2轮Trivium的多线性密码分析

作为欧洲流密码发展计划eSTREAM的7个最终获选算法之一,Trivium的安全性考察表明至今为止还没有出现有效的攻击算法。该文针对2轮Trivium,通过找出更多线性逼近方程,对其进行了多线性密码分析,提出了一种更有效的区分攻击算法。与现有的单线性密码分析算法相比,该算法攻击成功所需的数据量明显减少,即:若能找到n个线性近似方程,在达到相同攻击成功概率的前提下,多线性密码分析所需的数据量只有单线性密码分析的1/n。该研究结果表明,Trivium的设计还存在一定的缺陷,投入实用之前还需要实施进一步的安全性分析。

Trivium流密码的基于自动推导的差分分析

Trivium是欧洲eSTREAM工程评选出的7个最终胜出的流密码算法之一.本文提出了针对Trivium的基于自动推导的差分分析技术,利用该技术可以得到任意轮Trivium算法的差分传递链.将该技术应用于轮数为288的简化版Trivium算法,提出了一个有效的区分攻击,仅需226个选择IV,区分优势为0.999665,攻击结果远优于已有的线性密码分析和多线性密码分析.将该技术应用于更多轮的Trivium算法和由Turan和Kara提出的修改Trivium算法,结果表明,初始化轮数低于359的Trivium算法不能抵抗差分分析,修改Trivium算法在抵抗差分分析方面优于原Trivium算法.

修改Trivium流密码算法的滑动攻击

基于求解非线性方程组,对Sonmez等提出的修改Trivium算法进行了滑动攻击,找到了多于285的滑动对,远远大于原Trivium算法的滑动对数(239).在假设获得一个滑动对的基础上,攻击者可以恢复出修改Trivium算法的全部80bit密钥,计算复杂度为O(235).

MICKEY和Trivium同步流密码的能量攻击

为了提高同步流密码能量分析(PA)攻击的针对性和有效性,提出了面向同步流密码的PA攻击点选取策略。分析了同步流密码与分组密码在能量成分上的差异性,提出了同步流密码PA攻击点选取条件;根据同步流密码的结构特点,给出了不同攻击情形下的攻击点选取策略;针对eSTREAM项目中面向硬件实现的同步流密码算法MICKEY和Trivium给出了具体的攻击方案,利用PrimeTimePX等EDA工具获取密码算法的仿真功耗,进行了攻击实验。实验结果表明,上述攻击均能成功恢复出密钥信息,表明了攻击点选取策略的合理性。

Trivium型级联反馈移存器的非奇异性判定

Trivium算法是eSTREAM工程最终胜出的面向硬件实现的序列密码算法之一。对以该密码算法为特例的Trivium型级联反馈移存器,研究了其非奇异性判定,给出了有限域上Trivium型级联反馈移存器非奇异的充分条件和二元域上Trivium型级联反馈移存器非奇异的充要条件,并证明了Trivium算法在初始化阶段和密钥流生成阶段的状态刷新变换都是双射。

Trivium密码算法的教学设计探讨

Trivium密码算法是欧洲流密码计划(eSTREAM)的最终入选算法之一。由于其结构简洁、优美、软硬件实现快速、安全性好等特点,倍受学术界和工业界的广泛关注。针对Trivium密码算法实际教学中存在的问题及信息专业高年级学生的特点,分析了Trivium算法的结构,提出从布尔函数的角度来进行教学设计,包括算法部件分析、加解密过程、性能及安全性等环节,为同行提供有价值的教学思路。

针对简化版Trivium算法的线性分析

流密码Trivium算法是欧洲密码工程eSTREAM的7个最终获选算法之一.该文针对初始化为288轮的简化版Trivium算法进行了线性分析,更正了Turan等人给出的关于密钥、初始化向量和密钥流比特的表达式,并给出了当允许选取特殊的密钥和IV时,搜索最佳线性逼近式的算法.据此算法,找到了3个线性偏差为2-25的线性逼近式,改进了Turan等人给出的线性偏差为2-31的线性分析结果.

