Security of the SMS4 Block Cipher Against Differential Cryptanalysis

SMS4 is a 128-bit block cipher used in the WAPI standard for wireless networks in China. In this paper, we analyze the security of the SMS4 block cipher against differential cryptanalysis. Firstly, we prove three theorems and one corollary that reflect relationships of 5- and 6-round SMS4. Next, by these relationships, we clarify the minimum number of active S-boxes in 6-, 7- and 12-round SMS4 respectively. Finally, based on the above results, we present a family of about 2^14 differential characteristics for 19-round SMS4, which leads to an attack on 23-round SMS4 with 2^118 chosen plaintexts and 2^126.7 encryptions.

用不可能差分法分析17轮SMS4算法

SMS4是我国在2006年公布的第一个商用分组密码算法.通过分析SMS4每一轮输入输出对的差分的变化,首次给出一个14轮SMS4的不可能差分特性:如果输入的明文对的差分为(a,a,a,0),那么14轮之后的输出差分不可能为(a,a,a,0).利用该性质,在14轮不可能差分密码分析的基础上,前面加了两轮,后面加了一轮,提出了一种不可能差分密码分析17轮SMS4的方法.该方法分析17轮SMS4需要2103的选择明文,2124的17轮SMS4加密以及289分组的记忆存储空间,猜测密钥的错误概率仅为2-88.7.

分组加密算法SMS4的14轮Square攻击

为了对分组加密算法SMS4进行新的安全性分析,基于SMS4的轮结构中的活跃字变化的特点,选择1个特定的明文形式来构造1个含3个活跃字的∧集,通过观察平衡字的传播路径,在第9轮找到了1个平衡字,由此构建出1个新型的12轮区分器并对14轮SMS4进行Square攻击.研究结果表明:攻击所需的明文数据量为232,计算复杂度为296.5,这说明14轮SMS4对Square攻击是不免疫的.

CBC模式下SMS4算法并行化研究

为提高密码分组链接即CBC模式下SMS4算法的实现性能,研究了CBC模式下多SMS4密码处理引擎的并行处理机制。首先提出了支持CBC模式的SMS4密码处理引擎架构,基于资源重用的方式设计了SMS4算法的迭代结构。在此基础上进一步研究了多密码处理引擎的并行化问题,提出了CBC模式下多引擎的任务分配机制。与同类设计相比,该文设计的密码处理引擎资源占用少、数据吞吐率高,提高了CBC模式下SMS4算法的处理性能。

分组密码算法SMS4的暴力破解及模拟实现

加密算法的安全性在很大程度上取决于暴力破解的不可行性。暴力破解加密算法是密码学研究的一个重要方向。该文采用分布式计算方法,设计了暴力破解SMS4加密算法的软件。在局域网内对SMS4算法的暴力破解做了模拟实现,并对软件的性能进行了测试。最后对软件及SMS4算法的暴力破解结果进行了分析,并指明了下一步的工作方向。

对SMS4密码算法改进的差分攻击

差分分析和线性分析是重要的密码算法分析工具.多年来,很多研究者致力于改善这两种攻击方法.Achiya Bar-On等人提出了一种方法,能够使攻击者对部分状态参与非线性变换的SPN结构的密码算法进行更多轮数的差分分析和线性分析.这种方法使用了两个辅助矩阵,其目的就是更多地利用密码算法中线性层的约束,从而能攻击更多轮数.将这种方法应用到中国密码算法SMS4的多差分攻击中,获得了一个比现有攻击存储复杂度更低和数据复杂度更少的攻击结果.在成功概率为0.9时,实施23轮的SMS4密钥恢复攻击需要2^(113.5)个明文,时间复杂度为2^(126.7)轮等价的23轮加密.这是目前为止存储复杂度最低的攻击,存储复杂度为2^(17)个字节.

