分组密码算法uBlock积分攻击的改进

积分攻击是由Daemen等人(doi:10.1007/BFb0052343)于1997年提出的一种密码分析方法,是继差分分析和线性分析之后最有效的密码分析方法之一。作为2018年全国密码算法设计竞赛分组算法的获胜算法,uB-lock抵抗积分攻击的能力受到较多的关注。为了重新评估uBlock家族密码算法抵抗积分攻击的安全性,该文利用单项式传播技术,结合混合整数线性规划(MILP)工具搜索积分区分器,并利用部分和技术进行密钥恢复攻击。对于uBlock-128/128和uBlock-128/256,基于搜索到的9轮积分区分器分别进行了首个11轮和12轮攻击,数据复杂度为2~(127)选择明文,时间复杂度分别为2~(127.06)和2~(224)次加密,存储复杂度分别为2~(44.58)和2~(138)字节;对于uBlock-256/256,基于搜索到的10轮积分区分器进行了首个12轮攻击,数据复杂度为2~(253)选择明文,时间复杂度为2~(253.06)次加密,存储复杂度为2~(44.46)字节。与之前uBlock的最优积分攻击结果相比,uBlock-128/128和uBlock-256/256的攻击轮数分别提高2轮,uBlock-128/256的攻击轮数提高3轮。本文的攻击说明,uBlock针对积分攻击依然有足够的安全冗余。

Zodiac算法的不可能差分和积分攻击

重新评估了Zodiac算法抗不可能差分攻击和积分攻击的能力.已有结果显示,Zodiac算法存在15轮不可能差分和8轮积分区分器.首先得到了算法概率为1的8轮截断差分,以此构造了Zodiac算法完整16轮不可能差分和9轮积分区分器.利用9轮积分区分器,对不同轮数Zodiac算法实施了积分攻击,对12轮、13轮、14轮、15轮和16轮Zodiac的攻击复杂度分别为234,259,293,2133和2190次加密运算,选择明文数均不超过216.结果表明,完整16轮192比特密钥的Zodiac算法也是不抗积分攻击的.

MIBS算法的积分攻击

对分组密码算法MIBS在积分攻击下的安全性进行了研究,构造了MIBS算法的5轮积分区分器,利用Feistel结构的等价结构以及MIBS密钥扩展算法中主密钥和轮密钥的关系,对10轮MIBS算法实施了积分攻击,给出了攻击算法。攻击10轮MIBS-64的数据复杂度和时间复杂度分别为228和252.7,攻击10轮MIBS-80的数据复杂度和时间复杂度分别为228.2和253.2。分析结果表明,10轮MIBS算法对积分攻击是不免疫的,该积分攻击的轮数和数据复杂度上都要优于已有的积分攻击。

低轮PUFFIN算法的积分攻击

PUFFIN是一个分组长度为64bit的轻量级分组密码算法,其密钥长度为128bit。对PUFFIN抵抗积分攻击的能力进行研究,构造并证明PUFFIN算法存在5轮和6轮积分区分器。利用6轮积分区分器对8轮PUFFIN进行积分攻击,可恢复2轮共100bit轮密钥,攻击的数据复杂度为220个选择明文,时间复杂度约为233次8轮加密,存储复杂度为220,这是目前为止对PUFFIN最好的积分分析结果。

一种PUFFIN类SPN型分组密码的积分攻击

PUFFIN是一个具有64bit分组长度、128bit密钥的SPN型分组密码,为评估其安全性,从比特的层面分析其平衡性,构造了PUFFIN的5轮积分区分器,并利用高阶积分的思想将5轮区分器扩展为6轮,然后对8轮PUFFIN密码进行攻击。8轮攻击的数据复杂度为221,时间复杂度为234,空间复杂度为220。结果表明,8轮PUFFIN密码对于给出的攻击是不免疫的。对于线性层为置换的PUFFIN类SPN型分组密码,证明了至少存在3轮积分区分器,并给出了寻找该区分器的方法。

对Rijndael-256算法新的积分攻击

本文对Rijndael-256密码进行分析,从比特的层面上寻找平衡性,得到了一个新的3轮积分区分器,该区分器仅需32个明文就可将3轮Rijndael-256与随机置换区分开来,并且所得密文的每一比特都是平衡的.该区分器在已知的Rijndael-256积分区分器中所需明文量最少.基于新的区分器,对4至7轮Rijndael-256密码进行了攻击.文章还从字节的角度重新刻画了基于比特的积分思想,这一方法可用于分析其他基于字节设计的SPN型分组密码.

高阶差分视角下的积分攻击

积分攻击和高阶差分攻击是分组密码的两种重要分析技术.尽管两者的理论基础并不相同,但是它们的攻击过程却十分相似.该文从高阶差分分析的视角来解释AES和Rijndael-256的积分区分器,证明高阶差分分析对此类算法同样有很强的分析能力.此外,改进了Rijndael-256的3轮区分器的数据复杂度.最后,给出了SPON-GENT杂凑函数中间置换的14轮零和区分器.

