<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Oct 31, 2014 at 3:47 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Most, if not all, publications on the topic of fault attacks on RSA and DLP-<br>
based algorithms (DSA, ECDSA) use a very abstract model of the fault, assuming<br>
merely "a fault" or, for example, that an attacker can:<br>
<br>
  modify any intermediate value by setting it to either a random value<br></blockquote><div>...... </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
typically in the middle of a signature computation.  While I haven't been able<br>
to track down every publication on the topic, there doesn't seem to be much<br>
that specifically addresses the case of random single-bit faults, e.g. due to<br>
alpha particles, <br></blockquote><div><br></div><div>Systems that keep keys in memory for long periods of time could find</div><div>that the key degrades once in a while and causes problems.  Understanding this</div><div>is interesting because it is invisible....  systems not designed for long uptime use do</div><div>find their way into a machine room (i.e. machines without strong ECC on many if not all</div><div>data paths).   </div><div><br></div><div>The magnitude of these commonly undetected errors is easy to underestimate</div><div>and it does make sense for code that uses the key to keep the bits in a</div><div>data structure with multiple bit error detection both in memory and on disk.</div><div><br></div><div>FWIW:   The alpha particle cause mostly does not apply.  There was a case</div><div>at IBM where contamination of packages did cause Alpha particle bit flips but</div><div>today the big issue is high energy cosmic ray interactions.    One silicon valley</div><div>company had cause to understand  single bit memory errors and many customers</div><div>participated in a detection and reporting program.   The errors absolutely correlated</div><div>with altitude and the study resulted in strong ECC on future designs.</div><div><br></div><div>That company is gone and other company designers would do well to hire those</div><div>now grey hair engineers and take the hint for processor, memory, network, graphics</div><div>and all other system data paths.    <br><br>ECC is astoundingly important for encrypted data on disk where a flipped</div><div>bit or two impact the entire file system or data set in a database system.</div><div>Extending the statistics published by the RAID folk to modern systems is</div><div>an eye opener.  Recovery from errors is hard... better to not have to recover.   <br><br></div></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>