Рейтинг:3

Защита AES с помощью Shamir Secret Sharing

флаг ru

Это про бумагу Защита AES с помощью схемы обмена секретами Шамира Луи Губен и Анж Мартинелли, в котором описывается, как использовать Shamir Secret Sharing для получения замаскированных реализаций AES.

Конец раздела 3.1 предполагает, что $\text{ГФ}(2)$-аффинное преобразование $А$ включенный в определение AES S-Box, совместим с SSS в том смысле, что если $(x_i,y_i)$ является совместным использованием SSS $х$, тогда $(x_i, А(y_i))$ является совместным использованием SSS $А(х)$. Мне это непонятно, и было соответствующее претензия об опечатках давно, на который, однако, публично не ответили.

Действительно ли здесь нужно заполнить детали, и если да, то может ли кто-нибудь прокомментировать, как это можно сделать?

Рейтинг:1
флаг sa

Ниже приведено возражение на форуме eprint.iacr. и кажется правильным на первый взгляд.

Вы искали литературу, в которой цитируется эта статья? Публиковали ли авторы дальнейшие публикации об этом?

Редактировать: Есть дальнейшая работа здесь который может подтвердить утверждение в рамках MPC. Просто помещаю эту заметку, так как у меня не будет времени, чтобы посмотреть глубже некоторое время.

«В конце раздела 3.1 авторы утверждают, что аффинный компонент A S-блока AES (который представляет собой композицию инверсии в GF(256) с GF(2)-аффинным отображением, которое НЕ является аффинным над GF( 256)) можно просто реализовать, применив аффинную карту A к долям $y_i$ (игнорируя постоянный член аффинной карты, делая ее линейной для простоты).

Это не правильно.

В качестве доказательства авторы утверждают, что A(P) — полином степени d. A(P) можно интерпретировать как такой полином, но НЕ как полином одной переменной над GF(256), ТОЛЬКО как многочлен от 8 переменных над GF(2) при выборе базиса GF(256) над GF( 2). Совершенно непонятно, как такой полином привести обратно к нужному авторам виду.

Простой способ увидеть, что замена $y_i$ к $А(у_я)$ НЕ соответствует применению аффинной карты A к секретному значению с помощью уравнения (1) раздела 2.2:

Секрет $a_0$ могут быть реконструированы с учетом акций $y_i$ оценивая сумму $\sum_0^d y_i \cdot \beta_i$. Применяя аффинное отображение A с обеих сторон (для простоты мы снова предполагаем A линейным над GF(2)) получаем $A(a_0) = A(\sum_0^d y_i \cdot \beta_i) = \sum_0^d A(y_i \cdot \beta_i)$.

Как $А$ НЕ является аффинным/линейным по GF(256), вообще говоря $A(y_i\cdot\beta_i)$ не равно $A(y_i) \cdot \beta_i$ и имея $А(а_0)$ равно $\sum_0^d A(y_i) \cdot \beta_i$ было бы чистой случайностью».

Hanno avatar
флаг ru
Спасибо, Кодлу, что нашел это! Кажется, что это критика, отдельная от той, что касается применения аффинной части S-блока, поскольку она касается предлагаемого нового безопасного алгоритма SSS-умножения.
Рейтинг:0
флаг ru

На самом деле есть две отдельные вещи, которые нужно обсудить. бумага:

  1. Подробности о том, как подать заявку $\text{ГФ}(2)$-аффинная функция к общей переменной SSS.

  2. Корректность предложенной в статье новой схемы SSS-умножения.

Бумага Об использовании раскрытия тайны Шамиром против Анализ побочных каналов упомянутый Кодлу предполагает, что в 2 есть недостаток.Спасибо, что нашел это, Кодлу!

Что касается первоначального вопроса о 1., статья Реализация AES без сбоев более высокого порядка с использованием безопасных протоколов многосторонних вычислений Roche and Prouff объясняет, как применять $\text{ГФ}(2)$-аффинная функция в контексте SSS над $\text{GF}(2^8)$. Для удобства и потому, что это элегантно, я воспроизведу его здесь с некоторыми заполненными деталями:

Важнейшее наблюдение состоит в следующем:

Требовать: Любой $\text{ГФ}(2)$-аффинная функция на $\text{GF}(2^n)$ однозначно имеет вид $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$, куда $\text{Frob}: y\mapsto y^2$ это Фробениус и $a_k\in\text{GF}(2^n)$.

Доказательство: С $\text{Gal}(\text{GF}(2^n)/\text{GF}(2))=\{\text{Frob}^k\}_{k=0,\ldots,n- 1}$, это частный случай того, что для любого расширения Галуа $L/K$, $\text{Гал}(Л/К)$ является $L$-базис $\text{Конец}_K(L)$. Это, в свою очередь, следует из (а) того факта, что $\text{тусклый}_K(L)=|\text{Gal}(L/K)|$, следовательно $\dim_L\text{Hom}_K(L,L)=\text{dim}_L\text{Hom}_K(K^{|\text{Gal}(L/K)|},L)=|\ текст{Гал}(L/K)|$, и (b) тот факт, что элементы $\text{Гал}(Л/К)$ находятся $L$-линейная независимая, которая является частным случаем линейная независимость символов.

С иском, заявлением $\text{ГФ}(2)$-аффинные функции на $\text{GF}(2^n)$ к SSS-акциям сводится к применению функций вида $y\mapsto b y^{2^k}$ для некоторых $b\in \text{GF}(2^n)$. Здесь замечено, что все становится проще, если предположить, что установлен общедоступных баллов оценки SSS $\{\alpha_i\}$ быть стабильным под $\text{Фроб}$, и в этом случае совместное использование SSS $(\alpha_i, y_i)$ из $х$ трансформируется в SSS-шеринг $(\alpha_{\pi^k(i)}, b y_i^{2^k})=(\alpha_i, b y_{\pi^{-k}(i)}^{2^k})$ из $б х^{2^к}$ для перестановки $\пи$ определяется $\text{Frob}(\alpha_i) = \alpha_{\pi(i)}$. Такой $\text{Фроб}$-стабильные подмножества $\text{GF}(2^n)$ можно построить, исходя из наблюдения, что $\text{GF}(2^n)\setminus\bigcup_{k|n}\text{GF}(2^k)$ разлагается на $\text{Фроб}$-орбиты размером $n$, поэтому индуктивно существуют $\text{Фроб}$-орбиты размером $k|n$ для всех $k|n$.

Итак, собирая все вместе, применяя $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$ к общей переменной SSS $(\alpha_i,y_i)$ с $\text{Фроб}$-стабильный $\{\alpha_i\}$ алгебраически похож на его применение к акциям, но нужно добавить перестановку к акциям: новый $я$-я доля $a_{-1} + \sum_{k=0}^{n-1} a_{k} \text{Frob}^k(y_{\pi^{-k}(i)})$, куда $\пи$ это перестановка на $\{\alpha_i\}$ индуцированный $\text{Фроб}$.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.