HIGHT算法的积分攻击

对轻量级分组密码算法HIGHT在积分攻击方法下的安全性进行了研究。首先纠正了现有研究成果在构造区分器时的不当之处,重新构造了HIGHT算法的11轮积分区分器,并构造了相应高阶积分扩展下的17轮区分器;其次利用所构造的17轮区分器,结合"时空折中"原理对25轮HIGHT算法进行了积分攻击;最后对攻击算法的复杂度进行了分析,攻击算法需要的数据复杂度为2^(62.92),时间复杂度为2^(66.20),空间复杂度为2^(119)。分析结果表明,所给出的攻击算法的攻击轮数和时间复杂度要优于现有研究结果。

轻量级分组密码Piccolo的积分攻击

为了评估分组密码Piccolo的积分性质,提出Piccolo算法的5轮积分区分器,对无白化密钥的Piccolo进行了7轮和8轮攻击。其中,7轮攻击的数据复杂度为2^(17)个明文,时间复杂度为2^(20. 368)次7轮加密,8轮攻击的复杂度分别为2^(18)和2^(53. 000)。随后,将5轮区分器向解密方向扩展2轮,得到7轮区分器,对Piccolo进行了9轮攻击。若考虑白化密钥,数据复杂度为2^(48)个明文,时间复杂度为2^(52. 237)次9轮加密;若无白化密钥,复杂度均为2^(48)。据现有资料,这是首次评估Piccolo算法在积分攻击方面的安全性。

轻量级分组密码Lblock算法的Nibble积分攻击

Lblock算法是2011年提出的一种轻量级分组密码密码算法,在有限的环境下得到广泛使用.积分攻击是一种有效的密码分析方法,对于Lblock算法的基于比特的积分攻击,可以先构建8轮区分器,再向前做4轮高阶积分扩散,然后在积分区分器后加上5轮做17轮积分攻击,但是攻击轮数较少,且攻击复杂度较高,本文是在基于字节的积分攻击也是首先构建8轮区分器,再向前做6轮高阶积分扩散,构造14轮区分器,在积分区分器后面加7轮,猜测部分密钥,对其进行解密,做21轮积分攻击,时间复杂度降低.然后结合不同的对Lblock算法的攻击方法,对其进行比较,积分攻击在尽可能多的轮数下,时间复杂度降低.

轻量级分组密码Midori64的积分攻击

Midori是ASIACRYPT 2015上提出的一种轻量级分组密码,采用积分攻击的方法对Midori的安全性其进行分析。提出Midori64算法的4轮积分区分器,向解密方向扩展一轮得到5轮积分区分器,利用5轮区分器对Midori64进行了6轮、7轮和8轮攻击。其中:6轮攻击的数据复杂度和时间复杂度分别为217和216; 7轮攻击的数据复杂度和时间复杂度分别为218. 32和218. 23次7轮加密; 8轮攻击的数据复杂度为210. 80个明文,时间复杂度为265次8轮加密。据查证,这是首次评估Midori64算法在积分攻击方面的安全性。

LiCi算法的基于比特积分攻击

为分析目前LiCi算法抵抗积分攻击的能力,利用基于比特的可分性质,结合MILP搜索工具对LiCi算法的积分区分器进行搜索。搜索得到最长轮数积分区分器为12轮积分区分器,利用12轮积分区分器对LiCi算法进行13轮积分攻击。该攻击能够恢复17比特密钥信息,攻击的数据复杂度约为263,时间复杂度约为2100次16轮加密,存储复杂度约为241。为了得到更长轮数的攻击结果,利用10轮积分区分器向后攻击6轮,对LiCi算法进行16轮积分攻击,攻击数据复杂度约为263.6,时间复杂度约为2173次16轮加密,存储复杂度约为2119。积分攻击实验结果表明,13轮LiCi算法不能抵抗积分攻击。

KATAN族密码的立方攻击和积分攻击

为了重新评估KATAN族密码抵抗立方攻击和积分攻击的安全性,利用无未知集合三子集可分性结合混合整数线性规划(MILP)搜索工具,恢复了更长轮数的超级多项式并且搜索得到了积分区分器,进而对KATAN族密码进行了立方攻击和积分攻击.具体来说,针对KATAN32,给出了102轮和95轮的立方攻击,时间复杂度分别是2^(79)和2^(71);针对KATAN48,给出了85轮和77轮的立方攻击,时间复杂度分别是2^(79)和2^(65.6);针对KATAN64,给出了73轮的立方攻击,时间复杂度为2^(79).将KATAN32/48/64的已有最好的立方攻击结果分别提升了12/35/43轮.当超级多项式退化为常数,便得到了积分区分器.因此,所提算法也可以搜索积分区分器.针对KATAN32/48/64的积分区分器分别可达到101轮、84轮、73轮,从而可以对125/100/81轮的KATAN32/48/64进行积分攻击,时间复杂度分别为2^(79).3/2^(79).2/2^(79).1.结果表明,针对超过102/85/73轮的KATAN32/48/64并不存在有效的立方攻击结果,超过125/100/81轮的KATAN32/48/64也不存在有效的积分攻击结果.

