CHES 2021 issue-2文章总结

来源：https://ches.iacr.org/2021/acceptedpapers.php
简要分类：

项目	Value
后量子密码软硬件加速相关	6,12
侧信道攻防相关	2,3,5,7,10,11,13
同态相关	无

1. Machine Learning of Physical Unclonable Functions using Helper Data - Revealing a Pitfall in the Fuzzy Commitment Scheme

Emanuele Strieder; Christoph Frisch; Michael Pehl
Fraunhofer Institute for Applied and Integrated Security AISEC; Technical University of Munich

问题与挑战

• 隐私泄露问题：文章指出在使用多挑战物理不可克隆函数（MCPUFs）和辅助数据（HD）进行密钥生成时，存在隐私泄露的问题。尽管现有的机制认为只要不暴露PUF的响应和可靠性信息，系统就是安全的，但研究表明仅通过公开可访问的辅助数据和挑战，攻击者就能利用机器学习（ML）技术对PUF进行建模。
• 错误纠正码的脆弱性：文章特别指出，常用的重复码在与MCPUFs结合使用时，容易受到攻击，仅需观察少量挑战和辅助数据位就能显著降低密钥的熵。

主要工作

• 攻击方法的提出：文章提出了一种新的攻击方法，该方法不需要直接访问PUF的响应或可靠性信息，而是通过分析公开的辅助数据和挑战来训练一个预测模型。
• 攻击模型的构建：研究者构建了一个基于孪生神经网络（SNN）的ML模型，用于学习不同挑战-响应对（CRPs）之间的依赖关系，进而预测秘密密钥。

创新点

• 利用公开信息的攻击策略：创新性地展示了如何仅利用公开的辅助数据和挑战进行有效的攻击。
• SNN在PUF安全分析中的应用：首次将SNN应用于PUF的安全性分析，证明了其在处理XOR方程方面的优势。

主要贡献

• 安全性分析：提供了对使用辅助数据的MCPUFs安全性的深入分析，揭示了现有安全假设的缺陷。
• 攻击可行性的证明：通过模拟数据和真实数据的实验，证明了攻击方法的可行性和有效性。
• 影响评估：评估了攻击对不同PUF模型（如k-SUM PUF和Arbiter PUF）以及不同错误纠正码（如重复码、BCH码、Reed-Muller码）的影响。

结果

• 高成功率的攻击：研究表明，使用适当的ML算法，攻击者可以以高成功率预测PUF的响应和秘密密钥。
• 对现有协议的影响：分析结果表明，许多现有的依赖于MCPUFs的密钥存储和分发协议可能需要重新考虑，以确保它们在新的攻击场景下的安全性。
• 缓解策略的建议：文章不仅指出了潜在的安全风险，还提出了可能的缓解策略，如限制挑战-响应对的数量，选择更复杂的错误纠正码等。

2. Fault Attacks on CCA-secure Lattice KEMs

Peter Pessl; Lukas Prokop
Infineon Technologies; Graz University of Technology

问题与挑战

• 量子安全密码体系的实现安全性: NIST 量子安全密码标准化进程进入最后一轮，研究剩余候选方案的实现安全性变得尤为重要。
• 抵抗故障攻击的密码机制: 基于格的密钥封装机制（KEMs）在抵抗故障攻击方面鲜有关注，但这些KEMs在结构上存在相似性，许多方案采用Fujisaki-Okamoto（FO）变换实现CCA2安全。

主要工作

• 针对CCA安全的基于格的KEMs的故障攻击研究: 展示了即使存在固有保护，实际故障攻击仍然是可能的。
• 攻击方法的提出: 提出了一种仅需在解密过程中跳过单个指令的攻击方法，通过观察故障是否改变了结果来构建关键系数的线性不等式。

创新点

• 针对LWE和RLWE的新型故障攻击: 利用了LWE和RLWE问题在基于格的密码学中的应用，提出了一种新的攻击方法。
• 统计求解方法: 提出了一种定制的统计求解方法，用于解决由故障攻击收集到的不等式系统。

主要贡献

• 对Kyber和NewHope的攻击应用: 将提出的攻击方法应用于Kyber和NewHope两种密码方案，展示了攻击的可行性。
• 实际攻击演示: 使用时钟故障在Cortex M4上攻击运行Kyber的实例，证明了攻击的实用性。

结果

• Kyber512的攻击成功率: 通过大约6500次故障解密操作，展示了对Kyber512的完全密钥恢复。
• 攻击效率分析: 评估了攻击所需的计算资源，包括解决不等式系统所需的时间和内存。

对策与未来工作

• 提出的对策: 讨论了针对所提攻击的多种对策，包括协议级对策、冗余、控制流完整性（CFI）和洗牌。
• 未来研究方向: 提出了改进算法鲁棒性、适应其他密码方案和将格基约简纳入密钥恢复过程的未来研究方向。

3. A White-Box Masking Scheme Resisting Computational and Algebraic Attacks

Okan Seker; Thomas Eisenbarth; Maciej Liskiewicz
University of Lübeck

问题与挑战

• 白盒密码学的安全性问题：白盒密码学旨在保护纯软件实现中的加密秘密，但其安全性尚未得到充分定义。
• 对抗差分计算分析（DCA）：DCA是一种针对白盒密码系统的通用密码分析技术，它需要最少的底层白盒保护知识，并且能够挫败许多混淆方法。
• 经典掩蔽对策的局限性：传统的掩蔽对策虽然旨在保护侧信道攻击，但在白盒密码学环境中，新的代数攻击能够快速发现并有效破坏所有经典掩蔽对策。

主要工作

• 提出新型掩蔽方案：设计了一种新颖的通用掩蔽方案，能够抵抗DCA和代数DCA