LBlock码的不可能差分密码性能分析

该文分析研究了LBlock分组密码算法的不可能差分性质。基于LBlock算法的轮函数结构和部分密钥分别猜测技术,给出了21轮和22轮的LBlock算法的不可能差分分析方法。攻击21轮LBlock算法所需的数据量约为262,计算量约为262次21轮加密;攻击22轮LBlock算法所需的数据量约为262.5,计算量约为263.5次22轮加密。与已有的结果相比较,分析所需的计算量均有明显的降低,是目前不可能差分分析攻击LBlock的最好结果。

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.

LBlock 中间状态的代数表示及其侧信道攻击

LBlock是吴文玲和张蕾在ACNS2011上提出的轻量级分组密码,目前未见对该体制的公开的密码分析文章。用符号计算软件Mathematica7.0得到了LBlock第三轮输出的最低比特的代数表达式（以明文和主密钥比特为自变量）。该代数表达式只与8比特密钥和9比特明文有关,可以用于对LBlock在单比特泄露模型下的侧信道攻击。模拟实验表明,假设第三轮输出的最低比特泄露,则用8个已知明文,85%的概率下可以恢复6~7比特密钥。

1～5轮LBlock的多项式表示及完全性分析

用统计测试方法分析密码算法的完全性存在误差。为此,利用符号计算软件Mathematica 7.0,以明文和密钥比特为自变量,得到LBlock分组密码第1轮～第5轮输出的多项式表达式,结果显示,LBlock第5轮输出的任何比特至多与45个明文比特、49个密钥比特有关,说明5轮LBlock还未达到完全性。

对LBlock算法的多重零相关线性分析

为了降低对LBlock进行零相关线性分析所需的数据复杂度,提出了对LBlock进行多重零相关线性分析的方法,证明了14轮LBlock存在26条零相关线性逼近,并给出了其具体构造.利用26条14轮零相关线性逼近为区分器,并基于正态分布的概率计算模型对22轮LBlock进行了多重零相关线性攻击,攻击的数据复杂度约为263.45个已知明文,计算复杂度约为276.27次22轮LBlock加密,成功实施攻击的概率为0.85.结果表明,该方法有效解决了需要利用整个明文空间对LBlock进行零相关线性分析的问题.

对轻量级分组密码算法LBlock的差分故障攻击

本文首先分析差分故障攻击的故障模型与原理,利用S盒的差分不均匀性,通过建立输入差分、输出差分和可能输入值之间的对应关系,给出差分故障分析的优化方案,实现快速归约,提高差分故障攻击的效率.本文通过对LBlock算法建立对应关系,可以快速直观缩小输入值取值空间,进而快速确定对应扩展密钥.对于不同故障值(输入差分),对应的输出差分和可能输入值均不相同,可以得到二元关系集合.由于轻量级分组密码S盒多为4×4 S盒,该集合中元素较少,注入少量不同故障值,通过查表,对可能输入值取交集即可快速确定唯一可能输入值.将优化方案应用于LBlock轻量级分组密码算法,在最后一轮输入处注入2次宽度为16 bit的故障可恢复最后一轮轮密钥,然后将状态回推一轮,在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥.根据密钥扩展方案,恢复两轮轮密钥后将恢复主密钥的计算复杂度降为2^(19).

LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^(65.2)和2^(65.6)个选择明文,计算复杂度分别为2^(66.2)次23轮LBlock算法加密和2^(66.6)次24轮LBlock算法加密,存储复杂度分别为2^(61.2)和2^(77.2)字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.

LBlock算法的相关密钥不可能飞来去器分析

研究了相关密钥不可能飞来去器分析方法及轻量级分组密码算法LBlock在该分析方法下的安全性。将不可能飞来去器分析方法和相关密钥分析方法相结合,针对22轮LBlock给出了新的攻击。构造了15轮的相关密钥不可能飞来去器区分器,通过向前扩展3轮,向后扩展4轮,成功攻击了22轮LBlock。该攻击的数据复杂度仅为2^(51.3)个明文,计算复杂度为2^(71.54)次22轮加密。与已有结果相比,攻击的数据复杂度和计算复杂度均有明显下降。

