瑞典研究人员发现CRYSTALSKyber的潜在攻击方式

关键要点

瑞典KTH皇家学院的研究人员在一篇论文中指出，CRYSTALSKyber算法容易受到侧信道攻击的影响。此算法被US国家标准技术研究所NIST和国家安全局NSA选为未来加密标准，旨在抵御量子计算机的攻击。

这种攻击方式不同于传统的攻击方法，它不是直接针对系统或硬件的防御，而是利用设备发出的物理信号例如电流、执行时间或电磁辐射提取机密信息。尤其是，基于深度学习的侧信道分析使得此类攻击在破解加密体系和恢复密钥方面变得更加有效。 研究人员Elena Dubrova、Kalle Ngo和Joel Grtner指出：

“基于深度学习的侧信道攻击可以克服常规的防御措施，例如掩码、打乱、随机延迟插入、恒定权重编码、代码多态性和随机时钟。”

加密算法利用一种叫做“掩码”的技术来防止信息泄漏并抵御侧信道攻击。通过一种新开发的神经网络训练方法，研究人员发现可以以超过99的概率提取高阶掩码实现的消息位。他们还开发了一种新消息恢复方法，通过操控密文以增加消息位的泄漏，从而提高消息恢复率，并最终提取算法的秘密密钥。

此类掩码的复杂性有不同的阶数，之前的实验已显示成功实施了三阶掩码软件实现的侧信道攻击。KTH开发的方法成功突破了采用五阶实现的CRYSTALSKyber。

“据我们所知，尚未在任何LWE/LWR PKE/KEM方案的高于三阶的掩码实现上展示侧信道攻击。所述方法并非特定于CRYSTALSKyber，可能同样适用于其他LWE/LWR PKE/KEM方案。”研究人员写道。

NIST官员表示无需恐慌

CRYSTALSKyber是NIST经过严谨审查程序选出的四个后量子算法之一，该程序历时数年，旨在开发下一代加密标准。其他三种则用于数字签名和身份验证，而CRYSTALSKyber是迄今为止唯一选出的通用算法。

NIST对此情况早有预料。由于能够破解经典加密的加密相关量子计算机尚未开发，研究人员必须基于对量子计算机可能作用的数学估计做出选择。这也是NIST的审查程序中包含多个备份选项的重要原因，旨在应对算法被攻破的情况，例如为CRYSTALSKyber准备的三个潜在替代方案。

这意味着我们认为能保护我们的算法可能实际上存在不足，NIST官员指出，后量子密码选择过程中的每一轮都揭示了算法中的未知或未预见的弱点。去年，另一候选者SIKE也因比利时研究人员在一个多小时内利用数十年前的数学理论破解而被拨除考虑范围。

然而，NIST计算机安全部门的数学家Dustin Moody对SC Media表示，尽管该机构欢迎新的研究，但他并不认为这代表CRYSTALSKyber存在致命缺陷，并且NIST目前没有计划替代或降低该算法的优先级。

通常，加密方案可以根据新发现的缺陷进行调整或更改，专家也