密码科学技术国家重点实验室开放课题发布通知

密码科学技术国家重点实验室开放课题管理办法、开放课题2015年度申请指南目前均已发布,本年度开放课题基金申请截止时间为2015年5月31日,欢迎各位同行踊跃申请.申请者可与密码科学技术国家重点实验室联系.联系人:徐晓雪联系电话:010-81033319,81033101电子邮箱:xuxx@sklc.

面向格密码的能耗分析攻击技术

量子计算的飞速发展对传统密码的安全性带来巨大挑战,Peter Shor提出的量子计算模型下分解整数和计算离散对数的多项式时间算法对基于传统数论难题的密码系统构成了威胁.美国国家标准与技术研究院(NIST)于2016年开始征集后量子公钥密码算法标准,其中,大多基于格、基于哈希、基于编码、基于多变量这四种密码体制,而基于格的密码体制在其公钥尺寸、计算效率和安全性方面具有更好的平衡性,所占比例最大.然而,格密码的实现在实际环境中易遭受能耗分析攻击(Power Analysis Attacks).能耗分析攻击是利用密码设备运行过程中产生的功耗、电磁等信息,攻击者建立这些旁路信息与密码算法中间值之间的联系从而恢复密钥等敏感信息.自从能耗分析攻击出现以来,该类攻击手段严重威胁了密码系统的安全.随着量子计算的发展,后量子密码的安全性日益成为密码研究的热点,特别地,近期NIST公布了最新轮的后量子密码算法,作为占据比例最多的格密码,其侧信道安全性也受到了学术界的广泛关注.本文针对格密码的能耗分析攻击技术从攻击模型、攻击目标、攻击条件开展研究,分析了面向格密码的攻击原理、格密码的各个算子的侧信道安全性,重点介绍了适用于NIST第三轮格密码的攻击技术,以及相应防护方案的攻击技术,最后讨论了现有面向格密码的能耗分析攻击面临的问题及未来研究方向.

基于错误学习的全同态加密技术研究现状与挑战

全同态加密方案是一种具备数据机密性和安全性的加密方案,同时还能够对密文进行计算操作。在云计算时代,全同态加密方案能够满足私有信息检索、多方安全计算等多种应用需求。错误学习与全同态加密的结合,迅速推动了全同态加密方案的发展,并引出了多种技术工具,如密钥交换和模交换等具有理论和实际应用意义的技术。自从2011年基于LWE的全同态加密方案被提出以来,基于LWE类型的方案已成为全同态加密方案的主流方法,并逐步从理论走向实际应用。文章首先介绍全同态加密的基础知识和应用,并对构造方案的数学理论进行详细分析;然后系统梳理了每一代同态加密方案,并给出了每一代方案的典型构造方式;最后探讨了当前基于LWE的全同态加密方案存在的问题以及未来的发展趋势,为后续研究者提供一些参考。

对称密码的量子分析法综述

随着量子计算技术的不断进步, 密码学研究者不得不深入研究量子计算模型对经典对称密码算法带来的安全威胁. 本文综述了近年来在量子计算模型下针对经典分组密码和结构、认证和认证加密算法、哈希函数等的量子通用攻击和专用攻击等. 由于量子计算模型在不同敌手假设下取得的攻击效率不同, 因此本文对不同攻击假设进行了分类, 并归纳总结了不同假设下密码研究者所取得的重要研究成果.

SPN型密码的通用子空间迹分析

SPN结构是目前最广泛使用的一种分组密码整体结构,AES、ARIA等分组密码算法均采用此结构,对此类SPN型密码的安全性分析是密码分析中的一个研究热点.将子空间迹密码分析方法应用到典型二维SPN型密码和典型三维SPN型密码中,可分别得到其相应的子空间迹和基于子空间迹的通用性质,该性质与密钥、S盒以及列混淆矩阵的定义均无关,可具体描述为:针对一个状态可形式化为n×m二维数组的典型二维SPN型密码,属于类对角子空间同一陪集的所有明文经过5轮加密得到的密文中属于混淆子空间同一陪集的不同密文对数量一定为2^(n-1)的倍数;针对一个状态可形式化为l×n×m三维数组的典型三维SPN型密码,属于类对角子空间同一陪集的所有明文经过7轮加密得到的密文中属于混淆子空间同一陪集的不同密文对数量一定为2^(nl-1)的倍数.此外,不仅对该性质进行了证明,还在PHOTON算法的内部置换以及小规模版本Rijndael算法、3D算法、Saturnin算法上进行了实验验证,结果与该性质完全一致.

