|
|
|---|---|
|
|
|
|
|
这篇论文好像是说新的CPU上的BPU的不安全性。
A branch instruction is a point in the instruction stream of a program where the next instruction is not necessarily the next sequential one. 就像这段说的,分支指令大概就是提前预测后面分支指令会到达的地方,然后做一些前期处理。 它分为无条件分支(jump、goto..)和条件分支(if-then-else或while loop...) 然后作者提出四种攻击RSA的方法,不过完全没提及如何编程实现(好吧,确实目前论文都是这个样子,根本就不会出现代码...)。他的参考文献都是些 Modern Processor Design: Fundamentals of Superscalar Processors 之类的,也许根本不是用软件,而是直接片上设计... 另外,你没新的CPU,一样没法去写程序验证 
|
|
|
BPU即分支预测单元,由预测缓冲区和预测器组成,文中所描述的第一种攻击方式,针对的是RSA简单实现的方法,即采用平方乘法算法和蒙哥马利乘法,里头提到如果是采用CRT(中国剩余定理)的话,则该攻击方式失效。
攻击的原理是通过构造M1,M2,M3,M4,造成BPU的预测失效,通过失效的时间差异来推算di,然后我就不清楚,这4个M是怎样构造的,其中的区别是什么?构造完是不是接着构造密文,然后执行RSA解密程序,进行时间测量,通过测量的结果推算di?其中还引入了Oracl,这是什么含义呢?还有获取目标分支?初始化预测单元的状态?里头涉及的东西都很让人抽象? 欢迎大家接着讨论。
|
|
|
|
|
|
|
|
|
技术理论上是可以实现的,只不过类似于基于cache的攻击方式,通过制造一序列的垃圾数据,驱逐原有cache的值,从而造成cache访问失效和命中,以访问时间差异表现出来。
这里BPU应该也属于类似的实现方式吧,只不过是通过条件分支的指令,因此这里也需要制造造成BPU预测失效的指令,问题是如何构造这些指令呢? 文中还指出此类攻击方式能够运用于运算依赖于密钥的算法。 多多交流指导!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本人理解,构造M1和M2两个集合,在蒙哥马利乘法中,一个会发生约减,另一个不会发生约减。
那么在采用平方乘法运算中, 如果di==1,由于执行了蒙哥马利乘法,因此两个集合的解密执行时间的差异就会比较大; 反过来说,如果两个集合的解密执行时间差异较小的话,则反推di==0. 问题是如何构造M1和M2,保证一个会发生约减,另一个不会发生约减呢? 
|
