研究人員發(fā)現(xiàn)在NIST選定的抗量子密碼算法中發(fā)現(xiàn)安全漏洞。

2022年7月，美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）宣布選定的4個抗量子加密算法，其中CRYSTALS-Kyber用于通用加密，CRYSTALS-Dilithium、FALCON和SPHINCS+用于數(shù)字簽名。CRYSTALS-Kyber被加入到美國國家安全局推薦的應(yīng)用于國家安全系統(tǒng)的加密算法套件中。

2022年12月，瑞典皇家理工學(xué)院研究人員發(fā)文稱在CRYSTALS-Kyber特定實現(xiàn)中發(fā)現(xiàn)一個安全漏洞，攻擊者利用該漏洞可以發(fā)現(xiàn)側(cè)信道攻擊。側(cè)信道攻擊是通過物理參數(shù)的評測和分析來從加密系統(tǒng)中竊取秘密信息。側(cè)信道攻擊常用的參數(shù)包括電源電流、執(zhí)行時間、電磁輻射等。攻擊原理是加密算法實現(xiàn)結(jié)果會引入一些物理上的反映，可以用來解碼和推理機密信息，比如密文和加密密鑰。而針對側(cè)信道攻擊的主要防護方法是屏蔽（masking），屏蔽方法的基本原理是使用秘密分享技術(shù)將加密算法的敏感中間變量拆分為多個秘密份額，然后在這些不同的秘密份額上執(zhí)行計算。

該漏洞是在CRYSTALS-Kyber 算法的ARM Cortex-M4 CPU實現(xiàn)中發(fā)現(xiàn)的。研究人員設(shè)計了一種基于神經(jīng)網(wǎng)絡(luò)（遞歸學(xué)習(xí)）的攻擊方法，可以以更高概率恢復(fù)出消息位?；谏窠?jīng)學(xué)習(xí)的側(cè)信道攻擊方法可以對抗傳統(tǒng)信道攻擊的防護方法，比如屏蔽、隨機延遲插入、隨機時鐘等方法。研究人員提出一種名為循環(huán)移位（cyclic rotation）的消息恢復(fù)方法，可以通過操作密文來增加消息位的泄露，因此增加消息恢復(fù)的成功率。

NIST稱該方法并非破解了CRYSTALS-Kyber算法，也不影響CRYSTALS-Kyber的抗量子標(biāo)準(zhǔn)化過程。

關(guān)于CRYSTALS-Kyber安全漏洞的研究成果參見：https://eprint.iacr.org/2022/1713.pdf

本文翻譯自：https://thehackernews.com/2023/03/experts-discover-flaw-in-us-govts.html