为了解决量子计算对公钥密码安全的威胁,后量子密码成为密码领域的前沿焦点研究问题.后量子密码通过数学理论保证了算法的安全性,但在具体实现和应用中易受侧信道攻击,这严重威胁到后量子密码的安全性.基于美国NIST第2轮候选算法和中国CACR公钥密码竞赛第2轮的候选算法,针对基于格、基于编码、基于哈希、基于多变量等多种后量子密码算法进行分类调研,分析其抗侧信道攻击的安全性现状和现有防护策略.为了深入分析后量子密码的侧信道攻击方法,按照算法核心算子和攻击类型进行分类,总结了针对各类后量子密码常用的攻击手段、攻击点及攻击评价指标.进一步地,根据攻击类型和攻击点,梳理了现有防护策略及相应的开销代价.最后,根据攻击方法、防护手段和防护代价提出了一些安全建议,并且还分析了未来潜在的侧信道攻击手段与防御方案.
To solve the threat of quantum computing to the security of public-key cryptography, post-quantum cryptography has become a frontier focus in the field of cryptography. Post-quantum cryptography guarantees the security of the algorithm through mathematical theories, but it is vulnerable to side-channel attacks in specific implementation and applications, which will seriously threaten the security of post-quantum cryptography. This study is based on the round 2 candidates in the NIST post-quantum cryptography standardization process and the round 2 candidates in the CACR public key cryptography competition in China. First, classification investigations of various post-quantum cryptographic algorithms are conducted, including lattice-based, code-based, hash-based, and multivariate-based cryptographic algorithms. Then, their security status against side-channel attacks and existing protection strategies are analyzed. To analyze the methods of side-channel attack against post-quantum cryptography, it is summarized that the commonly used post-quantum cryptography side-channel attack methods, attack targets, and attack evaluation indexes for various post-quantum cryptography according to the classification of core operators and attack types. Furthermore, following the attack types and attack targets, the existing countermeasures for attack and the costs of defense strategies are sorted out. Finally, in the conclusion part, some security suggestions are put forward according to the attack method, protection means, and protection cost, and also the potential side-channel attack methods and defense strategies in the future are analyzed.
密码学是网络安全的基石, 目前业界主流的传统公钥密码算法主要基于大整数分解问题和离散对数问题, 但这两类数学难题都已被Shor算法在多项式时间内所攻破[
近些年, 已有部分学者针对后量子密码算法的侧信道攻击与防御开展研究现状的调研工作, 如: 2016年, Bindel和Buchmann等人[
本文针对NIST最新公布的二轮候选后量子密码算法和中国CACR公钥密码竞赛第2轮入选算法进行了调研, 分析了最新的侧信道安全研究进展和防御策略, 主要工作分为3点.
(1) 将NIST第2轮后量子密码的不同类型作为研究对象, 同时参照中国密码学会CACR竞赛入选的后量子算法类型, 整理与归纳这些密码现有的侧信道安全性水平和可能的防御能力.
(2) 针对现有后量子侧信道攻击方法, 汇总不同信道与不同方式的攻击方法, 并按照算法核心算子进行分类, 给出攻击结果的评价指标, 从攻击方法、攻击点、攻击评价等多个角度进行侧信道攻击的深入分析.
(3) 针对现有后量子侧信道防护方法, 整理不同对抗策略的应用方式, 调研最易遭受攻击的核心算子的防护策略以及现有防御策略的代价瓶颈, 从安全性和防护代价两个维度开展分析.
由于提交到NIST中的基于超奇异同源的后量子密码算法仅SIKE一种算法, 其研究工作目前甚少, 且因为该密码方案的性能效率较低, 目前的主要研究在于加速优化实现方面, 因此本文没有编写关于基于超奇异同源的详细调研.针对超奇异同源密码系统的第一个错误攻击是在2017年由Ti[
本文第1节简述后量子密码的研究背景、安全挑战.第2节~第5节分别分析基于格、基于编码、基于哈希、基于多变量的后量子密码算法的侧信道攻击方法与防御策略.第6节进行梳理和总括不同类型的后量子密码算法的特点、攻击手段, 以及不同攻击手段的防护策略及其防护策略的代价.最后第7节总结全文.
本节主要包含两部分: 第1部分讲述后量子密码算法的发展状况和研究现状; 第2部分介绍后量子密码算法目前主要面临的侧信道攻击手段.
为了防止量子计算机部署后对目前的密码系统造成不可逆转的伤害, 目前各国都在积极地推动后量子密码算法PQC标准的制定, 最有代表性的是美国NIST在2015年开启后量子密码算法标准征集项目, 2016年正式开始征集算法, 如今已进入第2轮评选筛选; 中国在后量子密码标准的征集方面也做了不少工作, 2019年中国密码管理局委托中国密码学会(CACR)举办了后量子密码算法竞赛的征集, 这场竞赛是中国在后量子密码算法标准制定的预赛, 意味着中国也开始了后量子密码标准的制定征程.下面分别介绍NIST和CACR的具体情况.
