Puncte:0

Crypto

Mascată RSA/BigInt Aritmetică?

Mark

25.05.2023, 23:40

Mascarea este procesul de înlocuire a operațiunilor (intern la un algoritm criptografic) pe valori intermediare cu operații pe secret împărtășit valorile. Apoi, chiar dacă unele dintre aceste valori secrete partajate se scurg (să zicem din cauza diferitelor atacuri pe canale laterale), se poate menține securitatea (datorită securității teoretice informaționale a schemei de partajare a secretelor).

Sunt interesat de posibilitatea aritmeticii bigint mascate. Și anume, unul reprezintă $x\în \mathbb{Z}_{2^{2048}}$ (de exemplu) ca

$$x = \sum_{i = 0}^{63} x_i 2^{32i}$$

unde fiecare $x_i \in\mathbb{Z}_{2^{32}}$și vom masca pe fiecare $x_i$ individual. Adunarea standard și înmulțirea acțiunilor mascate sunt destul de simple --- Sunt în special curios cum se face față purtând.

Acesta pare a fi genul de lucru pe care cineva ar fi trebuit să-l rezolve în literatură, în special pentru a masca implementările RSA. Dar nu am reușit să găsesc nimic (am văzut câteva discuții despre implementările RNS mascate ale RSA, ceea ce este mai simplu din punct de vedere conceptual). Se știe cum să maschezi aritmetica BigInt?

0 + 0

atac pe canal lateral

kelalaka

25.05.2023, 23:43

OpenSSL nu are implementare pentru mascare? AFAIK nu este nimic special, deoarece are unele portate GNU/GMP.

Răspunde

Mark

25.05.2023, 23:53

@kelalaka a scris cineva undeva ce fac? Datorită indicatorului dvs., am găsit [this](https://github.com/openssl/openssl/blob/1c0eede9827b0962f1d752fa4ab5d436fa039da4/crypto/bn/bn_blind.c), dar cu siguranță ar fi de preferat să mă uit la pseudocod.

Răspunde

kelalaka

25.05.2023, 23:57

Este nevoie de timp pentru a citi codul, eu acum, Ce cauți [aici](https://github.com/openssl/openssl/blob/1c0eede9827b0962f1d752fa4ab5d436fa039da4/crypto/bn/bn_blind.c#L134) și 15 see the line Acolo.

Răspunde

kelalaka

26.05.2023, 00:23

_și vom masca fiecare $x_i$ individual._ Este imposibil, deoarece există o stricăciune a măștilor, nu?

Răspunde

Mark

26.05.2023, 02:03

@kelalaka Nu pare simplu, dar nici înmulțirea mascată (care iirc în cazul general al mascării de ordin $n$ o reduce la protocolul de multiplicare al protocolului GMW MPC). Aici, în cea mai mare parte, mă întreb dacă există o altă modalitate neevidentă de a calcula pasul „carry” mascat --- dacă nu, pentru aplicația mea particulară, pot apela la un tip de aritmetică RNS, dar este ceva mai incomodă.

Răspunde

j.p.

26.05.2023, 09:41

De ce fel de atacuri vă faceți griji? Timing, DPA sau white-box? OpenSSL i-ar păsa doar de sincronizare, așa că nu trebuie să folosească contramăsuri costisitoare necesare pentru atacurile mai puternice. Pentru a securiza RSA împotriva atacului cu caseta gri, trebuie să protejați în mare parte exponentul, ceea ce se poate face printr-o partajare aditivă modulo phi (modul). În plus, se poate masca baza multiplicativ modulo modulul. Pentru a necesita contramăsuri mai puternice pentru implementarea casetei albe, puteți arunca o privire la [ultima competiție de casete albe](https://whibox.io/contests/2021/rules) care prezintă curbe eliptice.

Răspunde

kelalaka

26.05.2023, 10:42

@Mark ai trimite la hârtie GMW MPC?

Răspunde

kelalaka

26.05.2023, 13:33

GNU/GMP are [multiplicare modulară securizată](https://gmplib.org/manual/Integer-Exponentiation) împotriva canalului lateral. Acesta ar putea fi ceea ce ai nevoie?

Răspunde