Twitter Postings Wed 01/26/11 (Diet記録簿 with Cipher and etc. Reborn)

21:49 #scis2011 懇親会から離脱なう
19:50 乾杯なう。暗号が好きな人は寛容だらしいです #scis2011
19:40 #scis2011 李先生のご挨拶なう。日本史の詳しい話中
19:39 懇親会。今井先生のご挨拶なう。 #scis2011
19:38 “@dr_code: ＳＣＩＳ2011に参加したかったです。近くだと一日位都合をつけられたのですけど。楽しんで下さいませ@ikutana” 来年は金沢という噂
17:31 2D4セッション終了。　懇親会ではiPhoneでつぶやくつもり。#SCIS2011
17:18 2D4-4 Design of SABL Double-edge-triggered Flip Flop for Security Application　#SCIS2011
16:55 2D4-3 Domino-RSL方式を用いたDES暗号回路の設計・試作およびDPA耐性評価　#SCIS2011
16:42 @akirakanaoka D会場も同様です。 [in reply to akirakanaoka]
16:39 入力信号の到達時間差によって、出力遷移タイミングにさが生じるアーリープロパゲーション効果（EPE)によるDPAリークが発生する。#SCIS2011
16:35 2D4-2 ドミノRSL方式を用いたDES暗号回路におけるアーリープロパゲーション効果によるDPAリークの評価　#SCIS2011
16:34 AESNI命令を使うとキャッシュ攻撃は難しい。とインテルは主張してる。#SCIS2011
16:30 マルチコアでも鍵情報は得られる。暗号演算時間に依存しないので、平文数は変わらなかった。#SCIS2011
16:29 シングルコアに比べると、鍵情報取得に多くの平文数は多く必要だった。#SCIS2011
16:21 暗号化終了後に、メモリを読み出すことにより、どのキャッシュラインが使われたかというのを判定することにより鍵を推定する。#SCIS2011
16:19 @iizukak もう、セッション抜け出さないと、申し込みできない。最終セッション終わったあと10分くらいまで受け付けてくれると、申し込むかどうか決心できるんだけど... #SCIS2011 [in reply to iizukak]
16:18 同一環境で複数の攻撃を比較した研究は少ない。#SCIS2011
16:18 マルチコア化とキャッシュの増加で難しくなってるのではないかと考えられている。#SCIS2011
16:17 三種類あるキャッシュ攻撃の一つ。Acccess-Drivenキャッシュ攻撃。動的にアクセスして鍵を推測する。#SCIS2011
16:17 キャッシュとメインメモリの速度の違いで鍵情報を推測する。#SCIS2011
16:16 1ラウンド目の鍵導出に必要な計算量は殆ど変わらなかった。#SCIS2011
16:15 AES,CLEFIA,CamelliaにCore i7でのキャッシュ攻撃を適用した。　難しいとか言われてたけど、なんとかなった。#SCIS2011
16:14 2D4-1 ブロック暗号に対するAccess-drivenキャッシュ攻撃の一考察#SCIS2011
16:14 2D4 サイドチャネル攻撃・対策(4)#SCIS2011
15:22 2D3 終了。　#SCIS2011
15:05 搬送波の除去、波形の選別、同期を行うことにより攻撃を容易にする。
15:04 2D3-4 非接触型ICカードに対する電磁波解析#SCIS2011
14:52 プローブの角度によって正解鍵のバイト位置が変化する。角度を変えていくと鍵の全バイトが解読できる。　解読結果からは局所的な暗号化色には依存しない。電源ラインの電流に含まれるサイドチャネル情報に依存する。#SCIS2011
14:47 プローブの角度がEMA解析結果に与える影響を考察する。ループコイルによってFPGA内のXY方向の面内成分が検出できる。#SCIS2011
14:44 局所的な解析を使うと、特定のレジスタ情報がわかる。　LSIの次回分布計測からレイアウト情報を得ることはできない。#SCIS2011
14:42 EMAは電源ラインのサイドチャネル情報に依存する！！！#SCIS2011
14:41 2D3-3 電磁波解析における局所性と放射磁界方向について　#SCIS2011
14:40 コイルの位置によっては逆相関の波形がでて不利になるのでは？　　絶対値でやってるので大丈夫だと思います。#SCIS2011
