基于白盒CLEFIA实现的软件防篡改方案

2002年,CHOW等人根据数字版权管理(Digital Rights Management,DRM)应用场景定义了白盒攻击环境的概念,并将其模型化为一种极端的攻击模型,即白盒模型。白盒模型颠覆了以往攻击模型中对攻击者能力的诸多限制,从软件保护角度考虑,攻击者被认为拥有对目标软件及其执行的完全控制权。因此,在白盒模型中,数字版权管理系统中的设备,如智能卡、机顶盒等都存在被攻击者篡改的可能。文章基于CLEFIA算法的白盒实现方案,为数字版权管理系统提供一种软件防篡改方案。该方案将软件的二进制代码文件所解释的查找表隐藏在CLEFIA算法的白盒实现方案的查找表集合中,使软件的防篡改安全性与CLEFIA算法的白盒实现方案的加解密正确性结合在一起。一旦软件发生篡改,CLEFIA算法的白盒实现方案的加解密结果将产生错误。CLEFIA算法白盒实现方案的明密文对也将发生变化,而攻击者很难对其进行修复。

针对AES和CLEFIA的改进Cache踪迹驱动攻击

通过分析"Cache失效"踪迹信息和S盒在Cache中不对齐分布特性,提出了一种改进的AES和CLEFIA踪迹驱动攻击方法。现有攻击大都假定S盒在Cache中对齐分布,针对AES和CLEFIA的第1轮踪迹驱动攻击均不能在有限搜索复杂度内获取第1轮扩展密钥。研究表明,在大多数情况下,S盒在Cache中的分布是不对齐的,通过采集加密中的"Cache失效"踪迹信息,200和50个样本分别经AES第1轮和最后1轮分析可将128bit AES主密钥搜索空间降低到216和1,80个样本经CLEFIA第1轮分析可将128bit CLEFIA第1轮扩展密钥搜索空间降低到216,220个样本经前3轮分析可将128bit CLEFIA主密钥搜索空间降低到216,耗时不超过1s。

CLEFIA密码的Square攻击

该文根据CLEFIA密码的结构特性,得到了Square攻击的新的8轮区分器,并指出了设计者提出的错误8轮区分器。利用新的8轮区分器对CLEFIA密码进行了10到12轮的Square攻击,攻击结果如下:攻击10轮CLEFIA-128\192\256的数据复杂度和时间复杂度分别为297和292.7;攻击11轮CLEFIA-192\256的数据复杂度和时间复杂度分别为298和2157.6;攻击12轮CLEFIA-256的数据复杂度和时间复杂度分别为298.6和2222。攻击结果表明:在攻击10轮CLEFIA时,新的Square攻击在数据复杂度和时间复杂度都优于设计者给出的Square攻击。

对8轮CLEFIA算法的一种现实攻击

CLEFIA算法是SONY公司在2007年的快速软件加密大会上提出的一个分组密码算法.研究了CLEFIA算法的等价结构,并找到了它的一个5轮区分器.基于5轮区分器,利用中间相遇攻击方法对6/7/8轮的CLEFIA算法进行了攻击.攻击复杂度都比较小,其中对于6轮和7轮的攻击在普通PC机上不到1秒钟就可恢复密钥,8轮的攻击在高性能计算机上也是可以实现的.

对CLEFIA算法的饱和度分析

评估了2007年提出的分组加密算法CLEFIA抗饱和度分析的强度。指出并改正了CLEFIA的设计者Shirai等人提出的8圈区分器的错误。将白化密钥和子密钥结合,并利用分别征服策略减少需要猜测的密钥个数,采用"部分和"技术以降低时间复杂度。从而,将对10圈CLEFIA的饱和度攻击扩展到11圈的CLEFIA-128/192/256。此外,该攻击还可应用到12圈的CLEFIA-192/256和13圈的CLEFIA-256。

CLEFIA-128/192/256的不可能差分分析(英文)

对分组密码算法CLEFIA进行不可能差分分析.CLEFIA算法是索尼公司在2007年快速软件加密大会(FSE)上提出来的.结合新发现和新技巧,可有效过滤错误密钥,从而将算法设计者在评估报告中给出的对11圈CLEFIA-192/256的攻击扩展到11圈CLEFIA-128/192/256,复杂度为2103.1次加密和2103.1个明文.通过对明文附加更多限制条件,给出对12圈CLEFIA-128/192/256的攻击,复杂度为2119.1次加密和2119.1个明文.而且,引入一种新的生日筛法以降低预计算的时间复杂度.此外,指出并改正了Tsunoo等人对12圈CLEFIA的攻击中复杂度计算方面的错误.