(1) 美国NIST的PQC征集[
NIST(National Institute of Standards and Technology)面向全球所有密码学者征集抗量子密码算法, 以制定下一代公钥密码标准, 在规模上, NIST的PQC密码竞赛是目前全球影响力最大的密码标准征集竞赛.截止2017年12月21日, NIST公布共接收69份算法, 后来有5种算法退出评选, 因此在一轮评估中实际有效数只有64份,
美国NIST后量子密码征集情况
The NIST post-quantum cryptography standardization process
NIST | PKE/KEM | SIG | 总数 | ||||||
1轮 | 2轮 | 3轮 | 1轮 | 2轮 | 3轮 | 1轮 | 2轮 | 3轮 | |
注: 由于基于多变量的DME算法既实现了KEM又实现了SIG, 因此NIST一轮KEM+SIG的总数合计为65 | |||||||||
格 | 21 | 9 | 5 | 5 | 3 | 2 | 26 | 12 | 7 |
编码 | 16 | 7 | 3 | 2 | 0 | 0 | 18 | 7 | 3 |
多变量 | 3 | 0 | 0 | 8 | 4 | 2 | 11 | 4 | 2 |
哈希 | 1 | 0 | 0 | 2 | 1 | 1 | 3 | 1 | 1 |
其他 | 4 | 1 | 1 | 3 | 1 | 1 | 7 | 2 | 2 |
总数 | 45 | 17 | 9 | 20 | 9 | 6 | 64 | 26 | 15 |
(2) 中国CACR的PQC征集[
中国CACR后量子密码征集情况
The CACR post-quantum cryptography design competition
CACR | PKE/KEM | SIG | AKE | 总数 | ||||
1轮 | 2轮 | 1轮 | 2轮 | 1轮 | 2轮 | 1轮 | 2轮 | |
注: 由于基于多变量的DME算法既实现了KEM又实现了SIG, 因此NIST一轮KEM+SIG的总数合计为65 | ||||||||
格 | 12 | 6 | 6 | 3 | 8 | 2 | 26 | 11 |
编码 | 4 | 1 | 0 | 0 | 0 | 0 | 4 | 1 |
超奇异 | 1 | 0 | 0 | 0 | 1 | 1 | 2 | 1 |
其他 | 2 | 0 | 2 | 1 | 1 | 0 | 5 | 1 |
总数 | 20 | 7 | 8 | 4 | 10 | 3 | 38 | 14 |
中国目前尚未向全球征集密码算法, 由CACR举办的密码竞赛只面向国内的密码学者, 下面是CACR在2019年举办的密码竞赛情况(只关注于公钥密码算法, 不关注对称密码).CACR共收到38份,
由上文NIST和CACR的情况可知, 后量子密码从数学难题上可分为基于格、基于编码、基于哈希、基于多变量和基于超奇异同源等几种主要的密码类型.
侧信道攻击从目标密码系统在平台运行中获取侧信息, 这与其他形式的密码分析形成了对比, 在其他形式的密码分析中, 一般都是攻击算法及其底层的计算问题.所有的电子设备都会以多种方式泄露信息, 侧信道攻击通过来自目标设备泄露的这些信息来查找与密钥相关的信息, 这些可能是设备内部操作的时间或功率轨迹, 或者是设备产生的错误输出.侧信道攻击可分为以下几类: 时间攻击、能量分析攻击、故障注入攻击等.
(1) 时间攻击(timing attack, 简称TA)[
(2) 能量分析攻击: 密码设备的功耗可以提供有关发生的操作和相关参数的大量信息, 通过这些功耗信息可以获取与功耗相关的操作和数据信息.
● 简单能量分析(simple power analysis, 简称SPA)[
● 差分能量分析(differential power analysis, 简称DPA)[
● 相关能量分析(correlation power analysis, 简称CPA)[
● 模板攻击(template attack, 简称TA)[
(3) 故障攻击(fault attack, 简称FA)[
(1) 格及格的困难问题
格是一种代数结构,
● 最短向量问题(SVP)的定义: 给定格基
● 最近向量问题(CVP)的定义: 给定格基
(2) 带错误的学习问题
目前基于格的公钥密码算法和密钥交换协议绝大部分都是基于2005年由Regev提出的带错误的学习问题(learning with error, 简称LWE)[
LWE分布的定义为
● 搜索型LWE(search LWE, 简称sLWE)的定义: 令
● 判定型LWE(decisional LWE, 简称dLWE)的定义: 令
这两种LWE在一定程度上是等价的, 能求解sLWE问题的方法也能求解dLWE.对于LWE问题中的错误分布
(3) 格密码体制分类
所有格基公钥密码体制的算法可以分成3类: 标准LWE(learning with error, 简称LWE)、模LWE(module learning with error, 简称MLWE)和环LWE(ring learning with error, 简称RLWE).关于LWE问题, 上面已有描述; RLWE是在2010年由Lyubashevsky等人[
(1) 能量分析攻击
能量分析一直是侧信道的主要攻击手段, 近几年关于格密码的能量分析攻击有许多工作, 如: 2016年, Pessl针对文献[
针对格基PQC的能量分析攻击大多基于密钥系数与功耗之间的关系.下面简单描述针对格基密码的侧信道攻击原理及过程.以文献[
格基PQC的能量分析攻击成功率大部分都超过90%, 且分析时间也较短.如在上述文献[
(2) 故障攻击
故障攻击是一种强有力的攻击手段, 也一直备受关注, 针对格密码的故障攻击一直处于热潮.如2018年Bruinderink和Pessl等人[
针对格密码的故障攻击一般在密码算法运行时注入故障诱导随机种子nonce复用, 从而促使算法计算出错误结果.下面简述一下其中的故障攻击原理[
故障攻击的攻击效果主要取决于注入的故障数和注入成功率.如在文献[
(3) 其他攻击
能量分析攻击和故障攻击是针对格的侧信道攻击的两种主要攻击手段, 但也存在其他类型的侧信道攻击手段, 如时间攻击、冷启动攻击等.2018年, Albrecht和Deo等人[
针对格密码的时间攻击的效率较高, 而其他类型攻击的效果与攻击方法和攻击点相关.如文献[
综上所述, 格密码中涉及密钥相关的核心操作主要有多项式乘法、NTT(用于加速多项式乘法操作的一种方法)、高斯分布采样、中心二项式采样、纠错码以及易受故障攻击的随机种子产生过程, 在这些核心操作计算过程中, 均会涉及到私钥或消息等关键信息.在不同格基密码方案中, 多项式乘法操作和NTT操作不一定是共存的, 如LAC只有稀疏多项式乘法; 在基于格的qTESLA签名方案中, 稀疏多项式乘法和NTT都存在.而高斯分布采样和中心二项式采样用于密钥多项式、噪声多项式的产生, 高斯分布采样相对于中心二项式采样精度更高, 但较耗时, 因此, 除格基签名方案以外, 其他密码方案基本都采用了中心二项式采样来替代高斯分布; 纠错码用于降低格基密码的解密错误失败率.
