SKINNY的差分故障攻击与ForkAE的密钥恢复攻击

作为LWC竞赛的候选算法之一,ForkAE是基于叉形密码结构的一系列轻量级认证加密算法,其中使用的加密原语为轻量级可调分组密码族SKINNY.本文首先给出了一种对SKINNY族内各算法进行差分故障攻击的方法.对于SKINNY-64-64和SKINNY-64-128,在算法倒数第三轮注入随机半字节故障,理论上平均通过2.32次随机半字节故障注入即可得知连续两轮共4个半字节的信息.通过对多个位置的信息获取,理论上平均通过9.23次随机半字节故障注入即可恢复单轮的64 bit轮密钥,结合密钥扩展算法即可恢复全部64 bit的主密钥.利用类似的方法攻击SKINNY-128-128和SKINNY-128-256,在算法倒数第三轮注入随机字节故障,理论上平均通过2.4次随机字节故障注入即可得知连续两轮共4个半字节的信息,平均通过9.56次随机字节故障注入即可恢复128 bit的主密钥.攻击SKINNY-64-192或SKINNY-128-384时需要额外对倒数第五轮进行攻击,分别需要18.52次随机半字节故障注入和19.18次随机字节故障注入.在对SKINNY完成的差分故障分析的基础上,本文给出了一种对ForkAE进行密钥恢复的方法,理论上仅需要1次对故障加密机的询问即可恢复ForkAE的主密钥.

SMS4密码算法的差分故障攻击

SMS4是用于WAPI的分组密码算法,是国内官方公布的第一个商用密码算法.由于公布时间不长,关于它的安全性研究尚没有公开结果发表.该文研究SMS4密码算法对差分故障攻击的安全性.攻击采用面向字节的随机故障模型,并且结合了差分分析技术.该攻击方法理论上仅需要32个错误密文就可以完全恢复出SMS4的128比特种子密钥.因为实际中故障发生的字节位置是不可能完全平均的,所以实际攻击所需错误密文数将略大于理论值;文中的实验结果也验证了这一事实,恢复SMS4的128bit种子密钥平均大约需要47个错误密文.文章结果显示SMS4对差分故障攻击是脆弱的.为了避免这类攻击,建议用户对加密设备进行保护,阻止攻击者对其进行故障诱导.

SHACAL-2算法的差分故障攻击

该文采用面向字的随机故障模型,结合差分分析技术,评估了SHACAL-2算法对差分故障攻击的安全性。结果显示:SHACAL-2算法对差分故障攻击是不免疫的。恢复出32 bit子密钥的平均复杂度为8个错误密文,完全恢复出512 bit密钥的复杂度为128个错误密文。

AES差分故障攻击的建模与分析

研究高级加密标准(AES)密码算法对差分故障攻击的安全性。攻击采用针对密钥扩展算法的单字节随机故障模型,通过对比正确和错误密文的差异恢复种子密钥。该攻击方法理论上仅需104个错误密文和2个末轮子密钥字节的穷举搜索就可完全恢复AES的128比特种子密钥。故障位置的不均匀分布使实际攻击所需错误密文数与理论值略有不同。

对MIBS分组密码的差分故障攻击

MIBS分组密码是一个基于Feistel结构的轻量级分组密码,适用于RFID、无线传感器等资源受限的硬件环境。差分故障攻击是针对硬件密码算法较为有效的旁路分析手段,通过插入故障和故障传播中涉及的相关密钥之间的关系进行密钥恢复。该文利用S盒的差分不均匀性,通过建立明文差分、密文差分和候选输入值之间的关系,在MIBS密码的最后一轮注入两次故障,可以快速恢复最后一轮密钥信息,进而恢复全部密钥。该攻击思想具有一般性,对基于Feistel结构的轻量级分组密码算法普遍适用。

针对椭圆曲线密码系统点乘算法的改进差分故障攻击

针对故障攻击椭圆曲线点乘算法失效问题,提出一种改进的差分故障攻击算法。该算法消除了非零块的假设,并引入验证机制抵抗了"故障检测"失效威胁。以SM2算法提供的椭圆曲线为例,通过软件仿真成功攻击了二进制点乘算法、二进制非相邻型(NAF)点乘算法和蒙哥马利点乘算法,3小时内恢复出了256比特私钥。针对二进制NAF点乘算法攻击过程进行了优化,将攻击时间缩短至原来的五分之一。实验结果表明,所提算法能够提高攻击的有效性。

