論文の概要: A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries
- arxiv url: http://arxiv.org/abs/2310.08153v1
- Date: Thu, 12 Oct 2023 09:18:26 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-19 02:33:12.446133
- Title: A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries
- Title(参考訳): 暗号ライブラリにおけるサイドチャネル脆弱性検出自動化ツールの体系的評価
- Authors: Antoine Geimer, Mathéo Vergnolle, Frédéric Recoules, Lesly-Ann Daniel, Sébastien Bardin, Clémentine Maurice,
- Abstract要約: 文献を調査し,34のサイドチャネル検出フレームワークの分類を行った。
次に、5つの有望な検出ツールの選択に基づいて、代表的な暗号操作のベンチマークを構築しました。
最近公開されたサイドチャネル脆弱性の分類を提供する。
既存のツールでは,SIMD命令のサポートの欠如,暗黙のフロー,内部シークレット生成など,さまざまな理由から脆弱性を見つけるのに苦労しています。
- 参考スコア(独自算出の注目度): 6.826526973994114
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: To protect cryptographic implementations from side-channel vulnerabilities, developers must adopt constant-time programming practices. As these can be error-prone, many side-channel detection tools have been proposed. Despite this, such vulnerabilities are still manually found in cryptographic libraries. While a recent paper by Jancar et al. shows that developers rarely perform side-channel detection, it is unclear if existing detection tools could have found these vulnerabilities in the first place. To answer this question, we surveyed the literature to build a classification of 34 side-channel detection frameworks. The classification we offer compares multiple criteria, including the methods used, the scalability of the analysis or the threat model considered. We then built a unified common benchmark of representative cryptographic operations on a selection of 5 promising detection tools. This benchmark allows us to better compare the capabilities of each tool, and the scalability of their analysis. Additionally, we offer a classification of recently published side-channel vulnerabilities. We then test each of the selected tools on benchmarks reproducing a subset of these vulnerabilities as well as the context in which they appear. We find that existing tools can struggle to find vulnerabilities for a variety of reasons, mainly the lack of support for SIMD instructions, implicit flows, and internal secret generation. Based on our findings, we develop a set of recommendations for the research community and cryptographic library developers, with the goal to improve the effectiveness of side-channel detection tools.
- Abstract(参考訳): 暗号実装をサイドチャネルの脆弱性から保護するためには、開発者は定時プログラミングプラクティスを採用する必要がある。
エラーが発生しやすいため、多くのサイドチャネル検出ツールが提案されている。
それにもかかわらず、このような脆弱性はいまだに暗号化ライブラリに手作業で発見されている。
Jancar氏らによる最近の論文では、開発者はサイドチャネル検出をめったに行わないが、既存の検出ツールがこれらの脆弱性を最初に発見できたかどうかは不明だ。
この問いに答えるために、文献を調査し、34のサイドチャネル検出フレームワークの分類を構築した。
提案する分類では,使用方法,分析のスケーラビリティ,検討対象の脅威モデルなど,複数の基準を比較した。
次に、5つの有望な検出ツールの選択に基づいて、代表暗号操作の統一的な共通ベンチマークを構築した。
このベンチマークにより、各ツールの機能と、その分析のスケーラビリティをよりよく比較できます。
さらに、最近公開されたサイドチャネル脆弱性の分類も提供する。
次に、選択したツールをベンチマークでテストし、これらの脆弱性のサブセットとそれらが現れるコンテキストを再現します。
既存のツールでは,SIMD命令のサポートの欠如,暗黙のフロー,内部シークレット生成など,さまざまな理由から脆弱性を見つけるのに苦労しています。
本研究は,研究コミュニティと暗号ライブラリ開発者を対象に,サイドチャネル検出ツールの有効性向上を目的とした一連のレコメンデーションを開発する。
関連論文リスト
- Impact of Code Transformation on Detection of Smart Contract Vulnerabilities [0.0]
本稿では,スマートコントラクト脆弱性データセットの量と品質を改善する方法を提案する。
このアプローチは、セマンティックな意味を変えることなくソースコード構造を変更するテクニックである、セマンティックな保存コード変換を中心に展開されている。
改善された結果によると、新たに生成された脆弱性の多くはツールをバイパスでき、偽報告率は最大100%になる。
論文 参考訳(メタデータ) (2024-10-29T03:08:25Z) - Divide and Conquer based Symbolic Vulnerability Detection [0.16385815610837165]
本稿では,シンボル実行と制御フローグラフ解析に基づく脆弱性検出手法を提案する。
提案手法では,無関係なプログラム情報を除去するために,分割・分散アルゴリズムを用いる。
論文 参考訳(メタデータ) (2024-09-20T13:09:07Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Model Pairing Using Embedding Translation for Backdoor Attack Detection on Open-Set Classification Tasks [63.269788236474234]
バックドア検出のためのオープンセット分類タスクにモデルペアを用いることを提案する。
このスコアは、異なるアーキテクチャのモデルがあるにもかかわらず、バックドアの存在を示す指標であることを示している。
この技術は、オープンセット分類タスク用に設計されたモデル上のバックドアの検出を可能にするが、文献ではほとんど研究されていない。
論文 参考訳(メタデータ) (2024-02-28T21:29:16Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - Identifying Vulnerabilities in Smart Contracts using Interval Analysis [0.0]
本稿では,スマートコントラクトの脆弱性を検出するために,既存の静的解析手法であるインターバル解析を活用することに焦点を当てる。
本稿では,脆弱なスマートコントラクトを特徴とするモチベーション事例の選定と,既存の検出ツールを用いて実施した実験結果の共有について述べる。
論文 参考訳(メタデータ) (2023-09-25T01:17:56Z) - DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。
DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。
DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
論文 参考訳(メタデータ) (2023-07-04T01:34:41Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Increasing the Confidence of Deep Neural Networks by Coverage Analysis [71.57324258813674]
本稿では、異なる安全でない入力に対してモデルを強化するために、カバレッジパラダイムに基づく軽量な監視アーキテクチャを提案する。
実験結果から,提案手法は強力な対向例とアウト・オブ・ディストリビューション・インプットの両方を検出するのに有効であることが示唆された。
論文 参考訳(メタデータ) (2021-01-28T16:38:26Z) - Detection of Adversarial Supports in Few-shot Classifiers Using Feature
Preserving Autoencoders and Self-Similarity [89.26308254637702]
敵対的なサポートセットを強調するための検出戦略を提案する。
我々は,特徴保存型オートエンコーダフィルタリングと,この検出を行うサポートセットの自己相似性の概念を利用する。
提案手法は攻撃非依存であり, 最善の知識まで, 数発分類器の検出を探索する最初の方法である。
論文 参考訳(メタデータ) (2020-12-09T14:13:41Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。