格基PQC的侧信道攻击分析图
Side-channel attack analysis of lattice-based PQC
隐藏、掩码和检测技术是预防侧信道攻击的有效防御策略, 下面简述近几年的防御策略研究工作, 分别对能量分析、故障攻击和时间攻击的防御工作进行介绍.
(1) 能量分析的防御工作
针对能量分析的防护手段主要是随机化和掩码.如在2014年, Roy等人[
不同防护手段的防护代价和防护效果差距较大, 掩码的安全性更高, 但代价高于其他防护策略.在文献[
(2) 故障攻击的防御工作
对于故障攻击的防护手段主要是随机化和增加故障监测机制.如在2016年, Bindel等人[
不同防护机制的有效防护点和所需代价有一定的差别.如在文献[
(3) 时间攻击的防御工作
针对时间攻击的防御对策主要是算法的恒定时间实现, 从而减少运行时间维度泄露的信息.针对时间攻击常利用的攻击点, 主要有以下研究工作: 2016年, Khalid和Howe等人[
针对格密码核心算子的恒定时间实现的代价都小于0.5倍这一特性, 有些恒定实现的性能还比非恒定时间实现的版本要高.文献[
根据上述不同侧信道攻击手段的防御策略和攻击点, 梳理出一幅分析图, 如
格基PQC的侧信道防御分析图
Side-channel defense analysis of lattice-based PQC
McEliece于1978年推出了第一个基于编码的密码系统[
(1) 编码的基本原理
本节主要简述如何利用编码理论为PKC提供有效的解决方案, 即简述编码的基本原理.若需要了解更多编码理论, 可参考文献[
(a) 循环矩阵(circulant matrix): 令向量
(b) 线性编码(linear code): [
(c) 对偶码(dual code): 码字
(d) 矩阵生成器(generator matrix): 如果
(e) 奇偶校验矩阵(parity-check matrix): 给定一个[
(f) 校验子(syndrome): 令
(g) 最短距离(minimum distance): 令
(2) 困难问题
基于编码的密码系统的困难问题大多都基于解码问题的变体, 它包括寻找与给定向量最接近的码字.而当处理线性码时, 接收向量的校验子与接收向量这两者的解码问题一样, 因此下面只简述校验子解码(syndrome decoding, 简称SD).
(a) 校验子分布(SD distribution): 对于正整数
(b) 校验子解码问题(syndrome decoding problem, 简称SDP): 已知矩阵
下面是校验子解码问题的两个变种: 搜索型SDP和决策性SDP.
(c) 搜索型SDP(search SD problem): 给定
(d) 决策型SDP(decision SD problem): 给定
(1) 能量分析攻击
本节简述近几年能量分析对编码PQC的影响.Von等人[
针对基于编码的后量子密码算法的能量分析可通过校验子
较短时间和少量的能量迹即可满足针对基于编码的能量分析.文献[
(2) 时间攻击及其他攻击
2008年, Strenzke等人[
时间攻击最主要的原理是非恒定时间实现的算法会因操作不同的数据而泄露出关键信息.下面举例说明针对非恒定时间的HQC攻击方法[
1) 攻击者发送许多合法密文给Alice, 然后记录Alice对每条密文解密的时间信息.
2) 因为所有密文都是攻击者产生的, 因此攻击者知道
3) 获得最短距离
4) 利用Paiva等人提出的BuildD算法, 从
密钥重构是利用上面获得的信息来计算私钥中的
针对编码的后量子密码算法的时间攻击所需解密次数较多, 而故障攻击的注入成功率远低于一些针对格密码的故障攻击的成功率.文献[
近几年, 由于编码PQC的侧信道防护工作相对格密码较少, 因此这里不再细分攻击类型的防护策略.在2008年发表的文献[
针对基于编码的掩码实现效率较低, 所需额外开销较大这一问题, 文献[
基于哈希(散列)的密码方案是后量子密码学中重要的一类, 它以仅使用密码哈希函数创建数字签名而闻名.进入NIST二轮的哈希密码方案只有SPHINCS+签名方案.这种方案的主要优点是其安全性仅依赖于泛型哈希函数的某些加密属性.因此, 如果所选的哈希函数在将来被攻破, 则可用新的哈希函数替换被攻破的哈希函数.下面对如何基于哈希构造数字签名作一简单介绍.
