LiCi算法的相关密钥不可能差分分析

不可能差分攻击是一种重要的密钥恢复攻击方法,它利用概率为0的不可能出现的差分特征过滤错误密钥,已被广泛应用于多种分组算法的分析.LiCi算法是2017年Patil等人提出的一种新轻量级分组密码算法,基于平衡Feistel结构,采用轻量级S盒和简单移位操作等新型轻量级分组密码的设计理念,通过较少的轮函数运算产生数量相对较大的活跃S盒,具有结构紧凑、能耗低、占用面积小等特性,非常适用于资源受限的环境.关于LiCi算法目前最好的分析结果为16轮差分分析和17轮不可能差分分析.为进一步研究LiCi算法抵抗不可能差分攻击的能力,构造了11轮不可能差分区分器,并向前扩展3轮,向后扩展3轮,结合S盒输入输出特征,使用不可能差分分析方法分析了17轮LiCi算法.分析的数据复杂度为2^(61.59),时间复杂度为2^(75.5),存储复杂度为2^(72.59).与已知结果相比,在攻击轮数相同的情况下,该攻击降低了数据复杂度和时间复杂度.同时结合密钥扩展算法的特点和轮函数特征,构造出3条16轮的相关密钥不可能差分区分器,从中选取一条向前扩展3轮,向后扩展2轮,结合S盒输入输出特征,并使用相关密钥与不可能差分复合的方法分析了21轮LiCi算法.分析的数据复杂度为2^(61.2),时间复杂度2^(68.05),存储复杂度为2^(75.2).由此说明21轮LiCi算法对相关密钥不可能差分密码分析是不免疫的.

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为70.0O(2),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为71.5O(2),数据量为263。

Zodiac算法的不可能差分和积分攻击

重新评估了Zodiac算法抗不可能差分攻击和积分攻击的能力.已有结果显示,Zodiac算法存在15轮不可能差分和8轮积分区分器.首先得到了算法概率为1的8轮截断差分,以此构造了Zodiac算法完整16轮不可能差分和9轮积分区分器.利用9轮积分区分器,对不同轮数Zodiac算法实施了积分攻击,对12轮、13轮、14轮、15轮和16轮Zodiac的攻击复杂度分别为234,259,293,2133和2190次加密运算,选择明文数均不超过216.结果表明,完整16轮192比特密钥的Zodiac算法也是不抗积分攻击的.

3D密码的不可能差分攻击

3D密码是在CANS2008上提出的一个新的分组密码算法,与以往的分组密码算法不同,它采用了3维结构。密码设计者给出了3D密码的一个5轮不可能差分并对6轮3D密码进行了不可能差分攻击。该文通过3D密码的结构特性找到了新的6轮不可能差分。基于新的不可能差分和3D密码的等价结构,可以对7轮和8轮3D密码进行有效的不可能差分攻击。此外,结合其密钥扩展规则,可以将攻击轮数提高至9轮。该文的攻击结果优于密码设计者的结果。

对PRINCE分组密码的不可能差分攻击

PRINCE是一个具有64bit分组长度,128bit密钥的轻量级分组密码,具有低功耗、低延时等特点.不包含密钥白化的PRINCE密码被称为PRINCEcore.为评估其安全性,笔者对PRINCE密码的线性变换进行统计测试,给出了线性变换的统计特征,并利用"中间相错"的方法构造了PRINCE密码的5轮不可能差分区分器.利用该区分器,结合线性变换的性质,对9轮PRINCEcore进行不可能差分攻击,攻击的数据复杂度为261.2,计算复杂度为254.3,存储复杂度为217.7.测试结果表明,9轮PRINCEcore密码对于文中给出的攻击是不免疫的.

用不可能差分法分析17轮SMS4算法

SMS4是我国在2006年公布的第一个商用分组密码算法.通过分析SMS4每一轮输入输出对的差分的变化,首次给出一个14轮SMS4的不可能差分特性:如果输入的明文对的差分为(a,a,a,0),那么14轮之后的输出差分不可能为(a,a,a,0).利用该性质,在14轮不可能差分密码分析的基础上,前面加了两轮,后面加了一轮,提出了一种不可能差分密码分析17轮SMS4的方法.该方法分析17轮SMS4需要2103的选择明文,2124的17轮SMS4加密以及289分组的记忆存储空间,猜测密钥的错误概率仅为2-88.7.