基于持续性故障的分组密码算法S盒表逆向分析

基于故障注入的逆向分析技术通过向运行保密算法的设备中注入故障,诱导异常加密结果产生,进而恢复保密算法内部结构和参数.在除S盒表外其他运算结构已知的前提下,本文基于持续性故障提出了一种分组密码算法S盒表逆向分析方法.我们利用算法中使用故障元素的S盒运算将产生错误中间状态并导致密文出错这一特点,构造特殊的明文和密钥,诱导保密算法第二轮S盒运算取到故障值,从而逆向推导出第一轮S盒运算的输出,进而恢复出保密算法S盒表的全部元素.以类AES-128(Advanced Encryption Standard-128)算法为例,我们的方法以1441792次加密运算成功恢复出完整S盒表,与现有的其他逆向分析方法进行对比,新方法在故障注入次数和计算复杂度上有明显优势.进一步,我们将该方法应用于类SM4算法,并以1900544次加密运算恢复出保密S盒表.最后,我们综合考虑了分组密码算法的两种典型结构Feistel和SPN(Substitution Permutation Network)的特点,对新方法的普适性进行了讨论,总结出适用算法需具备的条件.

一种针对AES密码芯片的相关功耗分析方法

针对经典相关功耗分析过程中存在噪声等因素的影响,基于汉明重量与功耗轨迹之间存在线性相关的特性,提出一种针对AES密码芯片的相关功耗分析方法。根据密码算法S盒输出中间值汉明重量分布不均匀的特性,利用区分比将正确密钥与错误密钥进行筛选,得到与功耗轨迹相关性较强的一组明文。在密钥恢复阶段,通过观察这组明文输入找到前2个S盒的泄漏点后,利用分别猜测法逐一找出剩余14个S盒的泄漏区间,而无需遍历所有功耗轨迹即可捕获剩余字节的密钥信息。AT89S52芯片实验分析表明,采用此方法仅需9条明文和对应功耗轨迹即可以90%的成功率正确恢复出AES的单个字节密钥信息,计算复杂度仅为经典相关功耗分析的4.1%,显著提升了相关功耗分析的效率。

Android应用敏感行为与隐私政策一致性分析

隐私政策文档声明了应用程序需要获取的隐私信息,但不能保证清晰且完全披露应用获取的隐私信息类型,目前对应用实际敏感行为与隐私政策一致性分析的研究仍存在不足。针对上述问题,提出一种Android应用敏感行为与隐私政策一致性分析方法。在隐私政策分析阶段,基于Bi-GRU-CRF(Bi-directional Gated Recurrent Unit Conditional Random Field)神经网络,通过添加自定义标注库对模型进行增量训练,实现对隐私政策声明中的关键信息的提取;在敏感行为分析阶段,通过对敏感应用程序接口(API)调用进行分类、对输入敏感源列表中已分析过的敏感API调用进行删除,以及对已提取过的敏感路径进行标记的方法来优化IFDS(Interprocedural,Finite,Distributive,Subset)算法,使敏感行为分析结果与隐私政策描述的语言粒度相匹配,并且降低分析结果的冗余,提高分析效率;在一致性分析阶段,将本体之间的语义关系分为等价关系、从属关系和近似关系,并据此定义敏感行为与隐私政策一致性形式化模型,将敏感行为与隐私政策一致的情况分为清晰的表述和模糊的表述,将不一致的情况分为省略的表述、不正确的表述和有歧义的表述,最后根据所提基于语义相似度的一致性分析算法对敏感行为与隐私政策进行一致性分析。实验结果表明,对928个应用程序进行分析,在隐私政策分析正确率为97.34%的情况下,51.4%的Android应用程序存在应用实际敏感行为与隐私政策声明不一致的情况。

