 , IACRTrans. Cryptogr. Hardw.Embed. 系统(2018)500[10] B.- Y. Kim,J. Kwon,K.Y. Choi,J. Cho,A.帕克,D- G. Han,基于准循环码的密码学的新型边信道攻击,IACRTrans. Cryptogr.Hardw. Embed. 系统(2019)180[11] B.J. Gilbert Goodwill,J. Jaffe,P. Rohatgi,et al.,侧通道电阻验证的测试方法学,在:NIST非侵入性攻击测试研讨会,卷。7,2011,pp.115-136D. 帕克湾,澳-地Kim,D.Heo等人ICT Express 7(2021)3641[12] A. 拉 马 斯 - 利 纳 雷 斯 角 Kurtsiefer , Breaking a quantum keydistributionsystem through a timing side channel , Opt. Express 15(15)(2007)9388-9393.[13] J. 费里尼奥湾 Hl a v ác,当aes闪烁时:引入光侧信道,IET Inf. 安全2(3)(2008)94[14] J.C. Garcia-Escartin,S. Sajeed,V. Makarov,通过通风开口的光注入攻击量子密钥分配,PLoS One 15(8)(2020)e0236630。[15] X.- L. Pang,A.- L.杨角N.张杰- P. Dou,H. Li,J. Gao,X.- M.Jin,Hacking quantum key distribution via injection locking,Phys.Rev. A 13(3)(2020)034008.[16] N. Gisin , S. 法 塞 尔 湾 Kraus , H. 兹 宾 登 湾 Ribordy , Trojan-horseattacks on quantum-key-distribution systems , Phys.Rev.A73(2)(2006)022320。[17] A. Shenoy-Hejamadi,A. Pathak,S. Radhakrishna,量子密码学:密钥分发和超越,量子6(1) (2017年) 1-47.[18] D.帕克D。Heo,S. Kim,S.洪,量子密钥分发的密钥协调过程的单迹攻击,在:2020年国际信息和通信技术融合会议(ICTC),IEEE,2020年,第10 0 页。209-213[19] B. Ahn,J. Ha,Y. Seo,J. Heo,J. Shin,K. Lee,即插&即用量子密钥分发协议的实现,在:2018年第十届普适和未来网络国际会议(ICUFN),IEEE,2018年,pp. 47比49[20] AIMJA Hafiza,S. Nayab,量子密码学:简要回顾最近的发展和未来的前景,在:数字信息处理,电子和无线通信国际会议(DIPEWC 2016),2016年,第10 0 页。42岁[21] G.布拉哈德湖Salvail,Secret-key reconciliation by public discussion,in:WorkshopontheTheoryandApplicationofCryptographicTechniques,Springer,1993,pp. 410-423[22] W.T. Buttler,S.K. Lamoreaux,J.R. Torgerson,G.尼克尔角唐-阿休 , C.G. Peterson , Fast , Efficient Error Reconciliation forQuantumCryptography,Phys. Rev. A 67(5)(2003)052303.[23] T.J. Richardson,R.L.杨文,低密度奇偶校验码在消息传递译码下的容量,北京大学学报,2001。Theory 47(2)(2001)599-618.[24] P. Jouguet,S. Kunz-Jacques,High performance error correction forquantum key distribution using polar codes,arXiv preprint arXiv:1204. 5882.[25] K.甘多尔菲角F.C. Olivier,电磁分析:具体的结果,在:国际加密硬件和嵌入式系统研讨会,Springer,2001年,pp. 251-261。[26] S. Kim,S. Jin,Y. 李湾 帕克,H。 Kim,S. 洪,量子密钥分配的单迹边信道分析,在:2018年信息和通信技术融合国际会议(ICTC),IEEE,2018年,第10 3 页。七三六七三九[27] O. Nikiforov,A.Sauer,J.Schickel,A.Weber,G.Alber,H.曼特尔,T. Walther,量子密钥分发系统后处理软件中隐私放大的侧信道分析,技术。代表:技术报告TUD-CS-2018-0024,2018年。[28] B.- Y. Sim,D.- G. Han,使用单一跟踪对受保护的PKC进行的密钥位依赖攻击,在:信息安全实践和经验国际会议上,Springer,2017年,pp. 168比185[29] C. O'Flynn,Z.D. Chen,Chipwhisperer:一个用于硬件嵌入式安全研究的开源平台,在:建设性侧通道分析和安全设计国际研讨会上,Springer,2014年,pp. 243-260
我的内容管理
展开
