Рейтинг:0

Crypto

Маскированная арифметика RSA/BigInt?

Mark

25.05.2023, 23:40

Маскировка это процесс замены операций (внутри некоторого криптографического алгоритма) над промежуточными значениями операциями над общий секрет ценности. Затем, даже если произойдет утечка некоторого количества этих значений с общим секретом (скажем, из-за различных атак по побочным каналам), можно будет поддерживать безопасность (благодаря теоретико-информационной безопасности схемы с совместным использованием секрета).

Меня интересует возможность замаскированной арифметики bigint. А именно, один представляет $x\in\mathbb{Z}_{2^{2048}}$ (например) как

$$x = \sum_{i = 0}^{63} x_i 2^{32i}$$

где каждый $x_i \in\mathbb{Z}_{2^{32}}$, и мы по-прежнему будем маскировать каждый $x_i$ индивидуально. Стандартное сложение и умножение замаскированных долей довольно просты --- мне особенно любопытно, как обстоят дела с несущий.

Это похоже на то, что кто-то должен был проработать в литературе, особенно для маскировки реализаций RSA. Но мне ничего не удалось найти (я видел обсуждение замаскированных реализаций RSA RNS, что концептуально более просто). Известно ли, как маскировать арифметику BigInt?

0 + 0

атака по побочному каналу

kelalaka

25.05.2023, 23:43

Разве в OpenSSL нет реализации для маскировки? Насколько я знаю, в этом нет ничего особенного, так как у него есть несколько портированных GNU/GMP.

Ответить

Mark

25.05.2023, 23:53

@kelalaka кто-нибудь писал где-нибудь, что они делают? Благодаря вашему указателю я нашел [это] (https://github.com/openssl/openssl/blob/1c0eede9827b0962f1d752fa4ab5d436fa039da4/crypto/bn/bn_blind.c), но для меня определенно было бы предпочтительнее взглянуть на псевдокод.

Ответить

kelalaka

25.05.2023, 23:57

Требуется время, чтобы прочитать код, я сейчас, Что вы ищете [здесь] (https://github.com/openssl/openssl/blob/1c0eede9827b0962f1d752fa4ab5d436fa039da4/crypto/bn/bn_blind.c#L134) и увидеть строку 155 там.

Ответить

kelalaka

26.05.2023, 00:23

_и мы по-прежнему будем маскировать каждый $x_i$ индивидуально._ Это невозможно, так как маски искажаются, верно?

Ответить

Mark

26.05.2023, 02:03

@kelalaka Это не кажется простым, но и маскированное умножение (которое iirc в общем случае маскирования $n$-го порядка сводится к протоколу умножения протокола GMW MPC). Здесь мне в основном интересно, есть ли другой неочевидный способ вычисления замаскированного «переносящего» шага --- если нет, то для моего конкретного приложения я могу обратиться к арифметике типа RNS, но это несколько более неудобно.

Ответить

j.p.

26.05.2023, 09:41

Каких атак вы опасаетесь? Сроки, DPA или белый ящик? OpenSSL будет заботиться только о времени, поэтому им не нужно использовать дорогостоящие контрмеры, необходимые для более сильных атак. Для защиты RSA от атаки серого ящика необходимо защитить в основном показатель степени, что можно сделать с помощью аддитивного совместного использования модуля фи (модуль). Кроме того, можно маскировать базу мультипликативно по модулю. Если вам нужны более сильные контрмеры для реализации белого ящика, вы можете взглянуть на [последнее соревнование белого ящика] (https://whibox.io/contests/2021/rules) с эллиптическими кривыми.

Ответить

kelalaka

26.05.2023, 10:42

@Mark, не могли бы вы дать ссылку на документ GMW MPC?

Ответить

kelalaka

26.05.2023, 13:33

GNU/GMP имеет [безопасное модульное умножение](https://gmplib.org/manual/Integer-Exponentiation) против побочного канала. Может быть это то, что вам нужно?

Ответить

Admin