15、实用中的抗泄漏密码学

实用中的抗泄漏密码学

在密码学领域，抗泄漏密码学是一个重要的研究方向，它旨在解决密码系统在面对侧信道攻击时的安全性问题。本文将探讨抗泄漏密码学在实际应用中的一些关键问题，包括伪随机数生成器（PRG）和伪随机函数（PRF）的构造、初始化问题以及相关的安全证明等。

1. 2PRG构造的相关问题

在2PRG的构造中，所使用的分组密码会影响其安全性。如果使用具有可逆密钥调度算法的分组密码（如AES Rijndael），2PRG输出的泄漏可能会泄露用于生成该输出的密钥信息。虽然这不一定会改变PRG的实际安全性，但为了防止侧信道攻击，仔细选择基于分组密码的构造是很重要的。非可逆密钥调度算法（如FOX分组密码）在有泄漏的设备中是更理想的选择。另外，严格遵循某些假设可能会带来性能开销，例如可以将2PRG的定义从：
[2PRG(x) := [BC_x(0^n), BC_x(1||0^{n - 1})]]
替换为稍复杂的形式：
[2PRG(x) := [BC_{BC_x(0)}(0^n), BC_{BC_x(0)}(1||0^{n - 1})]]

此外，通过向2PRG示例中添加更多分组密码，可以轻松将其扩展为3PRG、4PRG等。这会导致安全性和性能之间的简单权衡。对于给定的q - 限制，可以在图6a中使用qPRG，每次分组密码执行可生成(\frac{n\cdot(q - 1)}{q})个伪随机比特。

2. 初始化问题

2.1 标准DPA攻击破解[34]方案

[34]中声称图6b的交替结构可作为抗泄漏流密码，但这需要使用公共初始化向量进行初始化。作者建议随机选取密钥(k_0)和(k_1)以及公共(x_0