密码产品的侧信道分析与评估

作为一类重要的信息安全产品,密码产品中所使用的密码技术保障了信息的保密性、完整性和不可抵赖性。而侧信道攻击是针对密码产品的一类重要的安全威胁,它主要利用了密码算法运算过程中侧信息(如时间、功耗等)的泄露,通过分析侧信息与秘密信息的依赖关系进行攻击。对密码产品的抗侧信道攻击能力进行评估已成为密码测评的重要内容。该文从攻击性测试、通用评估以及形式化验证3个角度介绍了目前密码产品抗侧信道评估的发展情况。其中攻击性测试是目前密码侧信道测评所采用的最主要的评估方式,它通过执行具体的攻击流程来恢复密钥等秘密信息。后两种方式不以恢复秘密信息等为目的,而是侧重于评估密码实现是否存在侧信息泄露。与攻击性测试相比,它们无需评估人员深入了解具体的攻击流程和实现细节,因此通用性更强。通用评估是以统计测试、信息熵计算等方式去刻画信息泄露的程度,如目前被广泛采用的测试向量泄露评估(TVLA)技术。利用形式化方法对侧信道防护策略有效性进行评估是一个新的发展方向,其优势是可以自动化/半自动化地评估密码实现是否存在侧信道攻击弱点。该文介绍了目前针对软件掩码、硬件掩码、故障防护等不同防护策略的形式化验证最新成果,主要包括基于程序验证、类型推导及模型计数等不同方法。

量子计算密码攻击进展

通用量子计算机器件进展缓慢,对实用化1024-bit的RSA密码破译尚不能构成威胁,现代密码依旧是安全的.量子计算密码攻击需要探索新的途径:一是,量子计算能否协助/加速传统密码攻击模式,拓展已有量子计算的攻击能力;二是,需要寻找Shor算法之外的量子计算算法探索密码攻击.对已有的各类量子计算整数分解算法进行综述,分析量子计算密码攻击时面对的挑战,以及扩展至更大规模整数分解存在的问题.结合Shor算法改进过程,分析Shor算法对现代加密体系造成实质性威胁前遇到的困难并给出Shor破译2048位RSA需要的资源.分析基于D-Wave量子退火原理的RSA破译,这是一种新的量子计算公钥密码攻击算法,与Shor算法原理上有本质性不同.将破译RSA问题转换为组合优化问题,利用量子退火算法独特的量子隧穿效应跳出局部最优解逼近全局最优解,和经典算法相比有指数级加速的潜力.进一步阐述Grover量子搜索算法应用于椭圆曲线侧信道攻击,拓展其攻击能力.探讨量子人工智能算法对NTRU等后量子密码攻击的可能性.

基于同态代理重认证的可验证联邦聚合方法

联邦学习可以通过共享梯度参数训练模型,但在模型聚合过程中面临恶意服务器进行不诚实数据聚合的风险,同时不受信任的用户参与联邦学习还可能会毒害全局模型,模型训练过程中的可靠性和安全性受到威胁。针对联邦学习中用户不可信、聚合结果不可信等问题,首次引入同态代理重认证,提出了适用于多方聚合计算的双向认证方法,并结合双掩码技术构造了具有隐私保护、高效可信联邦学习聚合方法,不仅可以实现用户对全局模型聚合结果的正确性验证,还能够使聚合服务器完成对用户上传模型来源的可信性验证和模型完整性验证,防止攻击者恶意操控用户破坏安全聚合,同时在验证过程中不会泄露用户隐私数据。通过形式化的安全性分析证明了可验证联邦聚合方法的安全性,有效抵抗了伪造攻击和Sybil攻击,且具有良好的鲁棒性。通过仿真实验进一步表明了所提方法能够在不影响联邦训练的情况下实现聚合结果的可信性验证,且验证不会受到用户中途退出的影响。

SM4分组密码算法综述

SM4分组密码算法简称为SM4算法,为配合WAPI无线局域网标准的推广应用,SM4算法于2006年公开发布,2012年3月发布成为国家密码行业标准(标准号为GM/T 0002-2012),2016年8月发布成为国家标准(标准号为GB/T 32907-2016).介绍了SM4分组密码算法的算法流程、结构特点及其密码特性,以及SM4算法的安全性分析研究现状,并与国际标准分组算法的安全性进行了对比.

