24、对抗并发缓存攻击的泄漏弹性

对抗并发缓存攻击的泄漏弹性

在当今的计算环境中，并发缓存攻击成为了一个日益严重的安全威胁。本文将深入探讨一种具有泄漏弹性的伪随机数生成器（PRG），以及如何计算并发缓存攻击下泄漏函数的界限。

具有泄漏弹性的伪随机数生成器

具有泄漏弹性的伪随机数生成器的构造基于一个伪随机函数 2PRF，它将 n 位的轮密钥 $k_i$ 作为输入，输出一个 n + m 位的伪随机字符串。该字符串的前 n 位作为下一轮的密钥 $k_{i+1}$，后 m 位作为输出。序列 $x_0x_1…$ 就是伪随机数生成器的输出。

安全性证明

安全性证明基于随机预言机模型，灵感来自于实用的泄漏弹性密码学。证明假设泄漏函数不会泄露未来计算的信息，这对于基于并发访问的缓存攻击来说是合理的，因为缓存只保存受害者过去计算的信息。

为了证明伪随机数生成器的安全性，我们设计了一个密码学游戏。在每一轮 i 中，攻击者可以进行以下操作之一：
1. 请求查询 ：选择一组泄漏函数 $\lambda_i^0, …, \lambda_i^{i+1}$，观察 $\lambda_i^0(k_0), …, \lambda_i^{i+1}(k_{i+1})$ 的值，以及 2PRF 在第 i 轮的合法输出 $x_i$。
2. 测试查询 ：根据游戏开始时均匀采样的秘密位 b，获取合法输出 $x_i$ 或随机输出。

攻击者还可以访问一个预言机 2PRFadv，用于查询 2PRF 对于所选密钥的输出。经过 p 轮游戏后，攻击者需要猜测秘密位 b。如果猜测正确（即 $\overline{b} = b