Puncte:3

Protejarea AES prin Shamir Secret Sharing

drapel ru

Este vorba despre hârtie Protejarea AES cu Schema de partajare secretă a lui Shamir de Louis Goubin și Ange Martinelli, care descrie cum să utilizați Shamir Secret Sharing pentru a obține implementări mascate ale AES.

Sfârșitul secțiunii 3.1 sugerează că $\text{GF}(2)$-transformare afină $A$ implicat în definirea AES S-Box este compatibil cu SSS în sensul că dacă $(x_i,y_i)$ este o partajare SSS a $x$, atunci $(x_i, A(y_i))$ este o partajare SSS a $A(x)$. Acest lucru nu este clar pentru mine și a existat o corespondență pretenție errata cu mult timp în urmă, la care însă nu i s-a răspuns public.

Există într-adevăr detalii de completat aici și, dacă da, poate cineva să comenteze cum se poate face?

Puncte:1
drapel sa

Obiecția de pe forumul eprint.iacr este mai jos și pare a fi corect la o primă privire rapidă.

Ați căutat literatura care citează această lucrare? Au publicat autorii mai multe despre asta?

Editați | ×: Mai este de lucru Aici care poate valida cererea, într-un cadru MPC. Doar pun această notă pentru că nu voi avea timp să mă uit mai profund pentru o vreme.

„La sfârșitul secțiunii 3.1, autorii susțin că componenta afină A a casetei S AES (care este compoziția inversării în GF(256) cu o hartă GF(2)-afină care NU este afină peste GF( 256)) poate fi implementat simplu prin aplicarea hărții afine A asupra acțiunilor $y_i$ (ignorând termenul constant al hărții afine, făcându-l liniar de dragul simplității).

Este gresit.

Ca dovadă, autorii susțin că A(P) este un polinom de gradul d. A(P) poate fi interpretat ca un astfel de polinom, dar NU ca un polinom al unei variabile peste GF(256), NUMAI ca un polinom în 8 variabile peste GF(2) atunci când alegeți o bază pentru GF(256) peste GF( 2). Nu este deloc clar cum să convertești un astfel de polinom înapoi la forma de care au nevoie autorii.

O modalitate ușoară de a vedea această înlocuire $y_i$ de $A(y_i)$ NU corespunde aplicării hărții afine A la valoarea secretă este luând ecuația (1) din secțiunea 2.2:

Secretul $a_0$ pot fi reconstruite având în vedere acțiunile $y_i$ prin evaluarea sumei $\sum_0^d y_i \cdot \beta_i$. Aplicând harta afină A pe ambele părți (pentru simplitate, presupunem din nou că A este liniar peste GF(2)) se obține $A(a_0) = A(\sum_0^d y_i \cdot \beta_i) = \sum_0^d A(y_i \cdot \beta_i)$.

La fel de $A$ NU este afină/liniară peste GF(256), în general $A(y_i \cdot \beta_i)$ nu este egal $A(y_i) \cdot \beta_i$ si avand $A(a_0)$ egal cu $\sum_0^d A(y_i) \cdot \beta_i$ ar fi pură coincidenţă.â

Hanno avatar
drapel ru
Mulțumesc Kodlu că ai găsit asta! Se pare că aceasta este o critică separată de cea privind aplicarea părții afine a S-box-ului, deoarece se referă la noul algoritm de multiplicare SSS securizat propus.
Puncte:0
drapel ru

Sunt de fapt două lucruri separate de discutat w.r.t. hârtia:

  1. Detaliile modului de aplicare a $\text{GF}(2)$-funcție afină la o variabilă partajată SSS.

  2. Corectitudinea noii scheme de multiplicare SSS propusă în lucrare.

Hârtia Despre utilizarea împărtășirii secrete a lui Shamir împotriva Analiza canalului lateral menționat de Kodlu sugerează că există un defect în 2.Mulțumesc că ai găsit asta, Kodlu!

Referitor la întrebarea originală despre 1., lucrarea Implementarea gratuită a erorilor de ordin superior a AES folosind protocoale de calcul multipartite securizate de Roche și Prouff explică modul de aplicare a $\text{GF}(2)$-funcția afină în contextul SSS peste $\text{GF}(2^8)$. Pentru comoditate și pentru că este elegant, îl voi reproduce aici cu câteva detalii completate:

Observația crucială este următoarea:

Revendicare: Orice $\text{GF}(2)$-funcția afină activată $\text{GF}(2^n)$ este unic de formă $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$, Unde $\text{Frob}: y\mapsto y^2$ este Frobenius și $a_k\in\text{GF}(2^n)$.

Dovada: De cand $\text{Gal}(\text{GF}(2^n)/\text{GF}(2))=\{\text{Frob}^k\}_{k=0,\ldots,n- 1}$, acesta este un caz special al faptului că pentru orice extensie Galois $L/K$, $\text{Gal}(L/K)$ este o $L$-baza de $\text{End}_K(L)$. Aceasta, la rândul său, rezultă din (a) faptul că $\text{dim}_K(L)=|\text{Gal}(L/K)|$, prin urmare $\dim_L\text{Hom}_K(L,L)=\text{dim}_L\text{Hom}_K(K^{|\text{Gal}(L/K)|},L)=|\ text{Gal}(L/K)|$și (b) faptul că elementele de $\text{Gal}(L/K)$ sunt $L$-liniar independent, care este un caz special al independența liniară a personajelor.

Cu cererea, aplicarea de $\text{GF}(2)$-functii afine activate $\text{GF}(2^n)$ la SSS-parts se reduce la aplicarea funcţiilor formei $y\mapsto b y^{2^k}$ pentru unii $b\în \text{GF}(2^n)$. Aici, se observă că lucrurile devin mai simple prin asumarea a stabilit a punctelor publice de evaluare a SSS $\{\alpha_i\}$ a fi stabil sub $\text{Frob}$, caz în care un SSS-sharing $(\alpha_i, y_i)$ de $x$ se transformă într-un SSS-sharing $(\alpha_{\pi^k(i)}, b y_i^{2^k})=(\alpha_i, b y_{\pi^{-k}(i)}^{2^k})$ de $b x^{2^k}$ pentru permutare $\pi$ determinat de $\text{Frob}(\alpha_i) = \alpha_{\pi(i)}$. Astfel de $\text{Frob}$-subseturi stabile de $\text{GF}(2^n)$ poate fi construit pe baza observaţiei că $\text{GF}(2^n)\setminus\bigcup_{k|n}\text{GF}(2^k)$ se descompune în $\text{Frob}$-orbite de dimensiune $n$, deci inductiv există $\text{Frob}$-orbite de dimensiune $k|n$ pentru toți $k|n$.

Deci, adunând totul laolaltă, aplică $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$ la o variabilă partajată SSS $(\alpha_i,y_i)$ cu $\text{Frob}$-grajd $\{\alpha_i\}$ este algebric similar cu aplicarea lui în ceea ce privește acțiunile, dar trebuie să adăugați o permutare acțiunilor: $i$-a cota $a_{-1} + \sum_{k=0}^{n-1} a_{k} \text{Frob}^k(y_{\pi^{-k}(i)})$, Unde $\pi$ este permutarea activată $\{\alpha_i\}$ indus de $\text{Frob}$.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.