(Det händer otroligt mycket på krypto- och IT-säkerhetsområdet just nu. Tyvärr hinner jag inte alls med… Men bloggen är inte död, det är jag som är seg…)
I januari anordnades ett seminarie om symmetriska krypton kallat ECS 2008, och det finns en Wiki som dokumenterar vad som skedde på seminariet. En av de saker som presenterades på seminariet var ett arbete av Erik Zenner om sidoattacker mot eSTREAM-kandidater.
I presentationen Cache Timing Analysis of eStream Finalists tittar Zenner på hur känsliga de olika eSTREAM-finalisterna är för varians i exekveringstid som uppkommer på grund av algoritmernas accessmönster gör att minnesaccesser träffar eller missar i cacheminnen. Denna typ av fick stor uppmärksamhet av den attack mot AES Daniel J Bernstein presenterade för några år sedan.
Det Bernstein pekade på är att tabeller (S-boxar) lätt leder till missar i cacheminnen vilket ger upphov till mätbara tidsvarianser. Det är därför värt att titta på vilka av eSTREAM-finalisterna som har S-boxar och det ser ut så här:
Dragon: Två tabeller, 8×32 bit
HC-128: Två tabeller, 9×32 bit
HC-256: Två tabeller, 10×32 bit
LEX-128: En tabell, 8×8 bit (referenskod)
Lex-128: Åtta tabeller, 8×32 bit (optimerad kod)
NLS: En tabell, 8×32 bit S-Box
Rabbit: Ingen tabell
Salsa-20: Ingen tabell
Sosemanuk: En tabell, 8×32 bit. Åtta tabeller 4×4 bit
Notera att detta bara är finalisterna för profilen avsedd för SW-implementation i modern PC eller server. Jag hade gärna sett att man även undersökt kandidaterna avsedda för inbyggda system och HW-implementation.
Det Erik Zenner kommit fram till är:
Salsa-20 is designed to be resistant to Cache Timing Attacks.CryptMT and Rabbit are resistant, probably by accident.
LEX falls to the same attacks as AES, since it uses AES for key/IV setup.
Dragon, HC-256/128, NLS, and Sosemanuk have to be analysed.
Och Eriks slutsats så här långt är att:
Surprise: Most candidates seem to withstand analysis even in the generous model surprisingly well (not unbreakable, but complicated).With the exception of Salsa, the eStream finalists were not designed to resist cache timing attacks. In addition, the attack model is very generous to the adversary. Nonetheless, they seem to withstand an attack where the adversary learns a lot about the inner state surprisingly well.
Zenners arbete är alltså inte avslutat, men så här långt ser det alltså inte ut som att någon av finalisterna lider svårt av den här typen av attacker. Skönt.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.