CLEFIA-128算法的不可能差分密码分析

研究13轮CLEFIA-128算法,在9轮不可能差分攻击的基础上,提出一种未使用白化密钥的不可能差分密码分析方法。猜测每个密钥,筛选满足轮函数中S盒输入输出差分对的数据对。利用轮密钥之间的关系减少密钥猜测量,并使用Early Abort技术降低计算复杂度。计算结果表明,该方法的数据复杂度和时间复杂度分别为2120和2125.5。

四分组类CLEFIA变换簇抵抗差分密码分析的安全性评估

差分密码分析是针对分组密码的强有力的攻击方法,估计分组密码抵抗差分密码分析的能力是分组密码安全性评估的重要内容之一.基于实际应用背景,提出了"四分组类CLEFIA变换簇"的概念,并利用变换簇中两种特殊分组密码结构的差分对应之间的关系,给出了变换簇中所有密码结构抵抗差分密码分析的安全性评估结果.

嵌套代替-扩散网络的CLEFIA结构零相关线性逼近的构造

零相关线性分析是一种新的分组密码分析方法。进行零相关线性分析首先需要构造相关系数为0的线性逼近。该文研究了嵌套代替-扩散(SP)的CLEFIA结构相关系数为0的线性逼近构造问题,给出了该结构的一类新的(4n+1)轮零相关线性逼近的构造算法。利用该方法可以给出9轮CLEFIA算法的大量零相关线性逼近。

CLEFIA不可能差分路径构造方法研究

本文主要依据CLEFIA算法扩散变换的有关性质研究了CLEFIA算法不可能差分路径的构造方法,得到了该算法的9轮不可能差分;经过分析和论证指出,文献[7]给出的CLEFIA的9轮不可能差分并不是新的不可能差分。本文使用不可能差分归一化方法分析CLEFIA算法整体结构,得出的不可能差分路径与CLEFIA算法评估报告一致。

针对CLEFIA的多字节差分故障分析

研究CLEFIA分组密码对多字节差分故障分析的安全性,给出CLEFIA分组密码算法及故障分析原理。根据在第r轮、r-1轮、r-2轮注入多字节故障的3种条件,提出一种新的针对CLEFIA的多字节故障模型及分析方法。通过仿真实验进行验证,结果表明,由于其Feistel结构和S盒特性,CLEFIA易遭受多字节故障攻击,68个错误密文可恢复128 bit的CLEFIA密钥。

对低轮CLEFIA分组密码的碰撞-Square攻击

CLEFIA是由SONY公司最近开发研制的一种高效率,高度安全的分组加密算法.该算法采用广义Feis-tel结构,本文给出了CLEFIA的一个等价结构图,把碰撞攻击和Square攻击的思想相结合成功分析了6轮CLEFIA,在普通PC机上两个小时之内即可完全恢复密钥.

CLEFIA算法的一种新型白盒实现

针对苏帅等人以干扰项技术实现的白盒CLEFIA算法的不足,采用MICHIELS等人的分析方法,可以在不超过2.5×229的时间复杂度内恢复出主密钥。为保证CLEFIA算法在白盒攻击环境中安全运行,提出一种基于查找表技术的CLEFIA算法的白盒实现方案。该方案需占用内存空间36.034 MB,方案中两类查找表对应的白盒多样性的值分别为2829和2813,且针对仿射等价算法的时间复杂度可以达到O(276)。该方案可以有效地抵抗代码提取攻击密钥提取攻击、MICHIELS等人的攻击以及MULDER等人的攻击。

CLEFIA算法的研究与改进

CLEFIA算法是两种国际标准化的轻量级分组密码之一,它在资源受限环境下具有重要的应用价值。文中针对CLEFIA-128算法需要5轮才能基本实现雪崩效应、扩散效果并不明显的问题,以及每一轮中两个轮函数的设计方式导致的软、硬件实现效率降低的问题,从加密结构和轮函数上对该算法进行了改进。测试表明改进后的算法只要4轮就能基本实现雪崩效应,差分、线性和不可能差分分析表明改进后算法的安全性有了提高,而且算法的软、硬件实现效率也有了明显提高。

