JANČÁR, Ján, Vladimír SEDLÁČEK, Petr ŠVENDA a Marek SÝS. Minerva: The curse of ECDSA nonces. Online. In Amir Moradi, Mehdi Tibouchi. IACR Transactions on Cryptographic Hardware and Embedded Systems. Německo: Ruhr-University of Bochum, 2020, s. 281-308. ISSN 2569-2925. Dostupné z: https://dx.doi.org/10.13154/tches.v2020.i4.281-308.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název Minerva: The curse of ECDSA nonces
Autoři JANČÁR, Ján (703 Slovensko, garant, domácí), Vladimír SEDLÁČEK (203 Česká republika, domácí), Petr ŠVENDA (203 Česká republika, domácí) a Marek SÝS (703 Slovensko, domácí).
Vydání Německo, IACR Transactions on Cryptographic Hardware and Embedded Systems, od s. 281-308, 28 s. 2020.
Nakladatel Ruhr-University of Bochum
Další údaje
Originální jazyk angličtina
Typ výsledku Stať ve sborníku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Německo
Utajení není předmětem státního či obchodního tajemství
Forma vydání elektronická verze "online"
WWW Website
Kód RIV RIV/00216224:14330/20:00114222
Organizační jednotka Fakulta informatiky
ISSN 2569-2925
Doi http://dx.doi.org/10.13154/tches.v2020.i4.281-308
Klíčová slova anglicky ECDSA; Hidden Number Problem; side-channel attack; lattice attack; smartcard
Štítky best1, core_A, firank_A
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: RNDr. Pavel Šmerk, Ph.D., učo 3880. Změněno: 31. 5. 2022 14:26.
Anotace
We present our discovery of a group of side-channel vulnerabilities in implementations of the ECDSA signature algorithm in a widely used Atmel AT90SC FIPS 140-2 certified smartcard chip and five cryptographic libraries (libgcrypt, wolfSSL, MatrixSSL, SunEC/OpenJDK/Oracle JDK, Crypto++). Vulnerable implementations leak the bit-length of the scalar used in scalar multiplication via timing. Using leaked bit-length, we mount a lattice attack on a 256-bit curve, after observing enough signing operations. We propose two new methods to recover the full private key requiring just 500 signatures for simulated leakage data, 1200 for real cryptographic library data, and 2100 for smartcard data. The number of signatures needed for a successful attack depends on the chosen method and its parameters as well as on the noise profile, influenced by the type of leakage and used computation platform. We use the set of vulnerabilities reported in this paper, together with the recently published TPM-FAIL vulnerability [MSE+20] as a basis for real-world benchmark datasets to systematically compare our newly proposed methods and all previously published applicable lattice-based key recovery methods. The resulting exhaustive comparison highlights the methods’ sensitivity to its proper parametrization and demonstrates that our methods are more efficient in most cases. For the TPM-FAIL dataset, we decreased the number of required signatures from approximately 40 000 to mere 900.
Návaznosti
GA20-03426S, projekt VaVNázev: Ověření a zlepšení bezpečnosti kryptografie eliptických křivek
Investor: Grantová agentura ČR, Ověření a zlepšení bezpečnosti kryptografie eliptických křivek
VytisknoutZobrazeno: 6. 5. 2024 22:20