A new key recovery side-channel attack on HQC with chosen ciphertext - CEA - Commissariat à l’énergie atomique et aux énergies alternatives Accéder directement au contenu
Article Dans Une Revue PQcrypto 2022 Année : 2022

A new key recovery side-channel attack on HQC with chosen ciphertext

Une nouvelle attaque de récupération de clef par canaux auxiliaires et à chiffrés choisis contre HQC

Résumé

Hamming Quasi-Cyclic (HQC) is a code-based alternate candidate of NIST post-quantum standardization procedure. The decoding steps of code-based cryptosystems are known to be vulnerable to sidechannel attacks and HQC is no exception to this rule. In this paper, we present a new key recovery side-channel attack on HQC with chosen ciphertext. Our attack takes advantage of the reuse of a static secret key on a micro-controller with a physical access. The goal is to retrieve the static secret key by targeting the Reed-Muller decoding step of the decapsulation and more precisely the Hadamard transform. This function is known for its diffusion property, a property that we exploit through side channel analysis. The side-channel information is used to build an Oracle that distinguishes between several decoding patterns of the Reed-Muller codes. We show how to query the Oracle such that the responses give a full information about the static secret key. Experiments show that less than 20.000 electromagnetic attack traces are sufficient to retrieve the whole static secret key used for the decapsulation. Finally, we present a masking-based countermeasure to thwart our attack.
Hamming-Quasi Cyclic est un candidat du concours du NIST pour la standardisation de cryptosystèmes résistant aux attaques des ordinateurs quantiques. Les étapes de décodage sont connues pour être sensibles aux attaques par canaux cachés et HQC ne fait pas exception à cette règle. Je présenterai une nouvelle attaque à chiffrés choisis permettant de retrouver la clef secrète de HQC. Cette attaque exploite la réutilisation d'une clef statique ainsi qu'un accès physique à un microcontrôleur qui exécute HQC. Nous attaquons le décodage des codes de Reed-Muller utilisés dans HQC, et plus précisément la transformée de Hadamard (FHT), connue pour ces propriétés de diffusion que nous exploitons pour l'attaque. L'information extraite est utilisé pour classifier plusieurs patterns de décodage du code de Reed-Muller. Je montrerai comment bien choisir la valeur des chiffrés pour "forcer" l'apparition de ces classes et retrouver tous les bits de la clef secrète. Les acquisitions physiques que nous avons effectuées montrent que moins de 20.000 traces électromagnétiques d'attaques sont nécessaires pour retrouver l'entièreté de la clef secrète. Une contremesure simple à base de masquage est proposée pour empêcher cette attaque.
Fichier principal
Vignette du fichier
PQcrypto22_GOYG.pdf (1.59 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Dates et versions

cea-03823234 , version 1 (20-10-2022)

Identifiants

Citer

Guillaume Goy, Antoine Loiseau, Philippe Gaborit. A new key recovery side-channel attack on HQC with chosen ciphertext. PQcrypto 2022, 2022, Lecture Notes in Computer Science, 13512, pp.353-371. ⟨10.1007/978-3-031-17234-2_17⟩. ⟨cea-03823234⟩
97 Consultations
242 Téléchargements

Altmetric

Partager

Gmail Facebook X LinkedIn More