南京大学计算机科学与技术系软件新技术与产业化协同创新中心

摘 要：

签名过程中的信息泄漏可能对签名方案的安全性产生灾难性影响。本工作主要审视随机数泄漏对格上Fiat-Shamir签名体制安全性的影响。在Asiacrypt 2018上，Bootle等人提出了ILWE问题，并证明只要误差项e不是超多项式大于内积〈a,s〉，则ILWE问题能够在多项式时间内求解。受此启发,证明了随机数泄漏情形下(例如，泄漏随机数的一个比特),针对格上Fiat-Shamir签名体制的密钥恢复攻击可以规约为ILWE问题的变体（不妨称为FS-ILWE问题）。ILWE问题指的是给定多项式个形为(a,〈a,s〉+e)的问题实例,恢复秘密向量s,其中,a为Z上的n维随机向量, e为Z上的随机整数；但是，在FS-ILWE问题中，向量a的元素仅为-1、0、1，并且a是一个非零元素个数固定的稀疏向量。幸运的是，利用a向量任意元素的期望和不同元素的协方差同时为0这一性质，可以证明FS-ILWE问题也可以在多项式时间内求解。这意味着，只要在每一次签名过程中泄漏随机数的一个高位比特，则大多数已有基于格的Fiat-Shamir签名体制都可以被攻破。具体地,以NIST PQC标准征集中提出的两个基于格的Fiat-Shamir签名方案Dilithium和qTESLA为研究示例,进行了实际的攻击分析与实验验证。实验结果表明，利用所提出的方法，即使在一台普通台式机上，也能够在几秒内恢复出Dilithium和qTESLA的私钥。

报告人简介:

  周永彬，博士，中国科学院信息工程研究所信息安全国家重点实验室研究员、博士生导师，第二工程部主任。国家“万人计划”科技创新领军人才。中国计算机学会计算机安全专委会委员，中国计算机学会信息保密专委会委员，公安部警务保障专家，中国科学院大学岗位教授。美国普渡大学计算机科学系访问学者，法国巴黎高科高等电信研究院访问教授。自1996年7月至今，一直从事信息与网络安全基础理论与关键技术研究工作，主持国家重点研发计划项目课题、国家自然科学基金重点项目/面上项目、科技部863项目、国家重大工程专项项目、国家科技重大专项项目子课题、北京市自然科学基金项目、核高基重大项目子课题、装备预研课题等科研项目。发表学术论文80余篇，申请国家发明专利10余项。主持/组织了二十余项技术标准规范的起草与编制。主持/组织研制出多个重要基础系统平台，相关成果在多个国家重要部门得到实际应用并取得重大实效。曾获国家科学技术进步奖二等奖、密码科学技术进步奖一等奖等。主要研究方向:密码学与密码工程、网络与系统安全、数据安全隐私保护等。 

时间：7月30日(星期二) 8:30

地点：计算机科学技术楼112室