DOI: https://doi.org/10.62056/aebngyl7s
تاريخ النشر: 2026-01-08
المؤلف: Sönke Jendral وآخرون
الموضوع الرئيسي: تنفيذات التشفير والأمان
نظرة عامة
يتطلب الانتقال إلى التشفير بعد الكم تطوير أنظمة توقيع رقمية توازن بين الأداء والأمان. من بين المرشحين قيد الدراسة من قبل NIST هو FAEST، الذي يستخدم نموذج التقييم الخطي غير المدرك في الرأس (VOLEitH). يسهل هذا النهج إثباتات عدم المعرفة الفعالة مع أحجام توقيع تنافسية، تعتمد بشكل أساسي على اتجاهية معيار التشفير المتقدم (AES). ومع ذلك، لم يتم دراسة الأمان الفيزيائي لأنظمة التوقيع المعتمدة على VOLEitH بشكل مكثف حتى الآن.
في هذه الورقة، نقدم التقييم الأول لأمان القنوات الجانبية لـ FAEST، كاشفين عن الثغرات من خلال هجومين على تحليل الطاقة المدعوم بالتعلم العميق باستخدام تتبع واحد على تنفيذها المقنع. تستعيد هذه الهجمات بنجاح المفتاح السري الكامل مع احتمال يتجاوز 99% من توقيع واحد على معالج ARM Cortex-M4 من خلال استغلال التسرب من بتات الشاهد وحسابات علامة VOLE. بالإضافة إلى ذلك، نقوم بتحليل كيفية السماح لبناء VOLEitH بتوصيف علامات VOLE دون الوصول إلى المفتاح السري، مما يشير إلى أن حتى التسرب الجزئي يمكن أن يهدد الأمان. نختتم باقتراح تدابير مضادة عملية لتعزيز المرونة الفيزيائية لتنفيذات التوقيع المعتمدة على VOLEitH، مع التأكيد على الحاجة لحماية العمليات التي تتضمن بتات الشاهد وعلامات VOLE من تسرب معلومات القنوات الجانبية.
مقدمة
في عام 2024، بدأ المعهد الوطني للمعايير والتكنولوجيا (NIST) عملية توحيد خوارزميات التشفير بعد الكم (PQC)، مما أسس آليات تغليف المفاتيح وأنظمة التوقيع الرقمية، بما في ذلك ML-KEM و ML-DSA و SLH-DSA. لتوسيع تنوع البدائل المتاحة لـ PQC، أطلق NIST عملية توحيد ثانية تركز على أنظمة توقيع رقمية إضافية مع افتراضات صعوبة وخصائص كفاءة متنوعة. من بين المرشحين هو FAEST، وهو نظام توقيع رقمي يعتمد على نموذج التقييم الخطي غير المدرك في الرأس (VOLEitH)، الذي تم إثبات عدم قابليته للتزوير وجوديًا تحت هجمات الرسائل المختارة (EUF-CMA) في نموذج الأوراكل العشوائي الكمي.
تستعرض الورقة التقييم التجريبي لهجمات القنوات الجانبية على نظام FAEST، مستهدفة بشكل خاص معالج ARM Cortex-M4 الموصى به من قبل NIST للاختبار. يتضمن ذلك إصدار التعليمات البرمجية والبيانات ذات الصلة لتسهيل إعادة الإنتاج والتحليل الإضافي. بالإضافة إلى ذلك، يقترح المؤلفون تدابير مضادة لتعزيز الأمان الفيزيائي لأنظمة التوقيع المعتمدة على VOLEitH. يتم تفصيل تنظيم الورقة، مع تغطية الأقسام اللاحقة للأعمال ذات الصلة، والخلفية حول VOLEitH و FAEST، وإعداد التجارب، وعروض هجمات القنوات الجانبية، والنتائج، والمناقشات حول التدابير المضادة، وتعديلات الهجمات للمتغيرات المستقبلية.