轻量级分组密码PRINCE算法的Biclique分析

PRINCE算法是Rechberger等人在2012年亚密会上提出的一个对合轻量级分组密码算法,广泛应用于资源受限的设备.PRINCE算法的分组长度为64比特,密钥长度为128比特.算法基于FX结构,一部分密钥用于核心算法PRINCEcore,剩余的密钥用作PRINCEcore前后的白化密钥.PRINCEcore算法也是一个分组密码算法,保持PRINCE算法主要的加密过程.Biclique分析是一种新的分组密码分析方法,受到密码学者的广泛关注.Abed等人利用Biclique攻击方法给出了全轮PRINCEcore算法的攻击结果,计算复杂度为2^(62.72)次加密,数据复杂度为2^(40)个选择密文.受其启发,我们也给出了PRINCE算法抗两类Biclique分析的结果.本文中,我们首先介绍了平衡Biclique和星型Biclique的结构,以及Biclique密码分析的一般流程;其次,我们简单介绍了PRINCE算法的结构.然后,我们对Abed的方法进行改进,构建了一个1轮的平衡Biclique结构,计算复杂度为2^(62.69),数据复杂度为2^(32)个选择明文,二者均优于之前的攻击结果.最后,我们也构建了一个基于星型的Biclique结构,攻击的计算复杂度为2^(63),而数据复杂度仅需一个明密文对,这是目前为止对PRINCEcore算法全轮分析数据复杂度最优的分析结果.

MIBS算法量子密码分析

随着量子计算的发展,一些分组密码可能不再安全.在ISIT 2010会议上,学者基于Simon算法提出了Feistel结构密码的3轮量子区分器,并证明能在多项式时间内求解,但该量子区分器的构建并没有考虑到密码算法的轮函数.本文研究构建与轮函数有关的量子区分器.轻量级分组密码算法MIBS的设计目标是普遍适用于资源受限的环境,如RFID标签和传感器网络.我们充分考虑了MIBS的轮函数及其线性变换的性质,由此提出了5轮量子区分器.然后我们遵循Leander和May的密钥恢复攻击框架,即Grover-meet-Simon算法,在Q2模型下对MIBS进行了7轮量子密钥恢复攻击,时间复杂度为2^(12).

NTRU格上高效紧凑密钥封装方案

基于NTRU格设计后量子密钥封装方案是格密码领域主流方向之一.为降低密文尺寸,现有方案会引入额外的困难性假设和使用纠错码来辅助压缩密文,但这会导致方案的假设过强和实现更复杂.为克服这些障碍,提出了一个仅基于NTRU单向困难性假设、不使用纠错码也能压缩密文的高效紧凑的密钥封装方案LTRU.给出一套性能均衡的LTRU参数集:具有128 b量子安全强度、与之匹配且可忽略的错误率、较小的公钥尺寸和密文尺寸.LTRU基于NTT友好环构造,给出一种高效的混合基数论变换算法来计算该环上多项式运算还给出了LTRU的C实现和AVX2实现.与NIST第3轮决赛方案NTRU-HRSS相比,LTRU的经典安全强度和量子安全强度分别增强6 b和5 b,LTRU的公钥尺寸降低14.6%,密文尺寸降低26.0%,总带宽降低20.3%;在AVX2实现的密钥生成和解封装算法上分别快了10.9倍和1.7倍.

基于Cortex-M4的CNTR/CTRU密钥封装高效实现

量子计算技术的迅猛发展对现有的公钥密码体制造成了极大的威胁,为了抵抗量子计算的攻击,后量子密码成为当前密码学界的研究热点.目前,物联网的安全问题备受关注,ARM Cortex-M4作为低功耗嵌入式处理器,被广泛应用于物联网设备中,在其上部署后量子密码算法将为物联网设备的安全提供更加可靠的保障.CNTR和CTRU是我国学者提出的NTRU格基密钥封装方案,相比于基于LWE技术路线的格基密钥封装方案在安全性和其他性能上具有综合优势,并在我国密标委得到立项.本文工作首次在ARM Cortex-M4平台上高效紧凑地实现了CNTR和CTRU方案,充分利用单指令多数据(Single Instruction Multiple Data,SIMD)指令,调整运算结构和指令安排,优化核心的多项式运算,从而在算法实现速度和堆栈空间上进行全面优化升级.本文主要工作如下:本文首次在ARM Cortex-M4上实现耗时模块多项式中心二项分布采样,采样速度提升32.49%;使用混合基数论变换(Number Theoretic Transform,NTT)加速非NTT友好多项式乘法运算,充分利用浮点单元(Floating-Point Unit,FPU)寄存器,在NTT实现中采用层融合技术,最大化减少加载和存储等耗时指令使用,使得正向NTT和逆向NTT的速度分别提升84.24%、81.15%;通过NTT过程系数范围分析进行延迟约减,进而减少约减次数,并使用改进的Barrett约减和Montgomery约减技术实现降低约减汇编指令条数;使用循环展开技术实现多项式求逆,优化多项式求逆这一耗时过程,速度优化率为68.85%;针对解密过程中的非NTT友好素数模数多项式环乘法,采用多模数NTT和中国剩余定理(Chinese Remainder Theorem,CRT)结合的方法进行加速,完成解密过程96.26%的速度提升;使用空间复用的方法优化堆栈空间,CNTR和CTRU的堆栈空间分别减少了29.86%、28.17%.实验结果表明:提出的优化技术大幅提升了算法实现效率,与C参考实现相比,CNTR和CTRU的整体速度优化率分别为85.54%、85.56%.与其他格基密钥封装方案最新ARM Cortex-M4实现相比,本文的优化实现在速度、空间和安全性上具有综合性的优势.

