c++ - 优化稳定的恒定时间数组比较

Question

(注意:“恒定时间”是指当其中一个输入固定时机器周期的数量是恒定的，而不是 O(1)。这是该术语在密码学上下文中的标准含义。)

将一个固定值与一个相同大小的未知值进行比较的最常见方法是使用 XOR 循环:

bool compare(const char* fixed, const char* unknown, size_t n)
{
    char c = 0;
    for (size_t i=0; i<n; ++i)
        c |= fixed[i] ^ unknown[i];
    return (c == 0);
}

GCC 4.6.3 和 CLANG 3.0 不会在 AMD64 上短路此循环，即使在 -O3 时也是如此(我检查了生成的机器代码)。但是，我不知道 C 标准中有什么会阻止一些聪明的编译器识别如果 c 永远不为零，那么该函数只能返回 false .

如果您愿意接受较大的性能损失和概率比较而不是确定性比较，那么实现恒定时间比较的更偏执的方法是计算两个输入的加密哈希值并比较哈希值；哈希的比较方式并不重要，因为除非攻击者可以计算哈希的原像，否则它无法对未知值进行逐次逼近。很难想象一个编译器会足够聪明来优化它，但我不能保证它不会发生。更偏执的方法是将 HMAC 与特定于实例的 key 而不是简单的散列一起使用，尽管我仍然可以想象一个神奇的智能优化器可以识别无论使用什么 key ，它正在编译的算法只是一种缓慢的方式进行字符串比较并相应地进行优化。通过添加额外的复杂层、调用共享库等，我可以使我的比较难以优化，但我仍然不能保证任何符合标准的编译器都不会短路我的比较并让我容易受到攻击定时攻击。

有没有什么方法可以实现高效、确定性、恒定时间的比较，保证始终按照 C 标准工作？如果没有，是否有任何流行的 C(或 C++)编译器或库提供这样的方法？请引用您的来源。

Answer 1

“as-if”规则要求access to volatile objects be performed as written ，所以我认为以下方法可能有效:

bool compare(const char* p1, const char* p2, size_t n)
{
    volatile char c = 0;
    for (size_t i=0; i<n; ++i)
        c |= p1[i] ^ p2[i];
    return (c == 0);
}

即使编译器可以静态地确定两个输入数组是否不同，它仍然必须为所有中间存储生成代码到c。因此，生成的代码应始终运行与 n 成正比的时间。

---

版本 2，回应 AlexD 的有用评论:

bool compare(volatile const char* p1, volatile const char* p2, size_t n)
{
    volatile char c = 0;
    for (size_t i=0; i<n; ++i)
        c |= p1[i] ^ p2[i];
    return (c == 0);
}

即使编译器可以静态地确定函数的返回值，它仍然必须发出代码来从头到尾完整读取两个输入数组，并写入 c在这些负载之间。优化仍然可以消除计算(XOR 和 OR)，但内存行为将成为更明显的时序特征。在电源方面，攻击者可能仍然能够分辨出差异。

如果我们想消除 return 语句中的数据依赖分支，我们可以使用类似于 Go 的 ConstantTimeByteEq 的东西。

---

请注意，the 'as-if' rule 的相关位已从 C++98/03 更改为 C++11:

1) At every sequence point, the values of all volatile objects are stable (previous evaluations are complete, new evaluations not started) (until C++11)

1) Accesses (reads and writes) to volatile objects occur strictly according to the semantics of the expressions in which they occur. In particular, they are not reordered. (since C++11)