Ряд реализаций механизма капсуляции ключей Kyber, используемого для квантово-безопасного шифрования, подвержен уязвимостям, объединённым под названием KyberSlash. Эти недостатки могут позволить злоумышленникам восстановить секретные ключи.
CRYSTALS-Kyber является официальной реализацией Kyber и частью набора алгоритмов CRYSTALS (Cryptographic Suite for Algebraic Lattices). Он разработан для общего шифрования и включен в перечень алгоритмов Национального института стандартов и технологий (NIST), предназначенных для защиты от атак квантовых компьютеров.
Среди популярных проектов, использующих реализации Kyber, — VPN-сервис Mullvad и мессенджер Signal. Последний в прошлом году объявил о применении CRYSTALS-Kyber в качестве дополнительного уровня защиты коммуникаций пользователей.
Уязвимости KyberSlash связаны с тайминг-атаками, возникающими из-за способа, которым Kyber выполняет определенные операции деления в процессе раскапсуляции. Это позволяет атакующим анализировать время выполнения операций и получать секретную информацию, угрожающую шифрованию.
Если сервис, использующий Kyber, позволяет множественные запросы к одной и той же паре ключей, злоумышленник может измерить разницу во времени выполнения операций и постепенно вычислить секретный ключ.
Проблемные участки кода, связанные с уязвимостями KyberSlash (KyberSplash1 и KyberSplash2), были обнаружены исследователями Гоутамом Тамвада, Картикеяном Бхаргаваном и Франциском Кифером из компании Cryspen .
В демонстрации KyberSlash1 на системе Raspberry Pi исследователи дважды из трех попыток восстановили секретный ключ Kyber по времени дешифрования .
Аналитики Cryspen выявили
Источник: SecurityLab