基于FPGA的eStream序列密码实现分析

欧洲eStream序列密码计划推动了现代序列密码的发展,序列密码研究开始关注于易于硬件实现的轻量化序列密码设计。主要研究了eStream序列密码推荐的三种面向硬件实现的密码算法:Grain-128、MICKEY2.0和TRIVIUM。首先分别介绍了三种算法的基本原理,然后针对每种算法进行FPGA下的电路结构设计,最后采用Verilog HDL语言,在Xilinx Virtex-5 FPGA平台上进行了综合实现。实现结果表明,在三种算法中,TRIVIUM算法占用FPGA逻辑资源最少,其吞吐量最高,而MICKEY2.0算法占用FPGA逻辑资源最多,同时吞吐量最低。

eSTREAM和流密码分析现状

eSTREAM是继NESSIE之后欧洲启动的一个规模更大,为期4年的信息安全项目。文中通过介绍eSTREAM计划中的流密码征集情况和评测体系,并对征集到的34个侯选流密码算法进行了初步的安全分析总结。介绍了流密码两种典型的攻击类型:代数攻击、相关攻击,目的为引出流密码安全的定义。最后,对流密码发展现状和前景做了较详尽的总结和展望。

流密码算法Grain的立方攻击

Dinur和Shamir在2009年欧洲密码年会上提出了立方攻击的密码分析方法.Grain算法是欧洲序列密码工程eSTREAM最终入选的3个面向硬件实现的流密码算法之一,该算法密钥长度为80比特,初始向量(initialvector,简称IV)长度为64比特,算法分为初始化过程和密钥流产生过程,初始化过程空跑160拍.利用立方攻击方法对Grain算法进行了分析,在选择IV攻击条件下,若算法初始化过程空跑70拍,则可恢复15比特密钥,并找到了关于另外23比特密钥的4个线性表达式;若算法初始化过程空跑75拍,则可恢复1比特密钥.

对Sosemanuk算法改进的猜测决定攻击

Sosemanuk算法是欧洲eSTREAM计划最终获选的七个算法之一。从比特层面对该算法进行剖析,通过对Serpent1组件S盒、模232加法和线性反馈移位寄存器的研究,找到了关于内部状态的一个方程组,并利用Groebner基方法改进了对Sosemanuk算法基于字的猜测决定攻击。结果表明只需要猜测7个32比特的字就可以完全确定出其余5个32比特的内部状态,其攻击的复杂度为O(2192)。

针对流密码HC-256'的区分攻击

流密码HC-256'是eSTREAM计划候选密码HC-256的改进算法,至今未见关于HC-256'的安全性分析结果。该文提出了一种针对HC-256'的线性区分攻击,利用不同的非线性函数代替内部状态更新函数来寻找偶数位置上密钥流生成序列的弱点,通过线性逼近HC-256'的内部状态构造区分器。分析结果表明,需要约2 281bit,就能以0.9545的区分优势对密钥流进行区分。同时,该攻击为解决Sekar等人在2009年IWSEC会议上提出的问题进行了有益的探索。

对一种新的序列密码结构的密码分析(英文)

对新提议的一种基于线性反馈移位寄存器、非线性反馈移位寄存器和过滤布尔函数的序列密码结构的安全性进行了研究,对这种结构给出了一种区分攻击.举例子说明了此攻击的有效性.这种新的攻击表明,此种新的序列密码结构存在潜在的安全弱点.

关于Trivium算法设计的研究(英文)

分析了eSTREAM项目中Trivium算法的安全性和有效性,并将该算法结构进行模型化,引入k阶本原多项式的定义。阐述了设计Trivium型流密码的准则,并根据这些准则给出Trivium算法的改进以及新的Trivium型流密码算法。

LEX算法的相关密钥攻击

LEX算法是入选欧洲序列密码工程eSTREAM第三阶段的候选流密码算法之一,在分组密码算法AES的基础上进行设计。为此,针对LEX算法进行基于猜测决定方法的相关密钥攻击,在已知一对相关密钥各产生239.5个字节密钥流序列的条件下,借助差分分析的思想和分组密码算法AES轮变换的性质,通过穷举2个字节密钥值和中间状态的8个字节差分恢复出所有候选密钥,利用加密检验筛选出正确的密钥。分析结果表明,该密钥攻击的计算复杂度为2100.3轮AES加密、成功率为1。

同步序列密码选择Ⅳ统计分析的新框架

以同步序列密码为模型,在分析目前提出的选择Ⅳ统计分析典型框架的基础上,提出了一个新的更一般的选择Ⅳ统计分析框架,并且在该框架下给出了两个重要的统计测试分析方法,分别可以用来作为密钥流区分器和随机性检测器。此外,作为本文提出的框架和分析方法的一个应用,对eSTREAM入选算法Trivium进行了选择Ⅳ统计分析。

Trivium算法在随机访问条件下的应用研究

随机访问区别于循序访问,指的是同一时间内,访问序列中的任意一个元素。随机访问效率是文件系统的重要指标。对于文件系统的加密,所用的密码算法需能够实现随机访问,否则会严重降低访问效率。J.Dj.Goli C'指出,基于密钥流生成器的流密码算法可以对随机访问的文件进行高效安全的加密,同时提出了支持随机访问的流密码算法设计原则。Trivium算法具有高速率、低硬件复杂度的特点,是欧洲eSTREAM计划的获胜的7种算法之一。基于Trivium算法,运用分组加密的思想,提高了Trivium的随机访问性能,使随机访问速率达到AES-CTR的167%。

HC-128的内部状态表

HC-128算法是HC-256算法的简化版,为欧洲e STREAM工程最终胜出的7个序列密码算法之一。HC-128由初始化算法和密钥流产生算法两部分构成,为基于表驱动的适于软件实现的算法。由于其安全性能高,至今未见有效的分析方法。HC-128利用内部状态表的转换、选择来构造序列密码,因此内部状态表的安全性直接影响着序列密码算法的安全性。该文对HC-128的内部状态表进行了研究,给出了根据内部状态表P和Q(两个512字,共计1 024字)倒推出密钥和初始向量的算法。

Cryptanalysis of Achterbahn-Version 1 and-Version 2

Achterbahn is one of the candidate stream ciphers submitted to the eSTREAM, which is the ECRYPT Stream Cipher Project. The cipher Achterbahn uses a new structure which is based on several nonlinear feedback shift registers （NLFSR） and a nonlinear combining output Boolean function. This paper proposes distinguishing attacks on Achterbahn-Version 1 and -Version 2 on the reduced mode and the full mode. These distinguishing attacks are based on linear approximations of the output functions. On the basis of these linear approximations and the periods of the registers, parity checks with noticeable biases are found. Then distinguishing attacks can be achieved through these biased parity checks. As to Achterbahn-Version 1, three cases that the output function has three possibilities are analyzed. Achterbahn-Version 2, the modification version of Achterbahn-Version 1, is designed to avert attacks based on approximations of the output Boolean function. Our attack with even much lower complexities on Achterbahn-Version 2 shows that Achterbahn-Version 2 cannot prevent attacks based on linear approximations.