後量子算法和邊通道攻擊
我正在研究 NIST 後量子密碼標準化的決賽算法。我注意到幾乎所有第三方密碼分析論文都包含側通道攻擊。為什麼經典密碼分析方法(代數、數學攻擊等)在經典算法上比後量子算法更有效?
此外,我知道後量子算法背後的數學問題相對較新——至少對於密碼學來說是這樣——但在文獻中占主導地位的側通道攻擊迫使我考慮“後量子算法是否有任何特徵使它們更容易受到側通道攻擊嗎?”
最後,我願意接受任何關於開始抗側通道實現技術的建議——尤其是對於後量子算法。
為什麼經典密碼分析方法(代數、數學攻擊等)在經典算法上比後量子算法更有效?
我覺得這對一些優秀的數學工作有點不公平。格算法的最新發展,例如飽和和篩分(參見 Alberecht 等人的“ The General Sieve Kernel and New Records in Lattice Reduction ”);使用非線性方程求解來恢復 Goppa 結構(參見 Faugere 等人的“具有緊湊密鑰的 McEliece 方案的結構密碼分析”)和 UOV MVQ 系統的最新工作(參見 Buellens“ UOV 和 Rainbow 的改進密碼分析”)表明“經典”密碼分析在這些算法的分析中起著非常重要的作用。
後量子算法是否有任何特性使它們更容易受到側通道攻擊?
某些後量子算法(尤其是存在錯誤問題的基於格的學習)本質上是嘈雜的。這導致設計在解密過程中包含一定的可容忍失敗率,必須確保不會導緻密鑰資訊洩露。特別是如果主動攻擊者可以導致解密失敗,這可能會導緻密鑰洩漏(有關早期工作,請參閱 Proos “不完美的解密和對 NTRU 加密方案的攻擊”)。同樣,對於格簽名,在選擇短暫的“雜訊”時必須非常小心,以免聚合簽名洩露簽名密鑰資訊(參見 Ducas “格簽名和雙峰高斯s" 例如)。基於程式碼的 BIKE 提議也有一個可能失敗的解密過程,需要在此處採取類似的措施。這些功能可以與邊通道方法密切相關。