ARIA算法的一个新不可能差分路径及相应攻击

分组密码算法ARIA在输入差分有两个字节非零时,经过连续的2轮加密之后,输出差分的某两个字节相等利用这一性质,构造了一条新的4轮不可能差分路径,通过对该路径构造2轮前置路径和1轮后置路径,得到7轮不可能差分路径,实现了对ARIA-256的7轮不可能差分分析.利用算法的混淆层及扩散层的性质进行密钥猜测,推导出各密钥块之间的关系.最后利用早夭技术计算攻击复杂度,该攻击需要数据复杂度为2119和大约2216次7轮加密运算.这与现有的ARIA不可能差分研究成果对比,该攻击减少了时间复杂度.

改进的MIBS-64算法积分分析研究

MIBS算法是2009年在CANS会议上提出的轻量级分组密码,其目标是应用于极其有限的资源环境,例如RFID标签和传感器网络.它基于32轮Feistel结构、分组长度64比特,包含64比特、80比特两种主密钥长度.本文基于该算法的密钥编排中第1轮到第11轮子密钥之间存在部分重复和等价关系,给出了一类5轮积分区分器.在此积分区分器的基础上,向前加3轮,向后加3轮,首次完成了MIBS-64的11轮积分攻击.攻击数据复杂度为2^58,时间复杂度为2^59.75次11轮加密,攻击成功概率为100%.该结果可以类似地推广到MIBS-80.

有限域F_(p^n)上与逆函数仿射等价的密码函数计数问题

分组密码的安全性主要依赖于S盒(向量值密码函数)的各项安全性指标.分组密码S盒的最优选择就是差分均匀度为4的向量值密码函数.逆函数是最著名的差分均匀度为4各项安全性指标均优良的向量值函数.著名的AES分组密码算法、Camellia分组密码算法、CLEFIA分组密码算法和SMS4分组密码算法均采用有限域F28上与逆函数仿射等价的向量值函数作为S盒.目前对于与逆函数仿射等价S盒的研究,主要侧重于研究分组密码算法经过多轮后活跃S盒的数量.与以往的研究角度有所不同,该文要研究有限域F_(p^n)上与逆函数仿射等价向量值密码函数的计数问题.若能计算出与逆函数仿射等价密码函数的数量,在实际应用中就知道有多少个与逆函数仿射等价的S盒可供算法设计者选择.将有限域F_(2~n)上的逆函数推广成有限域F_(p^n)上的逆函数,其中p≥2是一个素数,这是一个更为一般的逆函数.首先,该文定义(T_1,R_1)和(T2,R_2)之间的运算"*"为(T2,R_2)*(T_1,R_1)··=■,其中(T_1,R_1),(T2,R_2)∈Aff_n^(-1)(F_q)×Aff_n^(-1)(F_q),Aff_n^(-1)(F_q)是有限域F_q上的n×n阶可逆仿射变换群,q=p^m,p≥2是一个素数,m≥1是一个正整数,"■"表示映射的合成.证明了Aff_n^(-1)(F_q)×Aff_n^(-1)(F_q)关于运算"*"是一个群;使得等式F=■成立的可逆仿射变换对(V,W)∈Aff_n^(-1)(F_q)×Aff_n^(-1)(F_q)关于运算"*"是Aff_n^(-1)(F_q)×Aff_n^(-1)(F_q)的一个子群.然后,利用以上结论和有限域的一些性质证明了,当p≥3且n≥2时,或者p=2且n≥4时,对于有限域F_(p^n)上的逆函数F(x)=x^(-1)=x^(p^n-2),使得等式F=■成立的可逆仿射变换μ和ν线性化多项式的形式只能是μ(x)=S_tx^(p^t)和ν(x)=S_t^(p^n-t) x^(p^n-t),0≠St∈F_(p^n),t=0,1,…,n-1.于是,使得等式F=■成立的所有可逆仿射变换对(ν,μ)的数量为n(p^n-1).利用这些可逆仿射变换对(ν,μ)所形成的子群对群Aff_n^(-1)(Fp)×Aff_n^(-1)(Fp)划分等价类,商集中陪集首的个数即为与逆函数仿射等价密码函数的数量.因此,在这种情况下,与逆函数仿射等价密码函数的数量为■.最后,当p=2且n=3时,对于有限域F_2~3上的逆函数F(x)=x^(-1)=x^(2^3-2),利用计算机作为辅助手段测试出使得等式F=■成立的可逆仿射变换对(ν,μ)的数量为168.利用这些可逆仿射变换对(ν,μ)所形成的子群对群Aff_3^(-1)(F2)×Aff_3^(-1)(F2)划分等价类,商集中陪集首的个数即为与逆函数仿射等价密码函数的数量.因此,在这种情况下,与逆函数仿射等价密码函数的数量为10 752.研究结果表明,在实际应用中,有限域F2~8上有■个与逆函数仿射等价的密码函数可作为分组密码的S盒使用.

