Điểm:3

Bảo vệ AES thông qua Shamir Secret Sharing

lá cờ ru

Đây là về giấy Bảo vệ AES với Lược đồ chia sẻ bí mật của Shamir của Louis Goubin và Ange Martinelli mô tả cách sử dụng Chia sẻ bí mật của Shamir để có được các triển khai AES đeo mặt nạ.

Phần cuối của phần 3.1 gợi ý rằng $\text{GF}(2)$biến đổi -affine $A$ liên quan đến định nghĩa AES S-Box tương thích với SSS theo nghĩa là nếu $(x_i,y_i)$ là một chia sẻ SSS của $x$, sau đó $(x_i, A(y_i))$ là một chia sẻ SSS của $A(x)$. Điều này không rõ ràng với tôi, và đã có một tương ứng yêu cầu sai từ lâu, tuy nhiên chưa được trả lời công khai.

Có thực sự có chi tiết cần điền vào đây không, và nếu có, ai đó có thể nhận xét về cách thực hiện không?

Điểm:1
lá cờ sa

Nội dung phản đối trên diễn đàn eprint.iacr ở bên dưới và có vẻ đúng ngay từ cái nhìn đầu tiên.

Bạn đã tìm kiếm tài liệu trích dẫn bài viết này? Các tác giả đã công bố thêm về điều này?

Chỉnh sửa: Có công việc tiếp theo đây có thể xác thực yêu cầu, trong khuôn khổ MPC. Chỉ cần ghi chú này lên vì tôi sẽ không có thời gian để xem xét sâu hơn trong một thời gian.

âỞ cuối phần 3.1, các tác giả khẳng định rằng thành phần affine A của AES S-box (là thành phần của nghịch đảo trong GF(256) với bản đồ affine GF(2) KHÔNG affine trên GF( 256)) có thể được thực hiện đơn giản bằng cách áp dụng ánh xạ affine A trên các chia sẻ $y_i$ (bỏ qua số hạng không đổi của bản đồ affine làm cho nó trở nên tuyến tính vì mục đích đơn giản).

Cái này sai.

Để chứng minh, các tác giả khẳng định rằng A(P) là một đa thức bậc d. A(P) có thể hiểu là một đa thức như vậy, nhưng KHÔNG PHẢI là đa thức một biến trên GF(256), CHỈ là đa thức 8 biến trên GF(2) khi chọn cơ sở của GF(256) trên GF( 2). Hoàn toàn không rõ ràng, làm thế nào để chuyển đổi một đa thức như vậy trở lại dạng mà các tác giả cần.

Một cách dễ dàng để thấy rằng thay thế $y_i$ qua $A(y_i)$ KHÔNG tương ứng với việc áp dụng ánh xạ affine A cho giá trị bí mật bằng cách lấy phương trình (1) của mục 2.2:

Bí mật $a_0$ có thể được xây dựng lại với các cổ phiếu $y_i$ bằng cách đánh giá tổng $\sum_0^d y_i \cdot \beta_i$. Áp dụng ánh xạ affine A trên cả hai vế (để đơn giản, ta lại giả sử A là tuyến tính trên GF(2)) ta được $A(a_0) = A(\sum_0^d y_i \cdot \beta_i) = \sum_0^d A(y_i \cdot \beta_i)$.

Như $A$ KHÔNG phải là affine/tuyến tính trên GF(256), nói chung $A(y_i \cdot \beta_i)$ KHÔNG bằng $A(y_i) \cdot \beta_i$ và có $A(a_0)$ tương đương với $\sum_0^d A(y_i) \cdot \beta_i$ sẽ là sự trùng hợp thuần túy.â

Hanno avatar
lá cờ ru
Cảm ơn bạn Kodlu vì đã tìm thấy điều này! Có vẻ như đây là một bài phê bình tách biệt với bài phê bình liên quan đến ứng dụng của phần affine của hộp S, vì nó liên quan đến thuật toán nhân SSS an toàn mới được đề xuất
Điểm:0
lá cờ ru

Trên thực tế, có hai điều riêng biệt sẽ được thảo luận w.r.t. giấy:

  1. Các chi tiết về cách áp dụng một $\text{GF}(2)$-affine cho một biến được chia sẻ SSS.

  2. Tính đúng đắn của sơ đồ nhân SSS mới được đề xuất trong bài báo.

Giấy Về việc sử dụng chia sẻ bí mật của Shamir để chống lại Phân tích kênh phụ được đề cập bởi Kodlu gợi ý rằng có một lỗ hổng trong 2.Cảm ơn vì đã tìm thấy điều đó, Kodlu!

