Nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào thông tin nhạy cảm hoặc thường gây ra sự cố
Vào giữa năm 2020 chúng tôi đã chia sẻ ở đây trên blog tin tức về những người chiến thắng trong cuộc thi “thuật toán tiền điện tử” chống lại sự lựa chọn trong máy tính lượng tử" và nó đề cập đến người chiến thắng trong cuộc thi, Kyber, tiêu chuẩn phù hợp nhất để thăng hạng.
Lý do để nói về nó là gần đây Tin tức được đưa ra rằng một lỗ hổng ảnh hưởng đến Kyber đã được phát hiện. Lỗ hổng này Được đặt tên là KyberSlash, nó cho phép tấn công thông qua các kênh bên để xây dựng lại các khóa bí mật, dựa trên việc đo thời gian hoạt động trong quá trình giải mã văn bản mật mã do kẻ tấn công cung cấp.
Nó được đề cập rằnge vấn đề ảnh hưởng đến cả việc thực hiện tham chiếu của cơ chế đóng gói khóa CRYSTALS-Kyber KEM, cũng như nhiều thư viện của bên thứ ba hỗ trợ Kyber, bao gồm thư viện pqcrypto được sử dụng trong Signal (ứng dụng nhắn tin tức thời).
Vấn đề trung tâm củae KyberSlash có liên quan đến các cuộc tấn công dựa trên thời gian. Những cuộc tấn công này khai thác cách Kyber thực hiện một số hoạt động phân tách nhất định trong quá trình giải mã. Đặc biệt, Kẻ tấn công có thể phân tích thời gian thực hiện các hoạt động này và lấy thông tin bí mật có thể làm tổn hại đến việc mã hóa. Lỗ hổng này phát sinh do số chu kỳ CPU cần thiết để phân tách trong các môi trường khác nhau khác nhau tùy thuộc vào đầu vào phân tách.
Bản chất của KyberSlash nằm ở việc sử dụng phép chia «t = (((t < 1) + KYBER_Q/2)/KYBER_Q) & 1;» trong quá trình giải mã tin nhắn. , trong đó số bị chia chứa giá trị bí mật "t" thuộc loại "double" và ước số là giá trị công khai nổi tiếng KYBER_Q. Vấn đề là thời gian của thao tác phân chia không cố định và trong các môi trường khác nhau, số chu kỳ CPU được thực hiện để phân chia phụ thuộc vào dữ liệu đầu vào. Như vậy, từ những thay đổi về thời gian hoạt động, người ta có thể hình dung được bản chất của dữ liệu được sử dụng trong bộ phận.
Để chứng minh tính dễ bị tổn thương, Daniel J. Bernstein, một chuyên gia mật mã, quản lý để chuẩn bị một cuộc biểu tình làm việc chứng minh khả năng thực hiện cuộc tấn công trong thực tế. Hai trong số ba thí nghiệm được thực hiện khi chạy mã trên Raspberry Pi 2, Khóa bí mật Kyber-512 được xây dựng lại hoàn toàn dựa trên việc đo thời gian giải mã dữ liệu.
Phương pháp này cũng có thể được điều chỉnh cho phù hợp với khóa Kyber-768 và Kyber-1024 và để cuộc tấn công thành công, văn bản mật mã do kẻ tấn công cung cấp phải được xử lý bằng cách sử dụng cùng một cặp khóa và thời gian thực hiện thao tác phải được đo chính xác.
Ngoài nó, người ta đề cập rằng một biến thể khác đã được xác định trong một số thư viện (KyberSlash2), điều này cũng phát sinh từ việc sử dụng một giá trị bí mật trong quá trình thực hiện phân tách. Sự khác biệt so với biến thể đầu tiên nằm ở lệnh gọi ở giai đoạn mã hóa (trong hàm poly_compress và polyvec_compress), thay vì giải mã. Tuy nhiên, biến thể thứ hai có thể hữu ích cho việc tấn công chỉ trong các trường hợp sử dụng thông thường trong các hoạt động mã hóa lại, trong đó đầu ra của bản mã được coi là bí mật.
Hiện nay, Những nỗ lực đang được thực hiện để giải quyết những lỗ hổng này, với một số dự án và thư viện đã được vá đầy đủ hoặc đang trong quá trình vá. Điều cần thiết là các dịch vụ triển khai Kyber phải cập nhật cách triển khai của họ lên các phiên bản vá để bảo vệ khỏi những lỗ hổng này, vì chúng được coi là quan trọng vì chúng có khả năng cho phép khôi phục các khóa bí mật, gây rủi ro cho tính bảo mật của các dự án mã hóa lượng tử.
Tác động của KyberSlash phụ thuộc vào việc triển khai Kyber cụ thể và các trường hợp sử dụng nó. Ví dụ: Mullvad VPN giải thích rằng KyberSlash không ảnh hưởng đến sản phẩm của mình vì nó sử dụng các cặp khóa duy nhất cho mỗi kết nối đường hầm mới, khiến không thể khởi động một loạt các cuộc tấn công đồng bộ vào cùng một cặp.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra chi tiết trong sliên kết tiếp theo.