SMS4算法的不可能差分攻击研究

为研究分组加密算法SMS4抵抗不可能差分攻击的能力,使用了14轮不可能差分路径,给出了相关攻击结果。基于1条14轮不可能差分路径,对16轮和18轮的SMS4算法进行了攻击,改进了关于17轮的SMS4的不可能差分攻击的结果,将数据复杂度降低到O(269.47)。计算结果表明:攻击16轮SMS4算法所需的数据复杂度为O(2103),时间复杂度为O(292);攻击18轮的SMS4算法所需的数据复杂度为O(2104),时间复杂度为O(2123.84)。

SMS4分组密码算法的差分—代数分析

分组密码中最有效、最常用的分析方法是差分分析,而代数攻击分析也是分析分组密码的分析方法之一,其弱点是轮数越多,方程的数目也会越多,方程求解会更加困难.将两种方法结合起来,弥补了各自的不足与繁琐,分析更为有效.在深入分析SMS4分组密码算法特征的基础上,将差分—代数分析方法结合起来对SMS4分组密码算法进行分析,并通过对20轮的SMS4分组密码进行实证分析,说明了差分—代数分析方法用于分组密码分析的有效性.

SMS4算法的多维零相关线性分析

SMS4算法是中国无线标准中使用的分组加密算法,2012年被国家商用密码管理局确定为国家密码行业标准.作为中国官方公布的第一个商用密码算法,SMS4算法的安全性分析是当前密码学界的研究热点之一.SMS4算法是一种32轮的迭代非平衡Feistel结构的分组密码算法,其加解密过程中使用的算法完全相同,唯一的不同点就是该算法的解密密钥是由它的加密密钥进行逆序变换后得到的,因此,SMS4算法在32轮非线性迭代之后有一个反序变换.本文证明了SMS4算法存在11轮零相关线性逼近,选取了其中一类特殊的零相关线性逼近,缩小了密钥猜测空间,分析了14轮SMS4算法对多维零相关线性攻击技术的安全性.结果显示:该攻击的数据复杂度为2123.5个已知明密文,时间复杂度为2120.7次14轮SMS4加密,存储复杂度为273个SMS4分组.虽然14轮SMS4算法对多维零相关线性攻击是不免疫的,但是其数据复杂度较其它攻击方法还很高,且14轮距离目前最高攻击轮数还有较大差距,因此SMS4算法在抗多维零相关线性分析方面仍然有足够的安全边界.

对21轮SMS4算法的多差分攻击

SMS4算法一种是用于WAPI的分组密码算法,也是国内官方公布的第一个商用密码算法,该算法公布后即引起国内外密码学界的分析热潮.SMS4算法的分组长度为128比特,密钥长度为128比特,加密算法与密钥扩展算法都采用32轮迭代结构.本文的分析方法是综合利用了2^(28)个17轮的SMS4的差分特征,采用基于最优区分器思想的多差分攻击方法对21轮的SMS4算法进行攻击和分析,针对每个实验密钥,构造出基于多个差分特征的统计量,根据统计量的大小判决实验密钥是否是正确密钥.给出了多差分分析方法的计算复杂度,分析了正确密钥、错误密钥对应统计量的概率分布规律,在此基础上给出了多差分分析方法的成功率和数据复杂度之间的关系.最终得出结论可以2^(104)的数据复杂度,2^(114)的计算复杂度,来恢复出该算法的128比特圈子密钥.用该结果与目前已知的对21轮SMS4算法的差分攻击结果进行对比我们可以看出,攻击的数据复杂度和计算复杂度都有所降低.基于该研究结果,我们可以得出以下结论,在成功率相同的条件下,基于的差分特征越多,需要的数据复杂度和计算复杂度越小.

SMS4的线性传播轨迹

通过分析SMS4算法结构,给出了SMS4的线性传播轨迹。通过研究SMS4的线性传播轨迹,推导出了SMS4算法的r轮线性传播轨迹的一般表达式。这为进一步研究SMS4算法的活动轮函数等问题提供了基础。

Improved Linear Attacks on the Chinese Block Cipher Standard

The block cipher used in the Chinese Wireless LAN Standard （WAPI）, SMS4, was recently renamed as SM4, and became the block cipher standard issued by the Chinese government. This paper gives a method for finding the linear approximations of SMS4. With this method, 19-round one-dimensional approximations are given, which are used to improve the previous linear cryptanalysis of SMS4. The 19-round approximations hold with bias 2-62.27; we use one of them to leverage a linear attack on 23-round SMS4. Our attack improves the previous 23-round attacks by reducing the time complexity. Furthermore, the data complexity of our attack is further improved by the multidimensional linear approach.