对CRYPTON V1.0算法的积分攻击

CRYPTONV1.0密码是一个具有128比特分组长度、128比特密钥的分组密码。CRYP-TONV1.0密码的线性层是基于比特设计的,因而传统的积分攻击无法对其进行分析。本文对CRYP-TONV1.0密码进行分析,从比特的层面上寻找平衡性,得到了一个3轮积分区分器,区分器的可靠性在PC机上进行了验证,该区分器需要1024个明文将3轮CRYPTONV1.0与随机置换区分开来,并且所得密文的每一比特都是平衡的。基于该区分器,对低轮CRYPTONV1.0密码进行了攻击,结果表明,攻击4轮CRYPTONV1.0密码的数据复杂度为211,时间复杂度为223,攻击5轮的数据复杂度为212.4,时间复杂度为253。

SNAKE(2)分组密码的积分攻击

针对目前对SNAKE算法的安全性分析主要是插值攻击及不可能差分攻击,评估了SNAKE(2)算法对积分攻击的抵抗能力。利用高阶积分的思想,构造了一个8轮区分器,利用该区分器,对SNAKE(2)算法进行了9轮、10轮积分攻击。攻击结果表明,SNAKE(2)算法对10轮积分攻击是不免疫的。

减轮LEA密码算法的积分攻击

LEA密码算法是一类ARX型轻量级分组密码,广泛适用于资源严格受限的环境.本文使用中间相错技术找到LEA算法的86条8轮和6条9轮零相关区分器,进一步利用零相关区分器和积分区分器的关系,构造出5条8轮和1条9轮积分区分器.在8轮积分区分器的基础上,利用密钥扩展算法的性质和部分和技术,首次实现了对LEA-128的10轮积分攻击,攻击的计算复杂度为2120次10轮LEA-128加密.进一步,实现了对LEA-192的11轮积分攻击以及对LEA-256的11轮积分攻击,计算复杂度分别为2185.02次11轮LEA-192加密和2248次11轮LEA-256加密.

减轮Simeck算法的积分攻击

该文对轻量级分组密码算法Simeck在积分攻击下的安全性进行了研究。通过向前解密扩展已有的积分区分器,构造了16轮Simeck48和20轮Simeck64算法的高阶积分区分器,并在新区分器的基础上,利用等价子密钥技术和部分和技术,结合中间相遇策略和密钥扩展算法的性质,实现了24轮Simeck48和29轮Simeck64算法的积分攻击。攻击24轮Simeck48的数据复杂度为2^46,时间复杂度为2^95,存储复杂度为2^82.52;攻击29轮Simeck64的数据复杂度为2^63,时间复杂度为2^127.3,存储复杂度为2^109.02。与Simeck算法已有积分攻击的结果相比,该文对Simeck48和Simeck64积分攻击的轮数分别提高了3轮和5轮。

MIBS分组密码的改进积分攻击

MIBS算法是由Izadi等人在CANS 2009上提出的一个轻量级分组密码算法,整体采用Feistel结构,轮函数使用SP结构,分组长度为64 b,包含MIBS-64和MIBS-80这2个版本,适用于资源受限的环境,例如RFID(radio frequency identification)标签.研究MIBS算法针对积分攻击的安全性.首先,针对该算法的密钥编排算法,利用密钥搭桥技术,分别得到了MIBS-64和MIBS-80的轮密钥的相关性质.其次,利用基于MILP(mixed integer linear programming)的比特可分性的自动化建模搜索方法,构造了MIBS的8轮和9轮积分区分器.然后,基于8轮积分区分器,给出了12轮MIBS-64的密钥恢复攻击,数据复杂度为2^(60),时间复杂度为2^(63.42);最后,基于9轮积分区分器,给出了14轮MIBS-64的密钥恢复攻击,数据复杂度为2^(63),时间复杂度为2^(66).这是目前对MIBS-64和MIBS-80轮数最长的积分攻击.

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2^(40)个明密文对,时间复杂度为2^(67.85)次10轮加密运算,11轮积分攻击的数据复杂度为2^(40.09)个明密文对,时间复杂度为2^(117.37)次11轮加密运算。

LBlock算法的基于比特积分攻击

对分组密码算法LBlock在基于比特积分攻击下的安全性进行了分析,利用基于比特的积分攻击思想,构造了8轮积分区分器,并向前扩展到12轮,基于该区分器对17轮算法进行了积分攻击,给出了攻击算法,攻击的计算复杂度约为263.7。