抗随机数后门攻击的密码算法

迄今为止,大多数密码原语的安全性都依赖于高质量的不可预测的随机数.密码学中,通常用伪随机数生成器(pseudorandom number generator,简称PRNG)生成随机数.因此,密码算法中所用的PRNG的安全性将直接影响着密码算法的安全性.然而,近年来,越来越多的研究结果表明:在实际应用中,很多人为因素会导致PRNG生成的随机数是不随机或可预测的,称这种不安全的PRNG为有后门的PRNG(backdoored pseudorandom number generator,简称BPRNG).BPRNG最典型的例子是双椭圆曲线伪随机数生成器(dual elliptic curves pseudorandom number generator,简称Dual EC PRNG),其算法于2014年被曝出存在后门.BPRNG的出现,使密码算法的研究面临着新的挑战.因此,研究抗随机数后门攻击的密码算法显得尤为重要.首先概述了抗随机数后门攻击密码算法的研究背景,然后着重对已有抗随机数后门攻击密码算法进行了总结和梳理.

后量子对称密码的研究现状与发展趋势

经典对称密码算法的安全性在量子环境下面临严峻的挑战,促使研究者们开始探寻在经典和量子环境下均具有安全性的密码算法,后量子对称密码研究应运而生。该领域的研究目前仍处于初级阶段,尚未形成完整的体系。该文对现有的研究成果进行归类,从量子算法、密码分析方法、安全性分析、可证明安全4个方面对后量子对称密码领域的研究现状进行介绍。在分析研究现状的基础上,对后量子对称密码的发展趋势进行预测,为对称密码在量子环境下的分析和设计提供参考。

从演化密码到量子人工智能密码综述

如何采用人工智能设计出高强度密码和使密码设计自动化是人们长期追求的目标.中国学者将密码学与演化计算结合,借鉴生物进化的思想独立提出演化密码的概念和用演化计算设计密码的方法,得到可变渐强的密码,减少攻击所需搜索空间的量级.国内外研究表明:演化密码已经在对称密码、非对称密码领域、侧信道攻击以及后量子密码等领域均取得了实际成果:可在1 min内设计出一百多个好S盒(8×8),其中一些密码学指标达到最佳值;对于典型的后量子密码NTRU密码体制,演化密码攻击有望降低密钥搜索空间2~3个数量级;部分ECC安全曲线产生基域范围超过NIST现已公布的曲线;并在NIST现已公布的曲线范围内又发现了新的曲线.演化密码已具备人工智能密码的一些特征,进一步结合量子人工智能,不仅取得了目前国际上量子计算破译RSA最好实验指标,超过了最新IBM Q系统,如果运行Shor算法的理论最大值,也超过了洛克希德马丁公司采用量子退火破译RSA的最大规模;提出了量子计算机设计密码的原创性理论成果,完成了国际上首次D-Wave 2000Q真实量子计算机密码设计,有望快速产生一系列亚优解,达到一次一密码算法的作用,增强密码系统安全性.

GIFT密码算法的二阶门限实现及其安全性评估

目前已知GIFT算法的防护方案仅能抗一阶功耗攻击。为了使该算法能抵御高阶功耗攻击,利用GIFT算法的数学结构,结合门限实现方法,构造了GIFT算法的二阶门限实现方案;针对非线性部件S盒的数学特征,分别构建(3,9),(6,7)以及(5,10)等二阶门限实现方案,并选取所需硬件资源最少的(3,9)方案,将其在FPGA平台下实现。在实现时,为了更好地分析对比所耗硬件资源,使用并行和串行的硬件实现方法。结果表明,在Nan Gate 45nm工艺库下,并行实现消耗的总面积为12 043 GE,串行实现消耗的总面积为6 373 GE。通过采集实际功耗曲线,利用T-test对该二阶门限实现方案进行侧信息泄露评估,证实了该二阶门限实现方案的安全性。