LBlock算法的改进中间相遇攻击

LBlock算法是2011年在ACNS会议上提出的轻量级分组密码算法,目前已存在17轮、19轮LBlock算法的中间相遇攻击.文中评估LBlock算法在预建表中间相遇攻击下的安全性.预建表中间相遇攻击提出并发展于AES算法(高级加密标准)的安全性分析,是近些年密码分析中的一个研究热点.预建表中间相遇攻击属于典型的区分器类攻击,包含离线和在线两个阶段.文中通过综合离线阶段区分器的建立过程和在线阶段密钥的恢复过程,利用程序搜索LBlock算法有效区分器与对应初始密钥的最优攻击参数.结果表明,LBlock算法存在11轮区分器,21轮LBlock算法不抵抗预建表中间相遇攻击,攻击的数据复杂度仅为2^(34.1)选择明文,计算复杂度为2^(75.8)次21轮加密,存储复杂度为2^(74.8)个64比特块.与LBlock算法已有中间相遇攻击相比,文中将攻击轮数由19轮扩展至21轮,刷新了LBlock算法在中间相遇攻击下的安全性评估结果.与不可能差分、积分分析等其他分析结果相比,文中攻击具有显著的低数据复杂度,在实际攻击环境下具有重要意义.此外,为了提高LBlock密钥扩展算法的扩散速度,汪艳凤等人提出了一种新的密钥扩展算法.文中评估了采用新的密钥扩展算法的LBlock在预建表中间相遇攻击下的安全性,并成功得到了复杂度优于穷举搜索的20轮攻击,结果显示新的密钥扩展算法以1轮的优势增强了LBlock算法抵抗此类攻击的能力.

轻量级分组密码Lblock算法的Nibble积分攻击

Lblock算法是2011年提出的一种轻量级分组密码密码算法,在有限的环境下得到广泛使用.积分攻击是一种有效的密码分析方法,对于Lblock算法的基于比特的积分攻击,可以先构建8轮区分器,再向前做4轮高阶积分扩散,然后在积分区分器后加上5轮做17轮积分攻击,但是攻击轮数较少,且攻击复杂度较高,本文是在基于字节的积分攻击也是首先构建8轮区分器,再向前做6轮高阶积分扩散,构造14轮区分器,在积分区分器后面加7轮,猜测部分密钥,对其进行解密,做21轮积分攻击,时间复杂度降低.然后结合不同的对Lblock算法的攻击方法,对其进行比较,积分攻击在尽可能多的轮数下,时间复杂度降低.

针对LBlock算法的踪迹驱动Cache攻击

LBlock是一种轻量级分组密码算法,其由于优秀的软硬件实现性能而备受关注。目前针对LBlock的安全性研究多侧重于抵御传统的数学攻击。缓存(Cache)攻击作为一种旁路攻击技术,已经被证实对密码算法的工程实现具有实际威胁,其中踪迹驱动Cache攻击分析所需样本少、分析效率高。为此,根据LBlock的算法结构及密钥输入特点,利用访问Cache过程中密码泄露的旁路信息,给出针对LBlock算法的踪迹驱动Cache攻击。分析结果表明,该攻击选择106个明文,经过约27.71次离线加密时间即可成功恢复LBlock的全部密钥。与LBlock侧信道立方攻击和具有Feistel结构的DES算法踪迹驱动Cache攻击相比,其攻击效果更明显。

LBlock的中间相遇攻击

基于LBlock算法的轮函数结构,给出16轮和17轮的LBlock分组密码算法的中间相遇攻击方法.攻击16轮LBlock算法所需的数据量约为232,计算量约为244.5次16轮加密;攻击17轮LBlock算法所需的数据量约为232,计算量约为255.5次17轮加密.攻击结果表明,17轮的轮LBlock算法对中间相遇攻击是不免疫的.

多维零相关线性分析模型的改进及在23轮LBlock-s算法中的应用

基于相关性为零的线性逼近的多维零相关线性密码分析是目前最重要的分组密码分析手段之一.该文主要对多维零相关线性分析模型的密钥恢复阶段进行了深入的研究,通过定义等价密钥的距离来刻画等价密钥在压缩表达式中的位置关系,进一步约简区分器候选集合同时优化密钥猜测顺序,从而改进了原有的多维零相关线性分析的攻击模型.改进的模型首先找到所有最长的多维零相关线性区分器,然后利用密钥编排算法求得密钥恢复阶段所涉及的独立猜测密钥量,以此筛选区分器候选集合.最后,根据等价密钥的距离对候选区分器进行再次筛选,同时得到相应的密钥猜测顺序.LBlock-s算法是CAESAR竞赛中所提交的认证加密算法LAC的核心分组算法.与Lblock算法不同,LBlock-s采用具有更快混淆速度的密钥编排算法.基于改进的优化模型,该文分析了该算法抵抗多维零相关线性攻击的能力.研究表明,攻击23轮LBlock-s算法所需的数据复杂度为2^(62.3)个选择明文,时间复杂度为2^(73.75)次23轮LBlock-s加密,存储复杂度为2^(56)字节.这是目前针对LBlock-s算法的最优攻击结果.