基于选择差分的Trivium猜测攻击

给出一种基于选择差分对Trivium算法进行猜测攻击的方法。通过分析Trivium密钥流生成方程,确定需要改变Trivium 288 bit内部状态中的52 bit,使用错误注入改变所确定的52 bit,并生成密钥流,与原始密钥流进行差分。该方法只需猜测45 bit即可使密钥流生成方程中的177个非线性方程成为线性方程,加上已有的66个线性方程,使用高斯消元法获得剩余的243 bit,从而攻破Trivium。

关于Trivium算法设计的研究(英文)

分析了eSTREAM项目中Trivium算法的安全性和有效性,并将该算法结构进行模型化,引入k阶本原多项式的定义。阐述了设计Trivium型流密码的准则,并根据这些准则给出Trivium算法的改进以及新的Trivium型流密码算法。

2轮Trivium的线性逼近研究

Trivium是国际重要的序列密码,贾艳艳等人曾提出对2轮Trivium进行单线性和多线性密码攻击(电子与信息学报,2011年第1期)。针对其中的线性近似方程个数少和偏差小问题,提出通过改变第1轮Trivium所占的时钟数和线性逼近式的方法对2轮进行线性逼近,给出一个偏差为2–29的线性符合和8个偏差为2–30的线性符合,并利用贾艳艳文中算法对2轮Trivium进行单线性和多线性密码攻击。研究结果表明,在相同攻击成功概率的前提下,所需的数据量均为上文中所需数据量的1/16,即需要选择初始化向量的个数分别为258和257。

利用一种SAT问题全解算法求Trivium可滑动对

Trivium是进入到eSTREAM计划最终方案的一个序列密码体制,而在其初始化过程中存在可滑动对。SAT求解器可以有效地求解非线性方程组,然而一般的SAT求解器在求出一个解之后便会结束。对MiniSAT求解器中的算法进行改进,使之可以得出方程所有解。将改进的算法应用于Trivium中可滑动对的求解,得到了初始化拍数从111到120的所有可滑动对。相比于使用Grbner基方法,求解效率有了极大的提高。

Trivium-like算法中可滑动Cube的研究

对于Trivium-like算法,cube攻击是最有效的攻击手段之一.在传统cube攻击中,攻击者主要利用线性检测等方法来寻找具有低次超多项式的cube.实验结果表明存在IV变元子集I1=(vi1,vi2,…,vid)和I2=(vi1-1,vi2-1,…,vid-1)满足pI2(k0,k1,…,kn-2)=σ(pI1(k1,k2,…,kn-1)),其中ki表示密钥变元,pI1是Cube CI1对于t时刻输出比特zt的超多项式,pI2是Cube CI2对于t+1时刻的输出比特zt+1的超多项式,并且变换\sigma将ki映射到ki-1.在本文中,称这种性质为cube的可滑动性.我们研究了Trivium-like算法的攻击中cube的可滑动性.特别地,我们给出了cube具有可滑动性的一个充分条件.此外,我们将充分条件的判断,转化到求解混合整数线性规划(MILP)模型,在实际中能够快速判断出具有滑动性的cube.最后,我们将充分条件应用到实验cube攻击、基于分离性质的cube攻击和相关cube攻击的已有结果,验证了方法的正确性并在实验cube攻击中得到了一个803-轮Trivium的新结果.

Trivium的多项相关偏差研究

针对流密码序列应具有良好自相关性的要求,提出流密码序列多项相关偏差的概念,通过获取输出密钥流的线性项,利用高斯消元的方法,找到Trivium算法的9个相关多项式,通过概率测试获得的Trivium算法最大相关偏差值达2?72,并利用最大相关偏差说明对Trivium算法进行区分攻击比较困难。

对288轮Trivium算法的线性分析

此前对288轮Trivium算法线性分析的文章中,均将密钥视为随机且变化的值,这样对算法进行分析是存在问题的,攻击者实际上无法将得到的线性偏差用于对算法实施攻击.本文在选择IV(Initialization Vector)攻击条件下,重新对288轮Trivium算法进行了线性分析.由于将密钥比特作为未知的定值,因而由密钥比特组成的非线性项是定值,不会产生线性偏差,在选取10个特殊IV后,得到一个线性偏差为1.9E-6的线性逼近式.

Trivium算法在随机访问条件下的应用研究

随机访问区别于循序访问,指的是同一时间内,访问序列中的任意一个元素。随机访问效率是文件系统的重要指标。对于文件系统的加密,所用的密码算法需能够实现随机访问,否则会严重降低访问效率。J.Dj.Goli C'指出,基于密钥流生成器的流密码算法可以对随机访问的文件进行高效安全的加密,同时提出了支持随机访问的流密码算法设计原则。Trivium算法具有高速率、低硬件复杂度的特点,是欧洲eSTREAM计划的获胜的7种算法之一。基于Trivium算法,运用分组加密的思想,提高了Trivium的随机访问性能,使随机访问速率达到AES-CTR的167%。

