פגיעות ביישומים של אלגוריתם ההצפנה הפוסט-קוונטית של קייבר

זוהתה פגיעות ביישום אלגוריתם ההצפנה Kyber, שזכה בתחרות על אלגוריתמים קריפטוגרפיים עמידים קוונטית, ומאפשר להתקפות ערוץ צדדי לשחזר מפתחות סודיים על סמך מדידת זמן הפעולות במהלך פענוח הטקסט המוצפן שסופק על ידי התוקף. הבעיה משפיעה הן על יישום הייחוס של מנגנון קפסולציית המפתחות CRYSTALS-Kyber KEM והן על ספריות הצפנה רבות של צד שלישי התומכות ב-Kyber, כולל ספריית pqcrypto המשמשת ב-Signal messenger.

הפגיעות, המכונה KyberSlash, מבוססת על השימוש בפעולת החילוק "t = (((t < 1) + KYBER_Q/2)/KYBER_Q) & 1;" בתהליך פענוח ההודעות, כאשר הדיבידנד מכיל את הערך הסודי "t" מסוג "double", והמחלק הוא הערך הציבורי הידוע KYBER_Q. הבעיה היא שזמן פעולת החילוק אינו קבוע, ובסביבות שונות מספר מחזורי המעבד המבוצעים עבור חילוק תלוי בנתוני הקלט. לפיכך, בהתבסס על השינוי בזמן הפעולה, ניתן לקבל מושג על אופי הנתונים המשמשים לחילוק.

דניאל ג'יי ברנשטיין, מומחה קריפטוגרפיה ידוע, יצר הדגמה עובדת של ההתקפה. בשניים מתוך שלושה ניסויים, הקוד הופעל על Raspberry Pi 2 והצליח לשחזר לחלוטין את המפתח הפרטי Kyber-512 בהתבסס על זמן הפענוח. ניתן להתאים את השיטה גם למפתחות Kyber-768 ו-Kyber-1024. כדי שההתקפה תצליח, יש לעבד את הטקסט המוצפן שסופק על ידי התוקף באמצעות אותו זוג מפתחות וניתן למדוד במדויק את זמן הביצוע.

דליפה נוספת (KyberSlash2) נמצאה בכמה ספריות, שגם היא מתרחשת עקב שימוש בערך סודי בעת ביצוע חילוק. ההבדל מהגרסה הראשונה הוא שהיא נקראת בשלב ההצפנה (בפונקציות poly_compress ו-polyvec_compress), ולא במהלך הפענוח. עם זאת, הגרסה השנייה עשויה להיות שימושית להתקפה רק במקרים בהם ההליך משמש בפעולות הצפנה מחדש, שבהן הפלט של הטקסט המוצפן נחשב לסודי.

הפגיעות כבר תוקנה בספריות:

• zig/lib/std/crypto/kyber_d00.zig (22 בדצמבר),
• pq-crystals/kyber/ref (30 בדצמבר),
• symbolicsoft/kyber-k2so (19 בדצמבר),
• קלאודפלייר/סירקל (8 בינואר),
• aws/aws-lc/crypto/kyber (4 בינואר),
• liboqs/src/kem/kyber (8 בינואר).

ספריות שאינן פגיעות בתחילה:

• boringssl/crypto/kyber,
• filippo.io/mlkem768,
• formosa-crypto/libjade/tree/main/src/crypto_kem,
• kyber/common/amd64/avx2,
• formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/ref,
• גבישי pq/kyber/avx2,
• pqclean/crypto_kem/kyber*/avx2.

הפגיעות נותרה ללא תיקון בספריות:

• antontutoveanu/crystals-kyber-javascript,
• ארגייל-תוכנה/קיבר,
• debian/src/liboqs/unstable/src/kem/kyber,
• kudelskisecurity/crystals-go,
• mupq/pqm4/crypto_kem/kyber* (תוקנה רק גרסת פגיעות אחת ב-20 בדצמבר),
• PQClean/PQClean/crypto_kem/kyber*/aarch64,
• PQClean/PQClean/crypto_kem/kyber*/clean,
• randombit/botan (רק וריאנט אחד של פגיעות תוקן ב-20 בדצמבר),
• rustpq/pqcrypto/pqcrypto-kyber (ב-5 בינואר, התיקון נוסף ל-libsignal, אך הפגיעות עדיין לא תוקנה ב-pqcrypto-kyber עצמו).

מקור: OpenNet.ru