Langkau ke kandungan
Semua kupasan
KUPASAN PASUKANKripto

R3CTF 2026

HEuristic

Memulihkan pengganda CKKS tersembunyi daripada kebocoran pekali dengan hingar terbatas.

Diterbitkan
Kategori
Kriptografi

Perkhidmatan itu hanya membenarkan tiga tindakan: enkripsi, dekripsi, dan penyerahan. Sebelum pengekodan CKKS, proses enkripsi mendarab setiap pekali plaintext dengan satu skalar tersembunyi. Proses dekripsi kemudian mendedahkan pekali terawal bersama hingar tambahan yang besar—tetapi terbatas secara ketat.

Itu sudah memadai. Cabarannya bukan untuk menghapuskan hingar CKKS secara terus, tetapi untuk membuat kebocoran berturutan mengehadkan satu sama lain sehingga hanya satu pengangkatan modular yang mungkin.

Bentukkan plaintext

Bagi modulus plaintext q, kami memilih pekali dalam bentuk:

coefficient[i] = q // 2 + 5**i

Menolak garis dasar yang dikongsi daripada setiap pekali terdekripsi meninggalkan pemerhatian yang setara dengan:

z[i] = 5^i * delta + error[i]  (mod q)

Garis dasar itu memastikan setiap pekali yang dihantar kekal dalam julat yang diterima perkhidmatan. Kuasa lima pula mewujudkan hubungan yang diperlukan untuk proses pengangkatan.

Angkat nilai merentasi hingar

Andaikan L[i] ialah pengangkatan integer yang dipilih untuk z[i]. Nilai sebenar seterusnya kira-kira lima kali nilai sebelumnya:

L[i + 1] ≈ 5 * L[i]

Setiap baki mempunyai bilangan wakil yang tidak terhingga, dan setiap wakil dipisahkan oleh q. Bagi setiap sampel baharu, kami memilih wakil yang kongruen dengan z[i + 1] dan paling hampir kepada 5 * L[i].

Batas hingar yang diterbitkan menjadikan pilihan ini unik: perbezaan terkumpul antara sampel bersebelahan kekal jauh di bawah separuh modulus. Mengulangi langkah tersebut pada pekali yang mencukupi membesarkan 5^i * delta hingga melepasi paras hingar.

Dapatkan semula dan sahkan

Pada sampel terakhir, pembundaran biasa mendapatkan semula skalar tersembunyi:

delta = round(lifted[-1] / 5**last_index)

Kami mengesahkannya terhadap setiap pekali yang bocor sebelum menghantarnya. Perkhidmatan menerima nilai yang diperoleh.

Inti penyelesaian

Enkripsi anggaran tidak menjadikan kebocoran berstruktur selamat. Istilah ralat yang terbatas boleh dieksploit apabila penyerang mengawal plaintext yang saling berkaitan dan perkhidmatan mendedahkan pekali berkorelasi yang mencukupi.

Halaman acara: R3CTF 2026 di CTFtime.