故障模型下MORUS算法的差分扩散性质研究

MORUS算法是由H.Wu等人设计的一类认证加密算法,目前已顺利进入CAESAR竞赛第3轮竞选.研究MORUS算法故障模型下的差分扩散性质.采用面向比特的随机故障模型,结合差分分析技术与中间相遇思想,改进了针对MORUS算法的差分链搜索算法.运用该算法找到了5步概率为2^(-85)的差分链,从而实现了对初始化过程5步的简化版MORUS-640-128算法的差分-区分攻击,攻击所需的数据量和区分优势分别为2^(89)和0.99965.最后,利用差分故障分析方法对认证过程3步的简化版MORUS-640-128算法进行了伪造攻击.

AEGIS算法的弱状态分析

AEGIS算法是进入CAESAR竞赛(Competition for Authenticated Encryption:Security,Applicability,and Robustness)第三轮评选的认证加密算法.根据内部状态和密钥长度的不同,设计者推荐了三个AEGIS系列算法:AEGIS-128、AEGIS-256和AEGIS-128L.本文分别给出AEGIS-256和AEGIS-128L算法一组新的弱状态,对应出现的概率远优于现有分析结果.在此基础上,针对AEGIS-256算法,本文实现了对算法的伪造攻击,并给出内部状态与各自的明文对应,使得产生的认证标签为全0;针对AEGIS-128L算法,本文得到了算法在弱状态下的信息泄漏规律.最后对AEGIS系列算法弱状态的成因进行分析,给出了具体的设计及使用建议.目前,除设计报告外尚无对AEGIS算法的弱状态的分析,因此该文对CAESAR竞选有重要意义.

MORUS算法的抗碰撞性分析

MORUS算法是CAESAR竞赛第3轮的候选认证加密算法之一,该文评估了MORUS-640-128算法对碰撞攻击的安全性。由碰撞关系确定一系列非线性方程,采用分块分析的方法,从非线性方程中找到消息字差分间的信息泄漏规律,首次给出了算法在两步后发生碰撞的必要条件集,确定了输入差分的字分布情况。在此基础上,将碰撞的必要条件转化成伪布尔函数最优化问题,利用混合整数规划模型进行求解。实验结果显示算法发生碰撞时,输入差的汉明重量至少为28,其碰撞概率小于1402-,得到了比文献[7]更紧致的概率上界(原为1302-)。结果表明MORUS-640-128算法具备良好的抗碰撞攻击能力。

MORUS算法初始化过程的混乱与扩散性质研究

MORUS算法是已进入CAESAR竞赛第二轮评选的一个基于流密码的认证加密算法,研究算法的混乱与扩散性质对于评估其安全性来说十分必要.本文首次从完全性和差分扩散性两个角度对MORUS算法初始化过程的混乱与扩散性质进行了研究.我们首先研究了MORUS-640-128的完全性,得到算法输出密钥流和内部状态达到完全性的步数下界分别为4步和6步.利用此性质,我们对3步简化版MORUS-640-128进行了差分-区分攻击和密钥分割攻击.其中,差分-区分攻击仅需2个选择IV就能以0.999985的区分优势完成攻击;密钥分割攻击需要110个选择IV,能以99.8%的成功率恢复全部128比特初始密钥,计算复杂度为O(2^(106.8)).结合完全性算法,本文提出了改进的差分自动推演算法,并对4步简化版MORUS-640-128进行了差分-区分攻击,攻击所需的数据量和区分优势分别为2105和0.999665.上述攻击均是首次针对MORUS算法的安全性分析结果,对其初始化过程的设计有一定的参考意义.