最早利用哈希函数构建的数字签名算法是Lamport在1979年提出来的[
*
*
*
给定一个安全级别参数
签名后的长度为
在Lamport提出签名方案40年后, 出现了第一个后量子签名方案——XMSS方案[
近年来, 基于哈希的后量子密码算法的侧信道攻击研究工作较少, 因此这里不再细分攻击类型.2017年, Genêt在其硕士论文[
针对基于哈希的后量子密码的故障攻击主要目的是迫使底层OTS被重用.下面简述文献[
攻击分析图
An illustration of the tree grafting against SPHINCS
基于哈希的后量子密码算法的侧信道攻击可通过少量错误签名即可完成签名伪造.文献[
基于哈希的后量子密码的侧信道防御策略研究工作主要如下: 2018年, Kannwischer等人在文献[
故障检测技术是基于哈希的后量子密码算法应对故障攻击的高效防御策略.文献[
基于多变量的密码系统的数学难题是求解一个有限域上的非线性多变量方程式组.通常, 多变量密码系统的性能较优, 不需要过多的计算资源, 这使其对低成本设备中的应用程序具有吸引力.在多变量密码系统中, HFE(hidden field equations cryptosystem)[
UOV签名方案需要使用单向函数(即不可逆映射)作为限门函数.由
而
上面的限门函数
其中,
下面简单描述如何利用
近几年来, 基于多变量PQC的侧信道攻击工作较少, 主要为能量分析和故障攻击.在2018年, Park和Shim等人[
下面简述针对基于多变量的后量子密码的相关能量分析原理.以文献[
首先利用签名中的矩阵向量乘积: 即计算
控制向量
矩阵
Matrix-vector product using the equivalent key
因此可以利用矩阵
得到
基于多变量PAC的侧信道攻击效果较好, 具有较高的成功率.文献[
抵御能量分析最常用的对策是在算法增加隐藏或掩码技术.针对基于哈希的密码算法的防护近几年的工作较少, 有一部分原因在于哈希签名方案的安全性, 在很大程度上依赖于所选取的哈希函数, 因此, 单独针对签名方案的攻击与防御较少.在文献[
本节我们对不同类型的后量子密码方案的特点以及它们的攻击点和防护策略进行总结, 讨论未来可能的威胁和防御策略, 并对未来的前景加以展望.
后量子密码系统主要基于以下几种不同的数学难题: 基于格、基于编码、基于多变量、基于哈希、基于超奇异同源等难题, 其中, 基于格的后量子密码系统在性能上拥有很好的优势, 部分原因得益于其使用了NTT, 降低了计算复杂度; 基于编码的后量子密码系统也是一类比较有竞争力的密码系统, 其在性能上拥有很好的表现, 而且基于编码的密码系统因底层基于纠错码, 因此本身拥有很好的纠错能力; 基于超奇异同源的密码系统具有公钥尺寸小的特点, 这有利于应用在嵌入式和物联网等资源受限的芯片中, 但目前在性能上远不如其他类型的公钥密码系统; 基于多变量密码系统主要用于签名方案(NIST二轮4个, CACR无), 因为这类签名方案要求的硬件资源非常少, 签名速度快, 所以很适合用于低功耗设备, 比如智能卡、RFID芯片等; 基于哈希的密码系统与其他密码系统相比, 这种方案的主要优点是其安全性仅依赖于泛型哈希函数的某些加密属性, 因此, 如果所选的哈希函数将来被破坏掉, 则可以很容易地用新的哈希结构替换它们.另外, 近年来总体研究方向更偏向于基于格和基于编码, 根据本文调研近几年的数据来看, 格基密码系统是目前研究数量最多、成果最多(主要是指在性能优化以及安全实现方面), 编码密码系统次之, 这两类密码系统均主要用于公钥加密/密钥封装.
(1) 侧信道攻击对后量子密码算法的安全性具有较大影响.在基于格方面, 侧信道攻击主要从采样器(离散、中心二项式、拒绝等)、NTT、多项式乘法、纠错码等几个核心部位进行攻击, 值得注意的是, 多项式乘法、NTT和采样器是被攻击比较多的部位; 在基于编码方面, 侧信道攻击主要从纠错码、校验子计算、稀疏矩阵的计算以及解密过程等部位进行攻击, 其中, 校验子计算和纠错码是被核心攻击的部位, 而且主要攻击手段是时间攻击; 在基于哈希方面, 侧信道攻击主要是以底层的HORST和伪随机发生器作为攻击点; 基于多变量的主要攻击点在于矩阵向量乘积; 最后在基于超奇异同源方面, 本文没有细述, 但根据我们查阅的数据来看, 主要攻击点有蒙哥马利梯度算法.对攻击点情况的总结见
不同类型密码系统的攻击点
The attack point of different cryptosystems
类型 | 攻击点 |
格 | 采样器(离散、中心二项式、拒绝等)、NTT、多项式乘法、纠错码 |
编码 | 纠错码、校验子计算、稀疏矩阵的计算以及解密过程 |
多变量 | 矩阵向量乘积 |
哈希 | HORST和伪随机发生器 |
超奇异 | 蒙哥马利梯度算法 |
(2) 在防护方面, 针对能量分析攻击主要存在的攻击点应加以防护, 而防护主要有两种手段: 隐藏(随机化)和掩码.根据防护策略的代价数据, 掩码的代价相对隐藏技术会高一些, 如针对校验矩阵的掩码对策的代价与无保护方案相比, 大概增加了8倍的资源, 而使用消息随机化得到的矩阵向量与一般矩阵向量乘积相比, 需要额外使用2
不同攻击类型的防护手段及代价
Counter measures and its costs of different attacks
攻击类型 | 防护手段 | 防护代价 |
能量分析攻击 | 隐藏/掩码 | < 1 |
时间攻击 | 恒定时间实现 | < 1 |
故障攻击 | 随机化/故障检测 | < 1 |
(1) 未来可能潜在的侧信道攻击: 未来可能的侧信道攻击可能来自两个方面, 一方面来自目前已存在的侧信道攻击的新型混合攻击, 上文已列出主要的经典侧信道攻击手段, 可考虑混合多种上述攻击方法, 结合多种手段、侧信息和分析方法可能发掘出新的混合攻击方式, 再利用人工智能、AI等手段, 缩短分析时间, 以提高攻击效率; 另一方面来自于挖掘新的侧信息资源, 比如在一些新的硬件平台上(Intel PT/TSX/MPX/CAT等和ARM v8架构的ARM Cotex A77/A78等平台)会有新的硬件特性, 这些新特性可能存在新的侧信息泄露.