CLEFIA-256算法的Biclique攻击

针对CLEFIA-256分组密码算法在Biclique攻击与中间相遇攻击下的安全性进行研究。分析了CLEFIA-256加密算法与其密钥扩展算法扩散性的特点,基于中间密钥向量与主密钥的双射对应关系对密钥空间进行了划分。同时利用密钥扩展算法奇数轮所产生的子密钥仅与中间密钥向量直接相关的特点,构造了一个2轮8维的Biclique结构,结合算法结构特点所决定的一个5轮中间相遇区分器,对全轮CLEFIA-256算法进行了Biclique攻击。对攻击算法的复杂度进行了分析,其所需的数据复杂度为264个已知明文,存储复杂度为213.010Byte,计算复杂度为2^(255.279)次全轮CLEFIA-256加密,成功率为1。最后给出了全轮CLEFIA-256算法的中间相遇攻击结果,其数据复杂度为2个已知明文,存储复杂度为25.907Byte,计算复杂度为2^(255.323)次全轮CLEFIA-256加密。

CLEFIA算法的不可能差分密码分析

为研究分组密码CLEFIA抵抗不可能差分攻击的能力,使用了两类9轮不可能差分路径,给出了相关攻击结果。基于一条9轮不可能差分路径,利用轮函数中S盒差分分布表恢复密钥,攻击了11轮的CLEFIA。改进了关于14轮的CLEFIA-256的不可能差分攻击的结果,将数据复杂度降低到2104.23,时间复杂度降低到2221.5。同时,在两条不可能差分的基础上,根据轮密钥之间的关系,使用Early-abort技术和S盒差分分布表,分别给出12轮CLEFIA-128和13轮CLEFIA-128的不可能差分攻击。

一种新的CLEFIA多字节差分故障分析方法

阐述了CLEFIA分组密码算法及故障分析原理,根据在CLEFIA密码第r轮与第（r-2）轮注入多字节故障,提出了一种新改进的针对CLEFIA的多字节故障模型及分析方法,并通过软件仿真实验进行了验证。结果表明,CLEFIA算法的Feistel结构和差分S盒特性使其易遭受多字节故障攻击,而改进算法使得密钥的恢复效率大大提高。

类CLEFIA动态密码结构抵抗差分密码分析能力评估

将动态思想融入分组密码设计,使得算法具有动态性能从而提高抗攻击能力,按照这种想法,本文提出“类CLEFIA动态密码结构”,并通过建立两类不同密码结构的差分对应之间的联系,给出类CLEFIA动态密码结构的差分密码分析结果.具体地,对4r(r≥1)轮类CLEFIA动态密码结构,在轮函数都是双射时,证明了l(l≥1)轮差分特征至少有l-1个活动轮函数.

CLEFIA-128算法的不可能差分密码分析

为研究分组密码CLEFIA-128抵抗不可能差分攻击的能力,基于一条9轮不可能差分路径,分析了13轮不带白化密钥的CLEFIA-128算法。利用轮函数中S盒差分分布表恢复部分密钥,利用轮密钥之间的关系减少密钥猜测量,并使用部分密钥分别猜测(Early Abort)技术有效地降低了复杂度。计算结果表明,该方法的数据复杂度和时间复杂度分别为O(2103.2)和O(2124.1)。

Sandwich-Boomerang attack on reduced round CLEFIA

CLEFIA(named after the French word "Clef" meaning "Key") is an efficient,highly secure block cipher proposed by SONY Corporation in the 14 th International Workshop on Fast Software Encryption(FSE-2007) and many cryptanalyses have been used to analyze it.According to the property of CLEFIA,a new technique Sandwich-Boomerang cryptanalysis is used on it.An 8-round Sandwich-Boomerang distinguisher of CLEFIA is constructed using the best differential characteristic of CLEFIA.And then,based on the distinguisher,an attack against 10-round CLEFIA is proposed.The number of chosen plaintexts required is 2^(119)(or 2^(120)) and the time complexity is 2^(120)(or 2^(121)).Compared with a 7-round impossible Boomerang distinguisher presented by Choy in the 4th International Workshop on Security(IWSEC-2009),the differential characteristics used in the attack are all the best ones,so it is believed that the attack is the best result that the Boomerang attacks can get on CLEFIA at present.