对轻量级分组密码算法LBlock的差分故障攻击

本文首先分析差分故障攻击的故障模型与原理,利用S盒的差分不均匀性,通过建立输入差分、输出差分和可能输入值之间的对应关系,给出差分故障分析的优化方案,实现快速归约,提高差分故障攻击的效率.本文通过对LBlock算法建立对应关系,可以快速直观缩小输入值取值空间,进而快速确定对应扩展密钥.对于不同故障值(输入差分),对应的输出差分和可能输入值均不相同,可以得到二元关系集合.由于轻量级分组密码S盒多为4×4 S盒,该集合中元素较少,注入少量不同故障值,通过查表,对可能输入值取交集即可快速确定唯一可能输入值.将优化方案应用于LBlock轻量级分组密码算法,在最后一轮输入处注入2次宽度为16 bit的故障可恢复最后一轮轮密钥,然后将状态回推一轮,在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥.根据密钥扩展方案,恢复两轮轮密钥后将恢复主密钥的计算复杂度降为2^(19).

一种针对特定结构SPN密码算法的差分故障攻击

本文提出一种针对特定结构的SPN结构分组密码算法的差分故障攻击方法。该攻击方法基于单字节故障模型,对于具有特定置换层设计的SPN结构分组密码算法,仅需要少量的错误密文即可还原其所使用的密钥。文中给出了错误发生位置、置换层设计与秘密信息泄漏之间的关系分析。同时,我们还针对一些特定结构SPN结构分组密码算法实现了攻击过程。

PRESENT密码的差分故障攻击

针对PRESENT密码算法的差分故障攻击,分析PRESENT算法差分故障传播特点的方式,优化导入故障位置,利用组合穷举搜索,建立不同的攻击模型来快速获取原始密钥.结果表明,影响PRESENT算法的差分故障攻击结果有两个因素:攻击轮数和故障密文数目.在倒数第二轮攻击平均需要30个故障密文就可以成功恢复出该轮64 bit轮密钥,在低轮数针对该密码算法进行差分故障攻击,仅仅需要9个故障密文就能恢复全部密钥.同时这种攻击方式在单故障密文的密钥搜索复杂度和攻击复杂度分别为226和231.

FeW的差分故障攻击

为了评估轻量级分组密码算法FeW的安全性,提出并讨论了一种针对FeW算法的差分故障攻击方法。该方法采用单字节随机故障模型,选择在FeW算法的最后一轮右侧引入单字节随机故障,利用线性扩散函数的特点获取差分信息,并基于S盒差分分布统计规律实现密钥恢复。实验结果表明,平均47.73次和79.55次故障注入可以分别完全恢复FeW-64-80和FeW-64-128的主密钥,若在恢复密钥过程中加入210的穷举计算,所需平均故障注入次数分别降至24.90和41.50。该方法可以有效地攻击FeW算法。

分组密码AES-128的差分故障攻击

AES是美国数据加密标准的简称,又称Rijndael加密算法。它是当今最著名且在商业和政府部门应用最广泛的算法之一。AES有三个版本,分别是AES-128,AES-19和AES-256。AES的分析是当今密码界的一个热点,文中使用差分故障攻击方法对AES进行分析。差分故障攻击假设攻击者可以给密码系统植入错误并获得正确密文和植入故障后密文,通过对两个密文分析比对从而得到密钥。文中提出了对AES-128的两种故障攻击方法,分别是在第8轮和第7轮的开始注入故障。两个分析方法分别需要2个和4个故障对,数据复杂度分别为23 4(2112)次猜测密钥。

对流密码LILI-128的差分故障攻击

对LILI-128算法对差分故障攻击的安全性进行了研究。攻击采用面向比特的故障模型,并结合差分分析和代数分析技术,在LILI-128算法LFSR d中注入随机的单比特故障,得到关于LILI-128算法内部状态的代数方程组,并使用Crypto MiniSAT解析器求解恢复128位初始密钥。实验结果表明,280个单比特故障注入就可以在1 min内完全恢复LILI-128全部128位密钥。因此,LILI-128密码实现安全性易遭差分故障攻击威胁,需要对加密设备进行故障攻击防御,以提高LILI-128密码实现安全性。

对流密码Decim^(v2)差分故障攻击

针对Decimv2流密码现有故障攻击方法未有效利用Decimv2非线性布尔函数差分特性导致攻击复杂度高的问题,提出一种改进的差分故障攻击方法,该方法充分利用Decimv2非线性布尔函数的差分特性,通过在Decimv2线性反馈移位寄存器LFSR中注入面向比特的随机故障,构建算法内部状态的线性方程组,并对方程组进行求解恢复初始密钥K.实验结果表明,平均2个故障注入可恢复全部80比特初始密钥,所需密钥流为144比特,整个攻击计算复杂度由现有的O(242.5)减小为O(238.95).此外,该攻击方法可以为其他流密码差分故障攻击提供一定的参考.