الطرق
تستعرض قسم “الطرق” إعداد التجارب والنتائج لتقييم هجمات القنوات الجانبية على تنفيذ FAEST. يتم تفصيل الإطار التجريبي المستخدم، مع توفر التعليمات البرمجية في مستودع GitHub محدد. تعكس الاحتمالات التجريبية المبلغ عنها معدلات النجاح في استعادة المفاتيح السرية من تنفيذ واحد لإجراء التوقيع، بناءً على 1,000 مفتاح سري مختار عشوائيًا. من الجدير بالذكر أن مجموعات البيانات للتقييم تم الحصول عليها من جهاز مختلف عن تلك المستخدمة للتدريب والتحقق، مما يبرز قابلية تعميم طرق الهجوم.
تشير النتائج، الملخصة في الجدول 5، إلى أن هجوم دمج البايت حقق معدل استرداد قدره 998 من 1,000 محاولة، مع تعداد قدره $2^{16}$ للبتات غير القابلة للاسترداد. بالمقابل، استعاد هجوم نقل VOLE المفتاح السري بنجاح في جميع المحاولات الـ 1,000، مع تعداد أقصى قدره $2^{32}$ بت. لتقييم متانة هذه الهجمات ضد الضوضاء، تم إجراء تجارب مع إضافة ضوضاء غاوسية ذات متوسط صفر إلى التتبع، مع انحرافات معيارية متغيرة ($\sigma$). تكشف النتائج أنه بينما يتناقص الأداء مع زيادة الضوضاء، يحتفظ هجوم دمج البايت بفعاليته بسبب التسرب القوي، في حين أن أداء هجوم نقل VOLE يتراجع بشكل كبير عندما تتجاوز الضوضاء الفروق النسبية في عينات التتبع، على الرغم من بعض التخفيف من تقنية التعداد.
مناقشة
في قسم المناقشة من الورقة، يبرز المؤلفون أن عملهم هو الأول الذي يقيم مقاومة خوارزمية FAEST ونموذج VOLEitH ضد هجمات القنوات الجانبية. يقارنون FAEST بالأساليب السابقة، وخاصة طريقة الحساب متعدد الأطراف في الرأس (MPCitH)، مشيرين إلى أنه بينما تم اقتراح هجمات متنوعة ضد أنظمة MPCitH، فإن هذه لا تنطبق مباشرة على FAEST بسبب الاختلافات الأساسية في هياكلها. على سبيل المثال، تستغل هجمات Godard وآخرون و Gellersen وآخرون على أنظمة تشفير أخرى مثل Picnic ثغرات محددة غير موجودة في FAEST، الذي يستخدم هيكلًا أساسيًا مختلفًا ولا يعتمد على الحساب متعدد الأطراف.
يستفيض المؤلفون في توضيح هجمات القنوات الجانبية المحددة، مثل هجوم دمج البايت، الذي يستغل تسرب المعلومات أثناء عملية تشفير AES. يوضحون كيف يمكن لتنفيذ خوارزمية FAEST أن يتسرب معلومات حساسة من خلال الوزن الهامنج لبعض العمليات، خاصة خلال مراحل جدولة المفتاح والتشفير. تؤكد المناقشة على الحاجة إلى تدابير مضادة فعالة، مثل تقنيات الخلط والتقنيع، للتخفيف من هذه الثغرات. بشكل عام، يبرز القسم جدّة اكتشافاتهم وأهمية تكييف تدابير الأمان الحالية مع الخصائص الفريدة لخوارزمية FAEST.
DOI: https://doi.org/10.62056/aebngyl7s
Publication Date: 2026-01-08
Author(s): Sönke Jendral et al.
Primary Topic: Cryptographic Implementations and Security
Overview
The transition to post-quantum cryptography necessitates the development of digital signature schemes that balance performance and security. Among the candidates under consideration by NIST is FAEST, which utilizes the Vector Oblivious Linear Evaluation in-the-Head (VOLEitH) paradigm. This approach facilitates efficient zero-knowledge proofs with competitive signature sizes, primarily relying on the one-wayness of the Advanced Encryption Standard (AES). However, the physical security of VOLEitH-based signature schemes has not been extensively studied until now.