(2) 可能的防御方案: 目前已有许多文章给出了防御侧信道攻击的手段, 见
最后, 我们对后量子密码存在的问题和未来的前景展望给出简单论述.目前, 后量子存在的问题主要体现在性能、攻击、防御这3个方面, 当然也存在其他因素, 比如公钥尺寸大小、解密错误率等, 这些因素都会影响算法标准的制定, 但是性能和安全性是标准最核心的评价因素, 比如, 超奇异同源密码具有良好的公钥尺寸小的特点, 但性能过低, 相对于格密码, 超奇异同源的性能会比最快的密码方案慢千倍之多, 因此性能成为了超奇异同源密码最主要的瓶颈.NIST第2轮中, 也重点评比了性能和安全性, 根据NIST官方的数据, 目前加密方案中, 综合性能、参数、公钥尺寸等因素, 格密码具有最高的评价; 在公钥大小、密文大小方面, 超奇异同源最优; 在性能方面, 格密码最优, 编码次之.而签名方案中, 签名字节最小的是多变量, 格密码排在中等; 性能上, 多变量和格密码较优; 综合来看, 多变量的签名方案综合评分最高, 格密码次之.对于后量子密码未来的前景展望, 由于量子计算机的研究不断地取得进展, 传统的公钥密码算法领域将都会被后量子密码所取代, 并且, 在新型产业, 如物联网、5G、卫星通信、军事国防、区块链、数字货币、数字签名等领域都是后量子密码广泛应用的领域, 也是亟需安全可靠的后量子密码来保障数据安全的领域.同时, 后量子密码也衍生出新的研究领域, 如同态加密、基于属性加密等, 这些领域也是目前比较热门的研究领域.未来后量子密码的应用, 无论是用于上述新兴产业领域还是其衍生领域, 侧信道分析都是后量子密码的安全门关, 在应用于这些领域之前, 都会对于后量子密码进行侧信道安全测评, 因此, 侧信道安全分析和测评会是未来后量子密码重点研究的关键点.为了使用上述产业领域, 多平台的侧信道分析和测评会是未来后量子密码的侧信道分析中必要的解决方案.
本文针对最新的后量子密码方案的侧信道攻击与防御进行了调研, 通过分析针对各类后量子密码侧信道的攻击与防御策略, 从攻击方法、攻击点、攻击评价等多方面对不同后量子密码算法进行了侧信道攻击的深入分析, 并从安全性和防护代价两个维度对侧信道防御策略进行了论述, 总结了针对不同类型后量子密码的攻击点, 以及不同攻击类型的防护手段及代价, 最后讨论了后量子密码未来可能的侧信道攻击、解决方案, 并对未来的前景进行了展望.
Shor PW. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer. SIAM Review, Society for Industrial and Applied Mathematics, 1999, 41(2): 303-332.
Bindel N, Buchmann J, Krämer J. Lattice-based signature schemes and their sensitivity to fault attacks. In: Proc. of the 2016 Workshop on Fault Diagnosis and Tolerance in Cryptography (FDTC). 2016. 63-77.
Khalid A, Rafferty C, Howe J, Brannigan S, Liu W, O'Neill M. Error samplers for lattice-based cryptography-challenges, vulnerabilities and solutions. In: Proc. of the 2018 IEEE Asia Pacific Conf. on Circuits and Systems (APCCAS). 2018. 411-414.
Khalid A, Oder T, Valencia F, O'Neill M, Güneysu T, Regazzoni F. Physical protection of lattice-based cryptography: Challenges and solutions. In: Proc. of the 2018 on Great Lakes Symp. on VLSI. Chicago: Association for Computing Machinery, 2018. 365-370.
Roy KS, Kalita HK. A survey on post-quantum cryptography for constrained devices. Int'l Journal of Applied Engineering Research, 2019, 14(11): 2608-2615.
Valencia F, Oder T, Güneysu T, Regazzoni F. Exploring the vulnerability of R-LWE encryption to fault attacks. In: Proc. of the 5th Workshop on Cryptography and Security in Computing Systems. Association for Computing Machinery, 2018. 7-12.
Drăgoi V, Richmond T, Bucerzan D, Legay A. Survey on cryptanalysis of code-based cryptography: From theoretical to physical attacks. In: Proc. of the 7th Int'l Conf. on Computers Communications and Control (ICCCC). 2018. 215-223.
