Algebraic Attack on Filter-Combiner Model Keystream Generators

Algebraic attack was applied to attack Filter-Combintr model keystreamgenerators. We proposed the technique of function composition to improve the model, and the improvedmodel can resist the algebraic attack. A new criterion for designing Filter-Combiner model was alsoproposed: the total length I. of Linear Finite State Machines used in the model should be largeenough and the degree d of Filter-Combiner function should be approximate [L/2].

Algebraic attacks on two kinds of special nonlinear filter generators

This letter proposes algebraic attacks on two kinds of nonlinear filter generators with symmetric Boolean functions as the filter fimctions. Different fxom the classical algebraic attacks, the proposed attacks take the advantage of the combinational property of a linear feedback shift register （LFSR） and the symmetric Boolean function to obtain a tow-degree algebraic relation, and hence the complexities of the proposed attacks are independent of the algebraic immunity （AI） of the filter functions. It is shown that improper combining of the LFSR with the filter function can make the filter generator suffer from algebraic attacks. As a result, the bits of the LFSR must be selected properly to input the filter function with large AI in order to withstand the proposed algebraic attacks.

A NEW METHOD FOR RESYNCHRONIZATION ATTACK

This paper presents a new method for resynchronization attack, which is the combination of the differential cryptanalysis and algebraic attack. By using the new method one gets a system of linear equations or low-degree equations about initial keys, and the solution of the system of equations results in the recovery of the initial keys. This method has a lower computational complexity and better performance of attack in contrast to the known methods. Accordingly, the design of the resynchronization stream generators should be reconsidered to make them strong enough to avoid our attacks. When implemented to the Toyocrypt, our method gains the computational complexity of O（2^17）, and that of 0（2^67） for LILI-128.

PRESENT密码代数故障攻击

提出了一种新的PRESENT密码故障分析方法——代数故障攻击。将代数攻击和故障攻击相结合,首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后通过故障攻击手段获取错误密文信息,并将故障差分和密文差分转化为额外的布尔代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。结果表明:在PRESENT-80的第29轮注入宽度为4的故障,故障位置和值未知时,2次故障注入可在50s内恢复64bit后期白化密钥,将PRESENT-80密钥搜索空间降低为216,经1min暴力破解恢复完整主密钥;和现有PRESENT故障攻击相比,该攻击所需样本量是最小的;此外该代数故障分析方法也可为其他分组密码故障分析提供一定思路。

AES密码分析的若干新进展

20 0 1年 11月 ,美国国家标准和技术研究所 (NIST)确定Rijndael算法为新的数据加密标准 高级数据加密标准 (AES) .AES的密码分析是目前最受注目的一个研究问题 .本综述介绍AES密码分析的一些新进展 :包括积分密码分析 ,功耗分析和代数攻击等 .作者就目前国内外的研究现状作了评述 ,并提出了AES密码分析的一些研究方向 。

一种超轻量级的RFID双向认证协议

给出一种针对Gossamer协议的拒绝服务攻击,据此提出一种超轻量级的无线射频识别(RFID)读写器-标签双向认证协议。对该协议的安全性和效率进行分析,结果表明,与SASI协议和Gossamer协议相比,该协议能抵抗拒绝服务攻击和代数攻击,只使用较少的标签存储空间,成本更低且具有更高的安全性。

基于汉明重的PRESENT密码代数旁路攻击

研究了分组密码代数旁路攻击原理及模型、非线性布尔方程组转化为SAT问题的方法,提出了一种基于汉明重的PRESENT密码代数旁路攻击方法,降低了求解非线性多元方程组的复杂度,减少了旁路攻击所需样本量,并通过实验对理论正确性进行了验证。结果表明,在已知明文条件下,利用一个样本前3轮的S盒输入、输出汉明重在0.63s内即可恢复80bit PRESENT完整密钥;在未知明密文和S盒输入、输出汉明重随机选取条件下,也可恢复PRESENT完整密钥。

一类代数免疫度达到最优的布尔函数的构造

给出了一种具有最优代数免疫度的偶数元布尔函数的构造,同时还给出了一种具有最优代数免疫度的平衡旋转对称偶数元布尔函数的构造.在构造过程中用到了线性代数和组合计数中的有关结论,这些函数对代数攻击均有很强的抵抗能力.构造的平衡旋转对称布尔函数还可用在Hash算法的轮函数中,增加了算法的安全性.