对轻量级密码算法MIBS的相关密钥不可能差分攻击

研究了轻量级分组密码算法MIBS抵抗相关密钥不可能差分的能力。利用MIBS-80密钥编排算法的性质,给出了一个密钥差分特征,并结合特殊明密文对的选取,构造了一个10轮不可能差分。在此不可能差分特征上进行扩展,对14轮的MIBS-80进行了攻击,并给出了复杂度分析。此攻击的结果需要的数据复杂度为254和时间复杂度为256。

FOX密码的不可能差分攻击

利用中间相遇法找到了FOX密码的4轮不可能差分,并利用不可能差分分析的方法,结合"时间—空间"权衡技术,改进了对FOX密码的攻击结果。结果显示:对于FOX64,攻击5轮的数据复杂度为239,时间复杂度为268,攻击6轮的数据复杂度为256,时间复杂度为2133,7轮的攻击复杂度分别为256和2213;对于FOX128,5轮攻击的复杂度为272和2134。也就是说7轮FOX64/256和5轮FOX128/192/256对改进后给出的不可能差分攻击都是不免疫的。

不可能差分分析时间复杂度通用计算公式的改进

研究Boura等和Derbez分别提出的不可能差分分析时间复杂度计算公式,根据实际攻击过程优化密钥排除的步骤,给出不可能差分分析实际攻击的时间复杂度计算的改进公式,进而利用两个分组密码算法模型将改进后公式计算的实际结果分别与Boura等的公式和Derbez的公式的计算结果进行对比,结果表明Boura等的公式计算结果既可能高于优化公式的实际分析计算的结果,也可能低于优化公式的实际分析计算的结果,而在轮子密钥独立时改进后公式的实际计算结果是Derbez公式的计算结果的2-1.2倍。

Zodiac算法新的不可能差分攻击

重新评估了Zodiac算法抵抗不可能差分攻击的能力。通过分析Zodiac算法的线性层,给出了Zodiac算法两条新的14轮不可能差分。利用新的不可能差分,结合Early-Abort技术对完整16轮的Zodiac算法进行了不可能差分攻击。攻击过程中一共恢复6个字节的密钥,其时间复杂度只有232.6次加密,数据复杂度约为285.6个明文,该攻击结果与已有最好的结果相比,时间复杂度降低了一个因子233。结果表明由于Zodiac算法线性层的扩散性差,使得该算法对不可能差分分析是不免疫的。

LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^(65.2)和2^(65.6)个选择明文,计算复杂度分别为2^(66.2)次23轮LBlock算法加密和2^(66.6)次24轮LBlock算法加密,存储复杂度分别为2^(61.2)和2^(77.2)字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.

对分组密码算法ARIA算法不可能差分分析的改进

依据ARIA的结构特性,基于Yu Sasaki和Yosuke Todo给出的4.5轮截断不可能差分路径,实现了对7轮ARIA-256的不可能差分分析,需要数据复杂度为2112和大约2217次7轮加密运算。与现有的研究成果对比,该分析在数据复杂度和时间复杂度上都有所减少。进一步研究8轮不可能差分分析,需要数据复杂度为2191和大约2319次8轮加密运算。虽然该结果超过了穷举搜索的攻击复杂度,但与已有的研究成果对比,减少了攻击复杂度。该方法改进了文献[12]的分析结果,降低了7轮攻击和8轮攻击的攻击复杂度。

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.

不可能差分攻击中的明文对筛选方法

基于快速排序原理,提出用于筛选明文对的基本算法和改进算法,改进算法的计算复杂性由直接检测方法的O(n2)降为O(nlogn)。以改进算法分析对ARIA等分组密码算法的几个不可能攻击的计算复杂性,证明某个针对ARIA的不可能攻击的数据筛选过程的计算复杂性远高于密钥求解过程的计算复杂性。

7轮ARIA-256的不可能差分新攻击

如何针对分组密码标准ARIA给出新的安全性分析是当前的研究热点。基于ARIA的算法结构,利用中间相遇的思想设计了一个新的4轮不可能差分区分器。基于该区分器,结合ARIA算法特点,在前面加2轮,后面加1轮,构成7轮ARIA-256的新攻击。研究结果表明:攻击7轮ARIA-256所需的数据复杂度约为2120选择明文数据量,所需的时间复杂度约为2219次7轮ARIA-256加密。与已有的7轮ARIA-256不可能差分攻击结果相比较,新攻击进一步地降低了所需的数据复杂度和时间复杂度。