Nejatollahi H, Dutt N, Ray S, Regazzoni F, Banerjee I, Cammarota R. Post-quantum lattice-based cryptography implementations: A survey. ACM Computing Surveys, 2019, 51(6): 129: 1-129: 41.
Ti YB. Fault attack on supersingular isogeny cryptosystems. In: Lange T, Takagi T, eds. Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2017. 107-122.
Gélin A, Wesolowski B. Loop-abort faults on supersingular isogeny cryptosystems. In: Lange T, Takagi T, eds. Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2017. 93-106.
Koziel B, Azarderakhsh R, Jao D. Side-channel attacks on quantum-resistant supersingular isogeny Diffie-Hellman. In: Adams C, Camenisch J, eds. Selected Areas in Cryptography-SAC 2017. Cham: Springer International Publishing, 2018. 64-81.
https://csrc.nist.gov/projects/post-quantum-cryptography/round-2-submissions]]>
https://sfjs.cacrnet.org.cn/site/term/list_77_1.html]]>
Kocher PC. Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems. In: Koblitz N, ed. Advances in Cryptology-CRYPTO'96. Berlin, Heidelberg: Springer-Verlag, 1996. 104-113.
Kocher P, Jaffe J, Jun B. Differential power analysis. In: Wiener M, ed. Proc. of the Advances in Cryptology-CRYPTO'99. Berlin, Heidelberg: Springer-Verlag, 1999. 388-397.
Brier E, Clavier C, Olivier F. Correlation power analysis with a leakage model. In: Joye M, Quisquater J-J, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2004. Berlin, Heidelberg: Springer-Verlag, 2004. 16-29.
Chari S, Rao JR, Rohatgi P. Template attacks. In: Kaliski BS, Koççetin K, Paar C, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2002. Berlin, Heidelberg: Springer-Verlag, 2003. 13-28.
Biham E, Shamir A. Differential fault analysis of secret key cryptosystems. In: Kaliski BS, ed. Proc. of the Advances in Cryptology-CRYPTO'97. Berlin, Heidelberg: Springer-Verlag, 1997. 513-525.
Mathan SA, Koedinger KR. Fostering the intelligent novice: Learning from errors with metacognitive tutoring. Educational Psychologist, Routledge, 2005, 40(4): 257-265.
Lyubashevsky V, Peikert C, Regev O. On ideal lattices and learning with errors over rings. In: Gilbert H, ed. Proc. of the Advances in Cryptology-EUROCRYPT 2010. Berlin, Heidelberg: Springer-Verlag, 2010. 1-23.
Langlois A, Stehlé D. Worst-case to average-case reductions for module lattices. Designs, Codes and Cryptography, 2015, 75(3): 565-599.
Saarinen M-JO. Arithmetic coding and blinding countermeasures for lattice signatures. Journal of Cryptographic Engineering, 2018, 8(1): 71-84.
Pessl P. Analyzing the shuffling side-channel countermeasure for lattice-based signatures. In: Dunkelman O, Sanadhya SK, eds. Proc. of the Progress in Cryptology-INDOCRYPT 2016. Cham: Springer Int'l Publishing, 2016. 153-170.
Primas R, Pessl P, Mangard S. Single-trace side-channel attacks on masked lattice-based encryption. In: Fischer W, Homma N, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2017. Cham: Springer Int'l Publishing, 2017. 513-533.
Kim S, Hong S. Single trace analysis on constant time CDT sampler and its countermeasure. Applied Sciences, Multidisciplinary Digital Publishing Institute, 2018, 8(10): 1809.
Pessl P, Primas R. More practical single-trace attacks on the number theoretic transform. In: Schwabe P, Thériault N, eds. Proc. of the Progress in Cryptology-LATINCRYPT 2019. Cham: Springer Int'l Publishing, 2019. 130-149.
Huang W-L, Chen J-P, Yang B-Y. Power analysis on NTRU prime. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2020, 123-151.
Ravi P, Roy SS, Chattopadhyay A, Bhasin S. Generic side-channel attacks on CCA-secure lattice-based PKE and KEMS. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2020, 2019: 307-335.
Bruinderink LG, Pessl P. Differential fault attacks on deterministic lattice signatures. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2018, 21-43.
Ravi P, Roy DB, Bhasin S, Chattopadhyay A, Mukhopadhyay D. Number "not used" once-practical fault attack on PQM4 implementations of nist candidates. In: Polian I, Stöttinger M, eds. Proc. of the Constructive Side-channel Analysis and Secure Design. Cham: Springer Int'l Publishing, 2019. 232-250.
McCarthy S, Howe J, Smyth N, Brannigan S, O'Neill M. BEARZ attack falcon: implementation attacks with countermeasures on the falcon signature scheme. In: Proc. of the SECRYPT. 2019. 61-71.
Valencia F, Polian I, Regazzoni F. Fault sensitivity analysis of lattice-based post-quantum cryptographic components. In: Pnevmatikatos DN, Pelcat M, Jung M, eds. Proc. of the Embedded Computer Systems: Architectures, Modeling, and Simulation. Cham: Springer Int'l Publishing, 2019. 107-123.
Albrecht MR, Deo A, Paterson KG. Cold boot attacks on ring and module LWE keys under the NTT. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2018, 173-213.
D'Anvers J-P, Tiepelt M, Vercauteren F, Verbauwhede I. Timing attacks on error correcting codes in post-quantum secure schemes. IACR Cryptology ePrint Archive, 2019, 2019: 292.