简化轮LBlock的密钥中比特检测及分析

LBlock密码算法是近来提出的一类轻量级分组加密算法。利用LBlock算法的结构特点,结合立方检测的基本思想,设计2个密钥中比特捕获算法,对LBlock算法输出所涉及的密钥比特个数情况进行分析。9轮简化LBlock的每个输出比特全部卷入所有的主密钥比特信息,在18维立方变元下,11轮简化LBlock的输出累加中每个比特全部卷入所有的主密钥比特信息。上述2轮简化LBlock均不存在密钥中比特。研究结果表明,全轮LBlock密码算法具有稳固的密钥信息扩散及混淆性,足以抵抗经典立方攻击。

LBlock算法的基于比特积分攻击

对分组密码算法LBlock在基于比特积分攻击下的安全性进行了分析,利用基于比特的积分攻击思想,构造了8轮积分区分器,并向前扩展到12轮,基于该区分器对17轮算法进行了积分攻击,给出了攻击算法,攻击的计算复杂度约为263.7。

扩展的代数侧信道攻击及其应用

Renauld等人提出的代数侧信道攻击是将代数攻击和侧信道攻击结合起来的一种对分组密码的攻击方法.目前的研究主要针对算法的8-bit实现平台,对于更大的如64-bit实现平台,未见文献讨论.为此,本文提出一种扩展的代数侧信道攻击,直接将侧信道信息表示为密钥的显式函数.相比于通常的代数侧信道攻击,所需泄露信息更少.作为应用,给出了对LBlock轻量级分组密码的扩展的代数侧信道攻击,结果如下:对于64-bit平台实现的LBlock,假设其1-3轮输出的Hamming重量可以准确获得,则利用35个已知明文,便可建立关于LBlock 80-bit主密钥的非线性方程组;在普通的PC机上,利用Magma数学软件v2.12-16求Groebner基,1分钟内可以求得80-bit主密钥.这是对LBlock的首个代数侧信道攻击,同时说明Renauld等人给出的对代数侧信道攻击的其中一个防范方法:"将实现方法从8-bit平台转移到更大的设备"是不够的.

LBlock分组密码代数旁路攻击

对轻型分组密码LBlock抗代数旁路攻击安全性进行了评估.给出了LBlock密码算法的代数方程表示方法,使用示波器采集微控制器ATMEGA324P上的LBlock实现功耗泄露,利用泊松相关系数方法推断加密中间状态汉明重,基于可满足性问题并转化为代数方程组,同LBlock密码算法代数方程联立,最后使用CryptoMinisat解析器进行方程组求解,成功恢复加密密钥.实验结果表明:微控制器上的LBlock实现易遭受代数旁路攻击,仅需一条功耗曲线,已知明密文下的3轮汉明重泄露、未知明密文条件下6轮汉明重泄露分别经2.4s和0.4s分析即可恢复80bit完整密钥.

对分组密码的形式化函数分析及其应用

本文给出了分组密码的新的分析方法:形式化函数分析,即通过符号计算将密文形式地表示为明文和密钥的函数.作为应用本文给出了13轮LBlock轻量级分组密码的一个中间相遇攻击.对13轮LBlock的中间相遇攻击的时间复杂度为276.2次13轮LBlock加密,数据复杂度为1个已知明文.优于Nicolas Courtois等人在FSE 2012上给出的8轮代数攻击,其数据复杂度为6个已知明文.

针对LBlock密码单轮扩散的差分故障分析

为评估轻量级密码LBlock对差分故障攻击的抵抗能力，通过对比Block算法的扩散层故障传播效率，选择针对单轮扩散的故障模型对LBlock密码进行差分故障攻击。通过对不同的S盒进行分析，成功恢复出子密钥信息。结果显示：平均93．5％的概率通过两次故障诱导成功恢复半字节的子密钥信息，98．375％的概率可以在4次以内恢复。通过攻击最后3轮可以根据密钥扩展算法恢复出主密钥全部信息，恢复最后一轮子密钥全部信息需要的故障数目为16．62；为得到主密钥全部信息，平均需要故障的数目为46．8。

Related-Key Impossible Diferential Attack on Reduced-Round LBlock

LBlock is a 32-round lightweight block cipher with 64-bit block size and 80-bit key. This paper identifies 16- round related-key impossible differentials of LBlock, which are better than the 15-round related-key impossible differentials used in the previous attack. Based on these 16-round related-key impossible differentials, we can attack 23 rounds of LBlock while the previous related-key impossible differential attacks could only work on 22-round LBlock. This makes our attack on LBlock the best attack in terms of the number of attacked rounds.