基于多项式的MAC方案单轨迹侧信道分析
1 引言
在认证加密(AE)系统中,Poly1305的密钥安全至关重要。一旦攻击者获取其密钥,就能伪造认证标签,这对AE系统来说是严重的安全漏洞。因此,评估Poly1305的侧信道分析(SCA)安全性十分必要。
本文提出了针对基于多项式的消息认证码(MAC)的首个单轨迹SCA攻击,成功获取了Poly1305的哈希密钥并伪造了认证标签。与以往对AES - GCM(即GMAC)标签生成的攻击不同,本文攻击适用于Poly1305,且能在实际应用场景中发挥作用。
2 预备知识和相关工作
2.1 基本符号
以下是Poly1305和AES - GCM的MAC(即GMAC)的数学符号定义:
|符号|含义|
| ---- | ---- |
|H|16字节哈希密钥|
|S|最终加法的密钥|
|T|输出标签|
|A|MAC的输入,由16字节输入块$A_1, A_2, …, A_i, …, A_n$组成,n为输入块数量|
|$X_i$|多项式求值中的第i个中间值,$X_i = A_1H_i + A_2H_{i - 1} + … + A_iH$|
|$W_i$|第i次加法的输出,$W_i = (2^{128} + A_i) + X_{i - 1}$|
|U|多项式求值的输出,$U = X_n$|
|$h_j, s_j, t_j, a_{i,j}, x_{i,j}, w_{i,j}, u_j$|分别为H、S、T、$A_i$、$X_i$、$W_i$和U的第j个字节|
对于Poly1305和GMAC,上述