Espitau T, Fouque P-A, Gérard B, Tibouchi M. Side-channel attacks on Bliss lattice-based signatures: Exploiting branch tracing against strong swan and electromagnetic emanations in microcontrollers. In: Proc. of the 2017 ACM SIGSAC Conf. on Computer and Communications Security. Dallas: Association for Computing Machinery, 2017. 1857-1874.
Roy SS, Reparaz O, Vercauteren F, Verbauwhede I. Compact and side channel secure discrete gaussian sampling. IACR Cryptology ePrint Archive, 2014, 2014: 591.
Oder T, Schneider T, Pöppelmann T, Güneysu T. Practical CCA2-secure and masked ring-LWE implementation. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2018, 142-174.
Reparaz O, Sinha Roy S, Vercauteren F, Verbauwhede I. A masked ring-LWE implementation. In: Güneysu T, Handschuh H, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2015. Berlin, Heidelberg: Springer-Verlag, 2015. 683-702.
Reparaz O, De Clercq R, Roy SS, Vercauteren F, Verbauwhede I. Additively homomorphic ring-LWE masking. In: Takagi T, ed. Proc. of the Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2016. 233-244.
Barthe G, Belaïd S, Espitau T, Fouque P-A, Grégoire B, Rossi M, Tibouchi M. Masking the GLP lattice-based signature scheme at any order. In: Nielsen JB, Rijmen V. Proc. of the Advances in Cryptology-EUROCRYPT 2018. Cham: Springer Int'l Publishing, 2018. 354-384.
Espitau T, Fouque P-A, Gérard B, Tibouchi M. Loop-abort faults on lattice-based Fiat-Shamir and hash-and-sign signatures. In: Avanzi R, Heys H, eds. Proc. of the Selected Areas in Cryptography-SAC 2016. Cham: Springer Int'l Publishing, 2017. 140-158.
Howe J, Khalid A, Martinoli M, Regazzoni F, Oswald E. Fault attack countermeasures for error samplers in lattice-based cryptography. In: Proc. of the 2019 IEEE Int'l Symp. on Circuits and Systems (ISCAS). 2019. 1-5.
Khalid A, Howe J, Rafferty C, O'Neill M. Time-independent discrete Gaussian sampling for post-quantum cryptography. In: Proc. of the 2016 Int'l Conf. on Field-Programmable Technology (FPT). 2016. 241-244.
Micciancio D, Walter M. Gaussian sampling over the integers: Efficient, generic, constant-time. In: Katz J, Shacham H, eds. Proc. of the Advances in Cryptology-CRYPTO 2017. Cham: Springer Int'l Publishing, 2017. 455-485.
Karmakar A, Roy SS, Reparaz O, Vercauteren F, Verbauwhede I. Constant-time discrete Gaussian sampling. IEEE Trans. on Computers, 2018, 67(11): 1561-1571.
Karmakar A, Roy SS, Vercauteren F, Verbauwhede I. Pushing the speed limit of constant-time discrete Gaussian sampling: A case study on the falcon signature scheme. In: Proc. of the 56th Annual Design Automation Conf. 2019. Las Vegas: Association for Computing Machinery, 2019. 1-6.
Barthe G, Belaïd S, Espitau T, Fouque P-A, Rossi M, Tibouchi M. GALACTICS: Gaussian sampling for lattice-based constant-time implementation of cryptographic signatures, revisited. In: Proc. of the 2019 ACM SIGSAC Conf. on Computer and Communications Security. London: Association for Computing Machinery, 2019. 2147-2164.
Walters M, Roy SS. Constant-time bch error-correcting code. IACR Cryptology ePrint Archive, 2019, 2019: 155.
McEliece RJ. A public-key cryptosystem based on algebraic. Coding THV, 1978, 4244: 114-116.
Overbeck R, Sendrier N. Code-based cryptography. In: Bernstein DJ, Buchmann J, Dahmen E, eds. Proc. of the Post-quantum Cryptography. Berlin, Heidelberg: Springer-Verlag, 2009. 95-145.
Huffman WC, Pless V. Fundamentals of ERror-correcting Codes. Cambridge: Cambridge University Press, 2010.
Von Maurich I, Güneysu T. Towards side-channel resistant implementations of QC-MDPC McEliece encryption on constrained devices. In: Mosca M, ed. Proc. of the Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2014. 266-282.
Chen C, Eisenbarth T, Von Maurich I, Steinwandt R. Differential power analysis of a McEliece cryptosystem. In: Malkin T, Kolesnikov V, Lewko AB, Polychronakis M, eds. Proc. of the Applied Cryptography and Network Security. Cham: Springer Int'l Publishing, 2015. 538-556.
Chen C, Eisenbarth T, Von Maurich I, Steinwandt R. Masking large keys in hardware: A masked implementation of McEliece. In: Dunkelman O, Keliher L, eds. Proc. of the Selected Areas in Cryptography-SAC 2015. Cham: Springer Int'l Publishing, 2016. 293-309.
Chou T. QcBits: Constant-time small-key code-based cryptography. In: Gierlichs B, Poschmann AY, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2016. Berlin, Heidelberg: Springer-Verlag, 2016. 280-300.
Rossi M, Hamburg M, Hutter M, Marson ME. A side-channel assisted cryptanalytic attack against QCbits. In: Fischer W, Homma N, eds. Proc. of the Cryptographic Hardware and Embedded Systems-CHES 2017. Cham: Springer Int'l Publishing, 2017. 3-23.
Sim B-Y, Kwon J, Choi KY, Cho J, Park A, Han D-G. Novel side-channel attacks on quasi-cyclic code-based cryptography. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2019, 180-212.