14:39 実際の攻撃者は鍵が未知なのでマップは作れないのではないか？　時間はかかるかもしれないけど解けると思う。ただし、鍵を変えての実験はやっていない。#SCIS2011
14:37 プローブ同士の干渉はどうなってるんでしょう。　　干渉があってもそんなに結果に影響はないのではないかと思う。#SCIS2011
14:36 6箇所同時測定で16箇所測定と同じ結果が得られる。　2箇所同時測定でも電力解析攻撃よりも攻撃コストが低い。
14:32 電力の四分の一の解析コストで攻撃可能。#SCIS2011
14:32 電力の1/4
14:31 重要な情報はチップ内部だけではなく、ラインからも出力されている。#SCIS2011
14:24 2箇所測定すれば電力解析よりも効率よく攻撃可能。#SCIS2011
14:23 FPGAの電磁波から取れる情報はプローブの位置に依存する。#SCIS2011
14:20 2D3-2 暗号ハードウェアの局所情報と電磁波解析 (その3)#SCIS2011
14:18 FPGAのカバーを開くのは自己責任でお願いします。#SCIS2011
14:17 SASEBO-GとGIIで攻撃可能性はさがあるのか？　　電力はGの方がやりやすい。電磁波もそうじゃないかな。#SCIS2011
14:12 クロックや電源モジュールのほうがノイズが大きく、ロジック部のほうが波形が小さい。#SCIS2011
14:11 アンプやプローブを高利得にすることだけが大事なのではなく、組み合わせが大事。クリップするとかえって解読確率が落ちる。#SCIS2011
14:10 TV,携帯電話等の環境電波はあるものの、その他のノイズは大きい物はSASEBO-G2からは出ていない。#SCIS2011
14:06 一回巻きと5回巻のプローブを作った。#SCIS2011
14:06 セミリジットケーブルを利用してプローブを自作する。4000円くらいで作れる。#SCIS2011
14:05 もろもろあわせてDPA環境に４０万くらいでEMA実験環境を作れる。#SCIS2011
14:05 磁界プローブはXYZポジショナーに固定されてる。制御用PCでFPGAとロジアナを同時に制御できる。DPAコンテストWebで配布してる。#SCIS2011
14:03 FPGAのカバーはペンチで簡単に剥がれる。場所の指定用に方眼紙を貼る。#SCIS2011
14:02 SASEBO-GIIはノイズ対策をして電力差分攻撃に向いた製品になってる。電力を意識して作ったけど、電磁波攻撃もできるということをこの発表で示す。#SCIS2011
14:01 サイドチャネル攻撃を標準的に扱うために、評価標準ボードSASEBOシリーズを作った。統一環境におけるサイドチャネル評価を実現した。#SCIS2011
14:00 2D3-1 SASEBO-GII上のAESに対する電磁波解析攻撃#SCIS2011
13:59 2D3 サイドチャネル攻撃・対策(3)　#SCIS2011
12:39 ２B２セッション終了。#SCIS2011
12:39 岩田先生：ブロック長と鍵長が違う時はどうするの？　答え、今のところ検討してない。#SCIS2011
12:37 証明を転用したら証明できないかな？ MITMはできると思うけど、RelatedKey Attackには無理だと思う。#SCIS2011
12:36 RelatedKey Attackは考慮されてなかったと思う。#SCIS2011
12:36 松本先生：CRYPTO96でDESXでのMITMの知見は応用できないの？#SCIS2011
12:35 MITM, RelatedKey, Known-plaintextに耐性があると今のところ考えている。#SCIS2011
12:34 共通鍵の構成法としては、そのまま鍵を使うのではなく、鍵に何らかの関数をかけたらどうだろう。事前に計算ができるランダムっぽい関数を使えばいいんじゃない？ #SCIS2011
12:33 たぶん、全数探索の計算量が必要だと思う。#SCIS2011
12:33 （おもいつき）真ん中にも鍵をたしたら、XEXEXだな。そんなゲームが昔あった。#SCIS2011
12:32 Choiらの攻撃はそのままてきようできない。#SCIS2011
12:32 DES-XEEXというのを定義。真ん中ではなく、前後に入れてみる。まだ検討はしていない。#SCIS2011
12:28 DES-EXEはMITMを工夫すれば攻撃可能。#SCIS2011
12:27 TripleDESは３回もやるのでちょっと思い。DoubleDESの代わりに間に鍵を挿入する方式がある。DES-EXE #SCIS2011