简化版Trivium算法的线性逼近研究

针对初始化轮数为288个时钟的简化版Trivium算法(又称2轮Trivium)进行了线性逼近研究,设计了搜索最佳线性近似式算法,并通过对第1轮关于密钥、初始化向量和密钥流比特的表达式做非线性逼近,结合该算法,在同等条件下给出了2轮Trivium 16个偏差为2-23.42的线性近似式,使通过多线性攻击去识别2轮Trivium的一个具有1特定比特的密钥所需要的数据量降为2 42.84个选择IV,为Turan方案所需数据量的,且成功率保持不变。

关于Trivium-型序列密码代数次数估计的研究

对于序列密码,输出密钥流比特可以视为关于密钥变元和Ⅳ变元的布尔函数,而该布尔函数的代数次数是影响密码算法安全性的重要因素;当代数次数偏低时,密码算法抵抗代数攻击、立方攻击和积分攻击的能力比较弱.目前,针对Trivium-型序列密码算法,最有效的代数次数估计方法是数值映射方法和基于MILP的可分性质方法.本文通过分析两种典型方法的特点,结合两种方法的优势,对Trivium-型算法的代数次数估计进行了改进.我们利用改进后的方法对大量随机选取的Ⅳ变量集进行了实验.实验结果表明,对于Trivium-型算法,改进后的方法能够给出比数值映射方法更紧的代数次数上界.特别地,针对Trivium算法,当输入变元为全密钥变元和全Ⅳ变元时,即80个密钥变元和80个Ⅳ变元,输出比特代数次数未达到160的最大轮数从907轮提高到912轮,这是目前已知的全变元情形下的最优代数次数估计结果.

Trivium算法的立方攻击

针对Trivium算法的立方攻击中恢复超级多项式表达式时遇到的模型求解费时问题,提出了一种快速方法,该方法结合了Delaune等人的有向图建模方法以及胡凯等人的模型分解方法。初始化845轮的Trivium算法的攻击实验结果表明,相比于公开结果,恢复超级多项式表达式的模型求解时间由约3周下降至约1周。

A Fibonacci View on the Galois NFSR Used in Trivium

Trivium is an international standard of lightweight stream ciphers(ISO/IEC 29192-3:2012).In this paper,the Trivium-like NFSRs,a class of Galois NFSRs generalized from the Galois NFSR of Trivium,are studied from the perspective of Fibonacci NFSRs.It is shown that an n-stage Trivium-like NFSR cannot be equivalent to an n-stage Fibonacci NFSR,which is proved by showing the existence of“collision initial states”.As an intermediate conclusion,a necessary and sufficient condition for a kind of linear degeneracy of a Trivium-like NFSR is obtained from the persepective of interleaved sequences.Moreover,the smallest stage number of a Fibonacci NFSR that can generate all the output sequences of an n-stage Trivium-like NFSR is shown to be greater than n-7 and this value is no less than 371=287+min{93,84,111}specifically for the 288-stage Galois NFSR used in Trivium.These results contradict the existence of a equivalent Fibonacci model of Trivium NFSR of small stage,which implies that Trivium algorithm possesses a fair degree of immunity against“structure attack”.

A New Method for Searching Cubes and Its Application to 815-Round Trivium

The cube attack proposed by Dinur and Shamir is one of the most important key-recovery attacks against Trivium.Recently division property based cube attacks have been extensively studied and significantly improved.In particular,the MILP modeling technique for the three-subset division property without unknown subset proposed by Hao,et al.at EUROCRYPT 2020 and the new technique with nested monomial predictions proposed by Hu,et al.at ASIACRYPT 2021 are best techniques to recover exact superpolies in division property based cube attacks.Consequently,at this state of the art,whether a superpoly can be recovered in division property based cube attacks is mainly decided by the scale of the superpoly,that is,the number of terms.Hence the choice for proper cubes corresponding to low-complexity superpolies is more critical now.Some effective cube construction methods were proposed for experimental cube attacks,but not applicable to division property based cube attacks.In this paper,the authors propose a heuristic cube criterion and a cube sieve algorithm,which can be combined with the three-subset division property to recover a number of superpolies.Applied to815-round Trivium,the authors recovered 417 superpolies from 441 cubes obtained by our algorithm of sizes between 41 and 48.The success rate is 94.56%.There are 165 non-constant superpolies with degree less than 14.In order to demonstrate the significance of the new algorithm,the authors tested the best superpoly recovery technique at EUROCRYPT 2020 using random cubes of similar sizes on 815-round Trivium.The experimental result shows that no cube could be completely recovered within a given period of time because the superpolies for random cubes are too complex.