对流密码算法Phelix的差分故障攻击

流密码算法Phelix是ESTREAM计划的一个候选算法,文中给出了模2n加环节X Y=Z的一个基于单比特故障的差分方程组求解算法.利用该算法采用面向比特的故障诱导模型对Phelix进行了差分故障攻击,该攻击理论上只需652个单比特故障就能完全恢复256bit的工作密钥,计算复杂度为O(220).实验结果显示,Phelix算法对差分故障攻击是不安全的.

轻量级分组密码算法TWINE差分故障攻击的改进

针对轻量级分组密码TWINE的半字节分组差分扩散规律展开研究,提出一种新的差分故障攻击的方法,并基于S盒差分分布统计规律性计算出恢复轮密钥的概率下界,由此给出完整恢复种子密钥的故障注入次数期望。理论证明和实验结果同时表明,算法第33、34、35轮平均注入9次故障即可完全恢复种子密钥。最后提出故障注入位置的改进,提升了实际攻击的可行性。

针对流密码LEX的差分故障攻击及算法改进分析

分析了针对LEX算法的差分故障攻击。为增强LEX抗差分故障攻击的能力,采取将每组轮密钥异或一个128比特随机序列的方法,对其进行了改进。在此基础上,分析了改进算法的安全性和运算速度,并用一个实例仿真检验了改进算法的密钥流随机性。结果表明,改进的LEX算法能够抵抗差分故障攻击,并具备与原LEX算法相同的运算速度和密钥流随机性,提高了LEX算法的密码性能。

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击。实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥。因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护。

轻量级分组密码GIFT的差分故障攻击

差分故障攻击是一种通过利用注入故障前后状态差分,进行密钥信息恢复的一种方法.它是针对轻量级密码算法具有严重威胁的攻击之一.在CHES 2017上, Subhadeep Banik等人提出的新型轻量级密码算法GIFT具有结构设计简单、实现效率高等优点,备受业界广泛关注.目前已经有学者用线性密码分析、差分密码分析等传统的数学攻击手段对GIFT算法进行研究,获得了许多研究结果,然而它能否有效地抵抗差分故障攻击仍待进一步探索.本文根据GIFT算法轮函数特点,运用差分故障基本思想,提出两种差分故障攻击方法.第一种攻击方法,分别在第28、27、26、25轮中间状态注入1比特故障,理论上平均需要192个错误密文即可恢复主密钥信息.第二种攻击方法,分别在第26、25、24、23轮中间状态注入1比特故障,理论上平均需要32个错误密文可恢复主密钥信息.因此,在不加防护的条件下,本文所提出的攻击方法能有效地攻击GIFT算法.

抗差分故障攻击的AES密码芯片设计

针对AES的差分故障攻击(DFA)过程,总结出对AES的DFA攻击算法与攻击模型的特点,在此基础上为AES密码芯片设计了一种基于TRC校验的防护电路,并对其抗差分故障攻击的可行性进行了仿真验证。结果表明,该防护电路能够快速准确地检测出导入错误,增强了AES芯片抗DFA攻击的能力。

Grain-v1的多比特差分故障攻击

本文研究Grain-v1的差分故障攻击.目前,很多文献在一个故障引起一个中间状态比特翻转的假设条件下,利用差分故障攻击对Grain系列算法进行了分析.然而,随着芯片尺寸的缩小以及复杂性的提升,一个故障精确地引起一个中间状态比特的翻转在技术上实现的难度越来越大.对于Grain-v1,目前并没有文献在一个故障引起多个中间状态比特翻转的假设条件下,给出一个有效的差分故障攻击.本文针对Grain-v1,在一个故障至多引发连续8比特翻转,翻转比特的位置可以是LFSR,或者NFSR,或者横跨LFSR和NFSR,并且具体翻转比特数量未知的条件下,给出了一个有效的差分故障攻击.特别地,文中利用在FSE 2013中提出的Grain-v1近似碰撞攻击的思想,给出了一个新的确定故障信息的方法,即故障实际引发的比特翻转位置和比特翻转数量.实验数据表明,已知160比特的差分序列,该方法能以大约97.5%的概率确定出故障信息.通过SAT求解器CryptoMiniSat2.9.6,在CPU频率为2.83GHz、4G系统内存的PC机上,利用大约8个故障,五十分钟左右可以恢复出Grain-v1的160比特中间状态.本文攻击思想也适用于Grain-128以及一个故障引发大于8比特翻转的情形.