6、基于多项式的MAC方案单轨迹侧信道分析

基于多项式的MAC方案单轨迹侧信道分析

1 引言

在认证加密(AE)系统中,Poly1305的密钥安全至关重要。一旦攻击者获取其密钥,就能伪造认证标签,这对AE系统来说是严重的安全漏洞。因此,评估Poly1305的侧信道分析(SCA)安全性十分必要。

本文提出了针对基于多项式的消息认证码(MAC)的首个单轨迹SCA攻击,成功获取了Poly1305的哈希密钥并伪造了认证标签。与以往对AES - GCM(即GMAC)标签生成的攻击不同,本文攻击适用于Poly1305,且能在实际应用场景中发挥作用。

2 预备知识和相关工作

2.1 基本符号

以下是Poly1305和AES - GCM的MAC(即GMAC)的数学符号定义:
|符号|含义|
| ---- | ---- |
|H|16字节哈希密钥|
|S|最终加法的密钥|
|T|输出标签|
|A|MAC的输入,由16字节输入块$A_1, A_2, …, A_i, …, A_n$组成,n为输入块数量|
|$X_i$|多项式求值中的第i个中间值,$X_i = A_1H_i + A_2H_{i - 1} + … + A_iH$|
|$W_i$|第i次加法的输出,$W_i = (2^{128} + A_i) + X_{i - 1}$|
|U|多项式求值的输出,$U = X_n$|
|$h_j, s_j, t_j, a_{i,j}, x_{i,j}, w_{i,j}, u_j$|分别为H、S、T、$A_i$、$X_i$、$W_i$和U的第j个字节|

对于Poly1305和GMAC,上述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值