加密算法Simpira v2的不可能差分攻击

评估适用于各类应用场景中,对称加密算法的安全强度对系统中数据机密性至关重要。Simpira v2是2016年在亚密会上发布可以实现高吞吐量的密码置换算法族,非常适用于信息系统中保护数据的机密性。Simpira-6是Simpira v2族加密算法中6分支的情形,分组长度为128 b比特(bit)。研究了Simpira-6作为Even-Mansour结构下的置换加密算法的安全强度,使用不可能差分攻击基本原理,首先构造一条当前最长的9轮Simpira-6不可能差分链,但基于此攻击需要的复杂度超过穷尽搜索;其次,在Simpira v2的安全性声明下,攻击7轮Simpira-6恢复384位主密钥,攻击需要数据和时间复杂度分别为2^(57.07)个选择明文和2^(57.07)次加密;最后,在Even-Mansour安全性声明下对8轮Simpira-6进行不可能差分攻击,恢复768位主密钥,攻击需要数据和时间复杂度分别为2^(168)个选择明文和2^(168)次加密。首次对Simpira v26分支情形的不可能差分攻击,为未来运用Simpira v2保护数据机密性提供重要的理论依据。

轻量级分组密码算法ESF的相关密钥不可能差分分析

八阵图算法(ESF)是一种具有广义Feistel结构的轻量级分组密码算法,可用在物联网环境下保护射频识别(RFID)标签等资源受限的环境中,目前对该算法的安全性研究主要为不可能差分分析。该文通过深入研究S盒的特点并结合ESF密钥扩展算法的性质,研究了ESF抵抗相关密钥不可能差分攻击的能力。通过构造11轮相关密钥不可能差分区分器,在此基础上前后各扩展2轮,成功攻击15轮ESF算法。该攻击的时间复杂度为2^(40.5)次15轮加密,数据复杂度为2^(61.5)个选择明文,恢复密钥比特数为40 bit。与现有结果相比,攻击轮数提高的情况下,时间复杂度降低,数据复杂度也较为理想。

μ^(2)算法的积分攻击和不可能差分攻击

2算法是由Yeoh等人设计的一种轻量级分组密码算法(doi:10.1007/978-981-15-0058-9-27),该算法全轮共15轮,采用TYPE-II广义Feistel结构,Yeoh等人在设计文档中对μ^(2)算法抵抗差分分析、线性分析的能力进行了评估,但μ^(2)算法抵抗积分攻击和不可能差分分析的能力目前尚不清楚。该文给出了μ^(2)算法的8轮和9轮积分区分器和9轮不可能差分,利用8轮积分区分器,对9轮μ^(2)算法进行了积分攻击,攻击的时间复杂度为2^(76)次9轮加密,数据复杂度为2^(48),存储复杂度为2^(48);利用9轮不可能差分,对11轮μ^(2)算法进行了不可能差分分析,攻击的时间复杂度为2^(49)次11轮加密,数据复杂度为2^(64)对明文。结果表明,9轮的μ^(2)算法不能抵抗积分攻击,11轮的μ^(2)算法不能抵抗不可能差分分析。另外,该文对μ^(2)算法抵抗差分攻击的能力进一步评估并证明4轮μ^(2)算法的差分特征的最大概率为2^(-39),与设计报告指出的4轮差分特征的概率不超过2^(-36)相比结果更为紧致。

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37bit密钥。

分组密码9轮Rijndael-192的不可能差分攻击

由于分组密码具有速度快、标准化、便于软硬件实现的特点,在信息安全领域有着广泛的应用,因此有必要研究分组密码的安全性。不可能差分攻击是针对分组密码有效的攻击方法之一,文章主要研究了分组密码Rijndael-192的9轮不可能差分攻击。文章依据列混淆变换差分分支数为5的性质,构造了一种5轮Rijndael-192不可能差分区分器;然后基于该区分器,利用S盒的性质和密钥扩展方案的弱点,对9轮Rijndael-192进行了密钥恢复攻击。结果表明,针对密钥长度为192的9轮Rijndael-192攻击方法,数据复杂度为2176.6个选择明文,时间复杂度为2188.2次加密,存储复杂度为2120个块,与已有的结果相比,该方法在数据复杂度、时间复杂度和存储复杂度上都有所降低;针对密钥长度为224和256的9轮Rijndael-192攻击,数据复杂度为2178.2个选择明文,时间复杂度为2197.8次加密,存储复杂度为2120个块,与已有的结果相比,该方法的数据和存储复杂度有所降低。