流密码代数攻击的研究现状及其展望

介绍了流密码代数攻击方法的基本原理及其实现方法,详细描述了对具有LFSR结构的密钥流生成器的代数分析手段,概括了现有的降低已得方程系统次数的有效方法,对整个代数攻击的计算复杂度的估计进行了全面的分析,最后对流密码代数攻击方法的研究前景进行了展望。

一种快速构造降次函数的新算法

基于密码函数分拆的思想提出了一种快速有效构造降次函数g的新算法.该算法通过每次选取不同变量进行分拆,在函数分解﹂k/2」次后建立方程组,最后通过求解此方程组得到满足条件的降次函数g.新算法可以求解代数次数至多为﹂k/2」的降次函数g,使得函数f*g的代数次数至多为「k/2﹁.该算法计算复杂度为O(2k/2)w+2,在k较大时,小于已有算法的计算复杂度O((2k-1)w).结果表明,在很低的计算复杂度下,能快速构造出降次函数g.

密码学中布尔函数的零化子

布尔函数的零化子与代数攻击息息相关,但是如何构造一个给定函数的低次零化子仍然是一个悬而未决的问题.本文对此问题进行了研究,研究结果表明,如果布尔函数的零点集有一个k维子空间,那么,函数就会有代数次数为n-k的零化子.然而如何找到函数的具有最低代数次数的零化子仍然是一个亟待解决的难题.

基于碰撞模型的PRESENT密码代数旁路攻击

提出了一种新的分组密码通用的基于碰撞模型的分组密码代数旁路分析方法—代数功耗碰撞攻击,将代数攻击与功耗碰撞攻击结合,首先利用代数分析方法建立密码算法等效布尔代数方程组;然后通过功耗攻击手段获取密码加密过程运行时泄露的功耗信息,经分析转化为加密过程碰撞信息,并表示为关于加密中间状态变元的代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。应用该方法对在8位微控制器上实现的PRESENT密码进行了实际攻击,实验结果表明,代数攻击基础上引入额外的代数方程组,可有效降低方程组求解的复杂度;PRESENT易遭受此类代数功耗攻击的威胁,明密文已知,以4个样本全轮碰撞或8个样本部分轮碰撞信息成功获取PRESENT 80bit完整密钥。此外,文中分析方法也可为其它分组密码功耗碰撞分析提供一定思路。

对称布尔函数的代数免疫性

在流密码和分组密码的加密体制中,需要构作具有各种密码学性质的布尔函数,用来作为密钥,以抵抗已有的各种有效攻击方法。近年来,人们提出了代数攻击方法,为了抵抗这种攻击方式,构作代数免疫度很大的布尔函数,成为近五年来信息安全领域一个研究热点。本文综述布尔函数代数免疫性方面的重要问题和主要进展,其中包括中国学者在对称布尔函数代数免疫性的研究成果。

Dixon结式在密码学中的应用

针对密码学中的多变元多项式二次方程系统求解问题,基于扩展Dixon结式提出了一种求解算法DR(Dixon resultants).基本思想为对于MQ(multivariate quadratic)问题,把x1,x2,…,xn?1当作变元,而把xn当作参数,然后利用和改进扩展Dixon结式方法求解该类系统.分析了该算法对于一般情况的复杂度,并且基于实验证据猜测:对于某些稀疏问题,新算法的复杂度很有可能也是多项式的.实验结果表明,对于m=n的一般和稀疏的问题,DR效率优于已有的两种算法.除了高效性,新算法还具有复杂度容易度量、计算时间可以预测的优点.