In this paper, we present the first side-channel security evaluation of FAEST, revealing vulnerabilities through two single-trace, deep learning-assisted power analysis attacks on its masked implementation. These attacks successfully recover the full secret key with a probability exceeding 99% from a single signature on an ARM Cortex-M4 processor by exploiting leakage from witness bits and VOLE tag computations. Additionally, we analyze how the VOLEitH construction allows for the profiling of VOLE tags without access to the secret key, indicating that even partial leakage can compromise security. We conclude by proposing practical countermeasures to enhance the physical resilience of VOLEitH-based signature implementations, emphasizing the need to protect operations involving witness bits and VOLE tags from side-channel information leakage.
Introduction
In 2024, the National Institute of Standards and Technology (NIST) initiated the standardization of post-quantum cryptographic (PQC) algorithms, establishing key encapsulation mechanisms and digital signature schemes, including ML-KEM, ML-DSA, and SLH-DSA. To expand the diversity of available PQC primitives, NIST launched a second standardization process focusing on additional digital signature schemes with varying hardness assumptions and efficiency characteristics. Among the candidates is FAEST, a digital signature scheme based on the Vector Oblivious Linear Evaluation in-the-Head (VOLEitH) paradigm, which has been proven existentially unforgeable under chosen-message attacks (EUF-CMA) in the quantum random oracle model.
The paper outlines the experimental evaluation of side-channel attacks on the FAEST scheme, specifically targeting an ARM Cortex-M4 processor recommended by NIST for benchmarking. It includes the release of related code and data to facilitate reproducibility and further analysis. Additionally, the authors propose countermeasures to enhance the physical security of VOLEitH-based signature schemes. The organization of the paper is detailed, with subsequent sections covering related work, background on VOLEitH and FAEST, experimental setup, side-channel attack presentations, results, discussions on countermeasures, and adaptations of the attacks for future variants.
Methods
The “Methods” section outlines the experimental setup and results for evaluating side-channel attacks on the FAEST implementation. The experimental framework utilized is detailed, with code available at a specified GitHub repository. The empirical probabilities reported reflect the success rates of recovering secret keys from a single execution of the signing procedure, based on 1,000 randomly selected secret keys. Notably, the datasets for evaluation were sourced from a different device than those used for training and validation, underscoring the generalizability of the attack methods.
The results, summarized in Table 5, indicate that the byte combine attack achieved a recovery rate of 998 out of 1,000 attempts, with an enumeration of $2^{16}$ for unrecoverable bits. In contrast, the VOLE transpose attack successfully recovered the secret key in all 1,000 attempts, with a maximum enumeration of $2^{32}$ bits. To evaluate the robustness of these attacks against noise, experiments were conducted with zero-mean Gaussian noise added to the traces, with varying standard deviations ($\sigma$). The findings reveal that while performance diminishes with increased noise, the byte combine attack retains effectiveness due to strong leakage, whereas the VOLE transpose attack’s performance declines significantly when noise surpasses the relative differences in trace samples, despite some mitigation from the enumeration technique.
Discussion
In the discussion section of the paper, the authors highlight that their work is the first to assess the resistance of the FAEST algorithm and the VOLEitH paradigm against side-channel attacks. They compare FAEST with previous approaches, particularly the Multiparty Computation in-the-Head (MPCitH) method, noting that while various attacks have been proposed against MPCitH schemes, these do not directly apply to FAEST due to fundamental differences in their architectures. For instance, attacks by Godard et al. and Gellersen et al. on other cryptographic schemes like Picnic exploit specific vulnerabilities that are not present in FAEST, which utilizes a different underlying structure and does not rely on multiparty computation.
The authors further elaborate on specific side-channel attacks, such as the byte combine attack, which exploits information leakage during the AES encryption process. They detail how the implementation of the FAEST algorithm can leak sensitive information through the Hamming weight of certain operations, particularly during the key schedule and encryption phases. The discussion emphasizes the need for effective countermeasures, such as shuffling and masking techniques, to mitigate these vulnerabilities. Overall, the section underscores the novelty of their findings and the importance of adapting existing security measures to the unique characteristics of the FAEST algorithm.