Strenzke F, Tews E, Molter HG, Overbeck R, Shoufan A. Side channels in the McEliece PKC. In: Buchmann J, Ding J, eds. Proc. of the Post-quantum Cryptography. Berlin, Heidelberg: Springer-Verlag, 2008. 216-229.
Eaton E, Lequesne M, Parent A, Sendrier N. QC-MDPC: A timing attack and a CCA2 KEM. In: Lange T, Steinwandt R, eds. Proc. of the Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2018. 47-76.
Paiva TB, Terada R. A timing attack on the HQC encryption scheme. In: Paterson KG, Stebila D, eds. Proc. of the Selected Areas in Cryptography-SAC 2019. Cham: Springer Int'l Publishing, 2020. 551-573.
Wafo-Tapa G, Bettaieb S, Bidoux L, Gaborit P. A practicable timing attack against HQC and its countermeasure. Cryptology ePrint Archive, Report, 2019/909, 2019.
Danner J, Kreuzer M. A fault attack on the niederreiter cryptosystem using binary irreducible GOPPA codes. arXiv: 2002.01455[cs, math], 2020.
Petrvalsky M, Richmond T, Drutarovsky M, Cayrel P-L, Fischer V. Differential power analysis attack on the secure bit permutation in the McEliece cryptosystem. In: Proc. of the 26th Int'l Conf. Radioelektronika (RADIOELEKTRONIKA). 2016. 132-137.
Chen C, Eisenbarth T, Von Maurich I, Steinwandt R. Horizontal and vertical side channel analysis of a McEliece cryptosystem. IEEE Trans. on Information Forensics and Security, 2016, 11(6): 1093-1105.
Lamport L. Constructing digital signatures from a one-way function. Technical Report, CSL-98, SRI Int'l, 1979.
Buchmann J, Dahmen E, Klintsevich E, Okeya K, Vuillaume C. Merkle signatures with virtually unlimited signature capacity. In: Katz J, Yung M, eds. Proc. of the Applied Cryptography and Network Security. Berlin, Heidelberg: Springer-Verlag, 2007. 31-45.
Buchmann J, Dahmen E, Hülsing A. XMSS-a practical forward secure signature scheme based on minimal security assumptions. In: Yang B-Y, ed. Proc. of the Post-quantum Cryptography. Berlin, Heidelberg: Springer-Verlag, 2011. 117-129.
https://infoscience.epfl.ch/record/253317]]>
Castelnovi L, Martinelli A, Prest T. Grafting trees: A fault attack against the sphincs framework. In: Lange T, Steinwandt R, eds. Proc. of the Post-quantum Cryptography. Cham: Springer Int'l Publishing, 2018. 165-184.
Genêt A, Kannwischer MJ, Pelletier H, McLauchlan A. Practical fault injection attacks on sphincs. IACR Cryptology ePrint Archive, 2018, 2018: 674.
Kannwischer MJ, Genêt A, Butin D, Krämer J, Buchmann J. Differential power analysis of XMSS and sphincs. In: Fan J, Gierlichs B, eds. Proc. of the Constructive Side-channel Analysis and Secure Design. Cham: Springer Int'l Publishing, 2018. 168-188.
Mozaffari-Kermani M, Azarderakhsh R, Aghaie A. Fault detection architectures for post-quantum cryptographic stateless hash-based secure signatures benchmarked on asic. ACM Trans. on Embedded Computing Systems, 2016, 16(2): 59: 1-59: 19.
Courtois NT. The security of hidden field equations (HFE). In: Naccache D, ed. Proc. of the Topics in Cryptology-CT-RSA 2001. Berlin, Heidelberg: Springer-Verlag, 2001. 266-281.
Kipnis A, Patarin J, Goubin L. Unbalanced oil and vinegar signature schemes. In: Stern J, ed. Proc. of the Advances in Cryptology-EUROCRYPT'99. Berlin, Heidelberg: Springer-Verlag, 1999. 206-222.
Matsumoto T, Imai H. Public quadratic polynomial-tuples for efficient signature-verification and message-encryption. In: Barstow D, Brauer W, Brinch Hansen P, Gries D, Luckham D, Moler C, Pnueli A, Seegmüller G, Stoer J, Wirth N, Günther C G, eds. Proc. of the Advances in Cryptology-EUROCRYPT'88. Berlin, Heidelberg: Springer-Verlag, 1988. 419-453.
Patarin J. Cryptanalysis of the Matsumoto and Imai public key scheme of Eurocrypt'88. In: Coppersmith D, ed. Proc. of the Advances in Cryptology-CRYPT0'95. Berlin, Heidelberg: Springer-Verlag, 1995. 248-261.
Patarin J. The oil and vinegar signature scheme. In: Proc. of the Dagstuhl Workshop on Cryptography. 1997.
Park A, Shim K-A, Koo N, Han D-G. Side-channel attacks on post-quantum signature schemes based on multivariate quadratic equations: Rainbow and UOV. IACR Trans. on Cryptographic Hardware and Embedded Systems, 2018, 500-523.
Krämer J, Loiero M. Fault attacks on UOV and rainbow. In: Polian I, Stöttinger M, eds. Proc. of the Constructive Side-channel Analysis and Secure Design. Cham: Springer Int'l Publishing, 2019. 193-214.
Shim K-A, Koo N. Algebraic fault analysis of UOV and rainbow with the leakage of random vinegar values. IEEE Trans. on Information Forensics and Security, 2020, 1.