Digital signature algorithms allow a signing party to prove the authenticity of digital information to a verifying party. Digital signatures are used for a variety of purposes, including to ensure the authenticity of firmware updates and as a building block of public key infrastructure (PKI). The security of current digital signature algorithms relies on the hardness of certain fundamental problems, such as the discrete logarithm or integer factorisation problems, which may be solved in polynomial time using a cryptographically relevant quantum computer. In recognition of the emerging threat posed by advances in quantum computing, recent efforts in the field of post-quantum cryptography have focused on designing replacements for existing schemes that remain secure even if cryptographically relevant quantum computers are built. The National Institute of Standards and Technology (NIST) held a competition that ultimately selected CRYSTALS-Dilithium for standardisation as a postquantum module-lattice-based digital signature algorithm under the name ML-DSA. With devices running cryptographic algorithms being increasingly physically accessible to attackers, implementations must consider the threat of physical attacks, such as side-channel analysis and fault injection. Previous work has shown that certain implementations of CRYSTALS-Dilithium are susceptible to physical attacks. As part of the standardisation, NIST introduced a hedged mode for ML-DSA, that changes the sampling of a private random seed to increase the resistance to physical attacks. The hedged mode uses the SHAKE256 extendable output function to derive the seed. This work presents a fault injection attack on hedged ML-DSA in ARM Cortex-M4 targeting SHAKE256. First, voltage glitching is performed to skip absorption of input data into the sponge during the sampling of the seed in the signing procedure, fixing it to a known constant value. We identified settings that consistently cause the necessary function to be skipped without crashing the device. After the successful fault injection, the secret key vector is derived directly from the resulting signature.

Algoritmer för digitala signaturer gör det möjligt för en signerande part att bevisa äktheten av digital information för en verifierande part. Digitala signaturer används för flera olika syften, bland annat för att säkerställa äktheten av uppdateringar av inbyggd programvara och som en del av public key infrastructure (PKI). Säkerheten i existerande algoritmer för digitala signaturer bygger på att vissa fundamentala matematiska problem är svåra att lösa, och dessa problem skulle kunna lösas med hjälp av en kryptografiskt relevant kvantdator. Mot bakgrund av det nya hot som kvantdatorn utgör har man inom postkvantkryptografin på senare tid fokuserat på att utforma ersättningar för befintliga algoritmer som förblir säkra även om kryptografiskt relevanta kvantdatorer byggs. År 2016 anordnade National Institute of Standards and Technology (NIST) en tävling där CRYSTALS-Dilithium slutligen valdes ut som standard för postkvant modul-gitter-baserad digital signaturalgoritm under namnet ML-DSA. Eftersom angripare i större utsträckning får tillgång till den utrustning som kör kryptografiska algoritmer måste implementationer ta hänsyn till hotet från fysiska attacker, t.ex. sidokanalsanalys och felinjektion. Tidigare arbete har visat att vissa implementationer av CRYSTALS-Dilithium är sårbara för just fysiska attacker. Som en del av standardiseringen införde NIST ett så kallat hedged mode för ML-DSA, som ändrar urvalet för “random seed” för att öka motståndet mot fysiska attacker. I hedged mode används funktionen SHAKE256 för att beräkna “random seed”. I detta arbete presenteras en felinjektionsattack mot hedged ML-DSA i ARM Cortex-M4 som attackerar SHAKE256. Först utförs “voltage glitching” för att hoppa över absorptionen av indata i svampfunktionen under slumpvalet av “seed” i signeringsproceduren, och därmed fixeras den till ett känt konstant värde. Vi identifierade inställningar som konsekvent förhindrade exekveringen av den nödvändiga funktionen utan att krascha utrustningen. Efter en lyckad felinjektion härleds den hemliga nyckelvektorn direkt från den resulterande signaturen.