具有最优代数免疫度的偶数元旋转对称布尔函数的构造

代数免疫度是布尔函数的一个具有重要意义的密码学指标,具有高代数免疫度的布尔函数能够更有效地抵抗代数攻击,旋转对称布尔函数因其良好的密码学性质而成为密码学函数的优良选择,这类布尔函数已被广泛应用在不同的密码系统本文在对代数免疫度最优的旋转对称布尔函数构造研究的基础上,给出了一种偶数元旋转对称布尔函数的构造.而且,证明了新构造的九元旋转对称布尔函数不但代数兔疫最优,而且比已知同类研究构造出的函数具有更高的非线性度,达到2^(n-1)—(n-1/n/2)+2~k-2k,其中n=2k.同时,本文也详细讨论研究了所构造的函数的代数次数。

线性化方程方法破解TTM公钥加密体制

TTM是一类三角形多变量公钥密码体制。该文经过分析2004年的TTM实例发现,该实例中存在大量的一阶线性化方程,而且对于给定的公钥,这些线性化方程都可以通过预计算得到。对于给定的合法密文,可以利用一阶线性化方程攻击方法在219个28域上的运算内找到了其相应的明文。该方法与二阶线性化方程攻击方法相比,恢复明文的复杂度降低了212倍。计算机实验证实了上述结果。

基于Grobner基的Rijndae-l192代数攻击方案

由于对Rijndael算法实施Grobner基攻击的一个关键环节是构造出其零维Grobner基,本文对Rijndae-l192密码的线性变换和多变元方程系统进行了深入研究,通过选择合理的项序及变量次序,提出了Rijndae-l 192零维Grobner基的构造方法.文中详述了该Grobner基的构造方法,并给出了相关性质的理论证明.此外,本文提出了一种Rijndae-l 192的Grobner基攻击方案,攻击复杂度低于穷举攻击.

偶数变元代数免疫最优布尔函数的构造方法

提出了构造偶数变元代数免疫最优的布尔函数的方法。这是一个二阶的递归构造方法。分析表明,利用该方法构造而得到的布尔函数具有优良的密码学特性,比如具有较好的平衡性,较高的代数次数和非线性度等。最后,还对该构造方法进行了推广,进一步导出了递归构造偶数变元代数免疫最优布尔函数的一类方法。

一种布尔多项式的高效计算机表示

布尔方程组求解技术对于密码分析具有重要的现实意义.然而,在众多求解算法的实际计算过程中,难以抑制的空间需求增长与计算机系统有限的存储能力之间的矛盾,正是当前制约布尔方程组求解技术取得更大成果的最主要瓶颈.针对基于消项的求解算法,分析了该矛盾的产生根源,提出了解决途径,进而设计了一种全新的布尔多项式计算机表示,称之为BanYan.BanYan适用于基于首项约化的求解算法,如F4,F5,XL等算法.通过记录中间结果的生成信息而非其本身,避免算法实现陷入项数规模高速膨胀带来的巨大存储负担.与BDD和系数矩阵等基于项的传统布尔多项式表示相比,平均情况以及最坏情况下,使用BanYan表示法所需要的空间约为项数表示法的1?l(l为计算过程中产生的多项式的平均项数),从而显著提升布尔方程组求解算法的现实求解能力.

基于汉明重的SMS4密码代数旁路攻击研究

基于汉明重泄露模型,对SMS4算法抗代数旁路攻击能力进行了评估.首先构建SMS4算法等价布尔代数方程组,然后采集SMS4加密功耗泄露,基于模板分析对加密中间状态字节的汉明重进行推断,并转化为与密码算法联立的代数方程组,最后利用解析器进行密钥求解.结果表明:SMS4密码易遭受代数旁路攻击;已知明文条件下,2个样本4轮连续汉明重泄露或26轮离散汉明重泄露可恢复128bit SMS4主密钥;未知明密文条件下,2个样本连续5轮汉明重泄露可恢复128bit SMS4主密钥;使用随机掩码防御的SMS4实现仍不能有效防御代数旁路攻击,已知明文条件下,2个样本连续14轮汉明重泄露可恢复128bit SMS4主密钥.为提高攻击实用性,提出了一种容错代数旁路攻击方法,结果表明汉明重推断错误率不超过60%的情况下,2个样本可恢复128bit SMS4主密钥.本文方法对其它分组密码代数旁路攻击研究具有一定的借鉴意义.