12:21 ブラックボックスとして使って組み合わせで強化できないか。実装を再利用出来るメリットもある。複数回繰り返す手法がある。でも、ダブルはMITM Attackがある。#SCIS2011
12:20 線形攻撃は全数探索より早いが、2^43のペアを得るのは難しい。#SCIS2011
12:18 2B2-5 2重DESに対する中間一致攻撃への耐性強化手法 #SCIS2011
12:04 ７ラウンドの場合、2^24で識別可能。Outboundの差分パスを４通り認めることによって、２＾ー２２に確率を削減。計算量を1/4に。#SCIS2011
12:01 ある置換において、入力４バイト差分から出力４バイトを計算量2^65以下で見つければ識別可能。#SCIS2011
12:00 ハッシュ関数に使うのは鍵が固定なのでユーザーは既知である。理想的な置換と識別可能か？７，８ラウンドに削減すれば識別できる。実際に実装して検証した。#SCIS2011
11:59 既知鍵AES識別器って何？#SCIS2011
11:58 2B2-4 7 及び8 ラウンド既知鍵AES識別機の実装#SCIS2011
11:58 東芝Sの佐野さん：見つかったのは深さ優先探索で調べたの？全数探索したの？17時間で見つかったのは最初のペア？　答：2^52は無理だけど、2^49まで回して一個見つけたのでそこでやめた。#SCIS2011
11:56 NEC北陸の人：等価鍵を排除するための改造はアイディアはあるか？　　答え：考えていない。XORしてるところで差分が打ち消すことがあるので、それを対策すれば無くなるかもしれない。なんとなく。#SCIS2011
11:55 岩田先生：ラウンド鍵から秘密鍵に一位に戻れないケースがあるという理解でOK#SCIS2011
11:54 完全解読あるごりずむがあったとしても、必ずしも鍵に辿りつけない場合がある。#SCIS2011
11:52 金子先生：HyRALの鍵空間は2^128-2^50程度であるという理解で良いのか。#SCIS2011
11:51 256ビット鍵HyRALでの等価鍵は2^50ペア存在する。#SCIS2011
11:50 等価鍵導出の計算流は暗号化2^48.8回に相当#SCIS2011
11:39 等価鍵：平文全てに対して同じ暗号文を出力する鍵の組。#SCIS2011
11:38 2B2-3 256ビット鍵HyRALの等価鍵#SCIS2011
11:33 二つの拡大関数を含む区間に高階差分特性がある。途中段の値を改変しなければ難しい。　鍵長128ビットで24段中10段解読可能。#SCIS2011
11:21 Microsoft Officeの試用版をインストールしたので、ナイトセッションでなにかやってもいいかなぁ、とか思い始めてる。#SCIS2011
11:19 差分と線形の既存研究があったので、高階差分をやってみた。 #SCIS2011
11:17 2B2-2 共通鍵ブロック暗号HyRALの高階差分特性 2B2-2 #SCIS2011
11:16 今のところ、考えてはいるけど、うまいペアは見つかっていない。#SCIS2011
11:16 制御型高階差分は、独立の線形ベクトルをいくつ使うかという観点。#SCIS2011
11:13 X[16]=X[17]というような自由度の低い高階差分を求めたらどうでしょうか。 #SCIS2011
10:58 2B2-1MISTY1の新しい高階差分特性 #SCIS2011
10:19 というわけで、２B1セッション終了。#scis2011
10:18 8ビット解析だけど、S-Boxは4ビットベースなので、4ビットではやってないのか？　やってません。#scis2011
10:17 確認というのはどういう意味？　理論上で実験的に得られた特性を確認したという意味。ホマの発表でフォロー#scis2011
10:16 金子先生　96階差分を前提としているので、非現実的だが、32階差分を使えば現実的な計算量になる。2ラウンド少なくなる。#scis2011
10:15 現実的な計算量では何ラウンドくらい解読できるでしょか？　　そういう見積はしていません。#scis2011
10:15 6ラウンドの飽和特性、８ラウンドの飽和特性を確認。（既存研究と矛盾しない結果）　選択平文数を削減できた。#scis2011
10:14 提案者評価よりも解読に必要な平分数を削減できた。 #scis2011
10:06 既存研究ではワード単位だが、バイト単位で評価を行う。 #scis2011
09:56 2B1-4共通鍵ブロック暗号CLEFIAの飽和攻撃耐性評価 #scis2011
09:49 .@k4403 さんの「SCIS2011まとめ」をお気に入りにしました。　#scis2011 http://togetter.com/li/92996