Liên quan đến câu hỏi ban đầu về 1., bài báo Trục trặc bậc cao Triển khai miễn phí AES bằng cách sử dụng Giao thức tính toán đa bên an toàn của Roche và Prouff giải thích cách áp dụng $\text{GF}(2)$chức năng -affine trong ngữ cảnh của SSS hơn $\text{GF}(2^8)$. Để thuận tiện và vì nó trang nhã, tôi sẽ sao chép nó ở đây với một số chi tiết được điền vào:

Quan sát quan trọng là như sau:

Yêu cầu: Không tí nào $\text{GF}(2)$chức năng -affine trên $\text{GF}(2^n)$ là duy nhất của hình thức $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$, ở đâu $\text{Frob}: y\mapsto y^2$ là Frobenius, và $a_k\in\text{GF}(2^n)$.

Bằng chứng: Từ $\text{Gal}(\text{GF}(2^n)/\text{GF}(2))=\{\text{Frob}^k\}_{k=0,\ldots,n- 1}$, đây là trường hợp đặc biệt của thực tế là đối với bất kỳ mở rộng Galois nào $L/K$, $\text{Gal}(L/K)$ là một $L$-cơ sở của $\text{End}_K(L)$. Điều này lại xuất phát từ (a) thực tế là $\text{dim}_K(L)=|\text{Gal}(L/K)|$, vì thế $\dim_L\text{Hom}_K(L,L)=\text{dim}_L\text{Hom}_K(K^{|\text{Gal}(L/K)|},L)=|\ văn bản{Gal}(L/K)|$, và (b) thực tế là các phần tử của $\text{Gal}(L/K)$$L$- Độc lập tuyến tính, là trường hợp đặc biệt của tính độc lập tuyến tính của các ký tự.

Với yêu cầu, việc áp dụng $\text{GF}(2)$chức năng -affine trên $\text{GF}(2^n)$ đối với cổ phiếu SSS làm giảm việc áp dụng các chức năng của biểu mẫu $y\mapsto b y^{2^k}$ cho một số $b\in \text{GF}(2^n)$. Ở đây, người ta quan sát thấy rằng mọi thứ trở nên đơn giản hơn bằng cách giả sử bộ điểm đánh giá SSS công khai $\{\alpha_i\}$ ổn định dưới $\text{Frob}$, trong trường hợp đó là chia sẻ SSS $(\alpha_i, y_i)$ của $x$ chuyển đổi thành chia sẻ SSS $(\alpha_{\pi^k(i)}, b y_i^{2^k})=(\alpha_i, b y_{\pi^{-k}(i)}^{2^k})$ của $b x^{2^k}$ cho hoán vị $\pi$ xác định bởi $\text{Frob}(\alpha_i) = \alpha_{\pi(i)}$. Như là $\text{Frob}$-tập con ổn định của $\text{GF}(2^n)$ có thể được xây dựng dựa trên quan sát rằng $\text{GF}(2^n)\setminus\bigcup_{k|n}\text{GF}(2^k)$ phân hủy thành $\text{Frob}$-quỹ đạo có kích thước $n$, do đó theo quy nạp có $\text{Frob}$-quỹ đạo có kích thước $k|n$ cho tất cả $k|n$.

Vì vậy, đặt tất cả lại với nhau, áp dụng $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$ đến một biến được chia sẻ SSS $(\alpha_i,y_i)$ với $\text{Frob}$-ổn định $\{\alpha_i\}$ tương tự về mặt đại số với việc áp dụng nó theo cách chia sẻ, nhưng người ta phải thêm một hoán vị cho các chia sẻ: Cái mới $i$-th chia sẻ $a_{-1} + \sum_{k=0}^{n-1} a_{k} \text{Frob}^k(y_{\pi^{-k}(i)})$, ở đâu $\pi$ là hoán vị trên $\{\alpha_i\}$ gây ra bởi $\text{Frob}$.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.