MIBS-64算法的三子集中间相遇攻击

MIBS算法于2009年在CANS会议上提出,是一个32轮Feistel结构、64比特分组长度以及包含64比特、80比特两种主密钥长度的轻量级分组密码.针对该算法密钥编排中第1轮到第11轮子密钥之间存在部分重复和等价关系,本文首次完成了MIBS-64的11轮三子集中间相遇攻击,数据复杂度为2^[47],存储复杂度为2^[47]64-bit,时间复杂度为2^[62.25]次11轮加密.与目前已有的对MIBS-64算法的中间相遇攻击相比,将攻击轮数由10轮扩展至11轮,刷新了该算法在中间相遇攻击下的安全性评估结果.

格上无证书代理重签名

代理重签名作为一种特殊的数字签名,在电子认证和电子商务方面越来越重要.格密码作为抵抗量子攻击密码体制的代表之一,具有更高的安全性和更高的计算效率,因此基于格出现了一系列代理重签名方案.Tian M M给出了拥有较高效率的身份基代理重签名方案,但该方案中代理重密钥需要委托者和受托者的私钥才能生成,且需要基于身份密钥托管.本文针对这两点不足进行改进,利用无抽样技术和格上的陷门生成算法、原像取样算法,构造了效率较高的格上无证书代理重签名方案.在随机预言机模型下证明了新方案的正确性,并且基于小整数解问题SIS的困难性证明了新方案对外部攻击和内部攻击在选择身份和选择消息下是存在不可伪造的.与已有格上的代理重签名相比,该方案能抵抗中间人攻击,具有更好的安全性和较高的效率.

Broadcast encryption schemes based on RSA

Three broadcast schemes for small receiver set using the property of RSA modulus are presented. They can solve the problem of data redundancy when the size of receiver set is small. In the proposed schemes, the center uses one key to encrypt the message and can revoke authorization conveniently. Every authorized user only needs to store one decryption key of a constant size. Among these three schemes, the first one has indistinguishability against adaptive chosen ciphertext attack （IND-CCA2） secure, and any collusion of authorized users cannot produce a new decryption key but the sizes of encryption modulus and ciphertext are linear in the number of receivers. In the second scheme, the size of ciphertext is half of the first one and any two authorized users can produce a new decryption key, but the center can identify them using the traitor tracing algorithm. The third one is the most efficient but the center cannot identify the traitors exactly.

Cryptanalysis of dragon scheme

Patarin proposed the dragon scheme, pointed out the insecurity of the dragon algorithm with one hidden monomial and suggested a candidate dragon signature algorithm with a complicated function. This paper presents an algebraic method to attack the candidate dragon signature algorithm. The attack borrows the basic idea of the attack due to Kipnis and Shamir, and utilizes the underlying algebraic structure of the candidate dragon signature algorithm over the extension field to derive a way to enable the variable Y be viewed as a fixed value. The attack recovers the private keys efficiently when the parameters are n≤2s and D=[logq^d]≤3.