09:44 攻守が入れ替わった！！！ #scis2011
09:43 2B1-3CLEFIAの差分攻撃耐性 #scis2011
09:43 接続性を考えるとちゃんと検討する必要があると思う。 #scis2011
09:43 金子先生：S-Boxがどんな入出力差分でもつながると考えると、この特性確率は正しいという理解で良いか？７ラウンドで解析した結果より良くなるとはなんとも言えない。#scis2011
09:42 五十嵐先生（理科大）：３ラウンドから５ラウンドで特性をみたけど、７ラウンドではどうですか。　答え：７ラウンドだと計算量的な問題だけでなく、評価に用いづらい。
09:40 さらに厳密に評価すればもうちょっとラウンドは下がるかもしれないが、現状の安全性評価としては十分だと考えてる。 #scis2011
09:39 青木さん：全体のActiveSBox最大のだけだと最大特性確率は求められないよね。　　答え：それも考えて評価しています。 #scis2011
09:38 CLEFIAの差分と線形特性確率を厳密に評価したら従来12ラウンドだったけど、11ラウンドに縮小した。 #scis2011
09:32 パス遷移の依存ラウンド数を３から５ラウンドに変更。各系列のデータ表現をハミング重みからバイトトランケートに変更。２種類のS-Boxを区別。 #scis2011
09:24 提案者における１１ラウンド最大差分特性を与えるパスが存在しないことを発見。 #scis2011
09:23 ここから、CLEFIAみっつ。 #scis2011
09:23 2B1-2CLEFIAの差分攻撃及び線形攻撃に対する安全性評価の更新 #scis2011
09:22 鍵ビットが少ないので、鍵ランダム性に製薬があるのではないか。　今後検討します。#scis2011
09:21 差分特性確率でパスが分かってるのなら32bitなら全部探索できるんじゃないか。　実際やったわけではないけど、さほどさがあるとは思っていない。#scis2011
09:17 KATAN48では102段くらいまで差分攻撃可能。 #scis2011
09:16 各ビットの初期状態を、差分あり、差分なし、値０とする。#scis2011
09:15 論理積の入力には鍵が加算されてないのでActiveな論理積を減らすことができる。#scis2011
09:14 もうひとつは差分攻撃。論理積の差分確率は0.5 #scis2011
09:11 複数の29回差分特性を用いて攻撃を行う。2^31個の平文から生成。35組見つかった。　#scis2011
09:10 今回は、実験的に高階差分特性を探索し、それを利用した攻撃を行った。 #scis2011
09:07 KATAN32に高階差分攻撃、KATAN32,48,64に差分攻撃をする。 #scis2011
09:06 Fa,Fb関数の次数が小さく、項数が少ないので代数的攻撃が有効。非線形関数の後ろに鍵加算がある。論理積への入力が操作可能。 #scis2011
09:05 #scis2011 Full round KATANTANにたいしてMeet in the Middle Attackで解読。KATANTANの鍵スケジュールに脆弱性。
09:02 ブロック長32,48,64 bit 鍵長80bit #scis2011
09:02 KATANとKATANTANをKATAN Familyという　LWなブロック暗号。 CHES 2009で発表。#scis2011
09:01 2B1-1KATANに対する安全性検証 #scis2011
08:59 おはようございます。今日のtsudaり予定は、まず2B1から。 #scis2011

Diet記録簿 with Cipher and etc. Reborn

Dietの記録と、暗号の研究と、日々の日記のブログです。

Twitter Postings Wed 01/26/11

トラックバック

コメントを投稿

検索

2011年01月

アーカイブ

最近のエントリー

最近のコメント

カテゴリー

アーカイブ

日	月	火	水	木	金	土
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Diet記録簿 with Cipher and etc. Reborn

Dietの記録と、暗号の研究と、日々の日記のブログです。

Twitter Postings Wed 01/26/11

トラックバック

コメントを投稿

検索

2011年01月

アーカイブ

最近のエントリー

最近のコメント

タグ クラウド

カテゴリー

アーカイブ

タグクラウド