瑞典研究人员发现CRYSTALS-Kyber的潜在攻击方式

关键要点

• 瑞典的研究人员发现CRYSTALS-Kyber的具体实现存在漏洞，这是一种被选为未来美国政府加密标准的“后量子”公钥加密算法。
• 该算法易受一种新型的侧信道攻击，该攻击利用物理信号发出的痕迹来提取机密信息，而非直接攻克系统或硬件的防御。
• 尽管该研究揭示了具体实现的漏洞，但专家认为并不意味着CRYSTALS-Kyber算法本身存在致命缺陷。
• 美国国家标准技术研究所（NIST）评估此情况，但表示仍有其他备选算法可用。

瑞典KTH皇家学院的研究人员在一篇中指出，CRYSTALS-
Kyber算法容易受到侧信道攻击的影响。此算法被U.S.国家标准技术研究所（NIST）和国家安全局（NSA）选为未来加密标准，旨在抵御量子计算机的攻击。

这种攻击方式不同于传统的攻击方法，它不是直接针对系统或硬件的防御，而是利用设备发出的物理信号（例如电流、执行时间或电磁辐射）提取机密信息。尤其是，基于深度学习的侧信道分析使得此类攻击在破解加密体系和恢复密钥方面变得更加有效。
研究人员Elena Dubrova、Kalle Ngo和Joel Gärtner指出：

“基于深度学习的侧信道攻击可以克服常规的防御措施，例如掩码、打乱、随机延迟插入、恒定权重编码、代码多态性和随机时钟。”

加密算法利用一种叫做“掩码”的技术来防止信息泄漏并抵御侧信道攻击。通过一种新开发的神经网络训练方法，研究人员发现可以以超过99%的概率提取高阶掩码实现的消息位。他们还开发了一种新消息恢复方法，通过操控密文以增加消息位的泄漏，从而提高消息恢复率，并最终提取算法的秘密密钥。

此类掩码的复杂性有不同的阶数，之前的实验已显示成功实施了三阶掩码软件实现的侧信道攻击。KTH开发的方法成功突破了采用五阶实现的CRYSTALS-Kyber。

“据我们所知，尚未在任何LWE/LWR PKE/KEM方案的高于三阶的掩码实现上展示侧信道攻击。所述方法并非特定于CRYSTALS-
Kyber，可能同样适用于其他LWE/LWR PKE/KEM方案。”研究人员写道。

NIST官员表示无需恐慌

CRYSTALS-
Kyber是NIST经过严谨审查程序选出的四个后量子算法之一，该程序历时数年，旨在开发下一代加密标准。其他三种则用于数字签名和身份验证，而CRYSTALS-
Kyber是迄今为止唯一选出的通用算法。

NIST对此情况早有预料。由于能够破解经典加密的加密相关量子计算机，研究人员必须基于对量子计算机可能作用的数学估计做出选择。这也是NIST的审查程序中包含多个备份选项的重要原因，旨在应对算法被攻破的情况，例如为CRYSTALS-
Kyber准备的三个潜在替代方案。

这意味着我们认为能保护我们的算法可能实际上存在不足，NIST官员指出，后量子密码选择过程中的每一轮都揭示了算法中的未知或未预见的弱点。去年，另一候选者SIKE也因比利时研究人员在一个多小时内利用数十年前的数学理论破解而被拨除考虑范围。

然而，NIST计算机安全部门的数学家Dustin Moody对SC Media表示，尽管该机构欢迎新的研究，但他并不认为这代表CRYSTALS-
Kyber存在致命缺陷，并且NIST目前没有计划替代或降低该算法的优先级。

通常，加密方案可以根据新发现的缺陷进行调整或更改，专家也