分组密码uBlock

本文首先介绍分组密码uBlock算法,然后简要介绍uBlock的设计原理,初步的安全性分析评估,以及各种平台的实现性能等.uBlock是一族分组密码算法,分组长度和密钥长度支持128和256比特.uBlock算法的整体结构、S盒、扩散矩阵、密钥扩展等设计,处处体现了安全、实现效率以及适应性的平衡.uBlock算法对差分分析、线性分析、积分分析、不可能差分分析、中间相遇攻击等分组密码分析方法具有足够的安全冗余.uBlock算法适应各种软硬件平台;充分考虑了现代微处理器的计算资源,可以利用SSE和AVX2等指令集高效实现;硬件实现简单而有效,既可以高速实现,保障高性能环境的安全应用,也可以轻量化实现,满足资源受限环境的安全需求.

分组密码算法uBlock积分攻击的改进

积分攻击是由Daemen等人(doi:10.1007/BFb0052343)于1997年提出的一种密码分析方法,是继差分分析和线性分析之后最有效的密码分析方法之一。作为2018年全国密码算法设计竞赛分组算法的获胜算法,uB-lock抵抗积分攻击的能力受到较多的关注。为了重新评估uBlock家族密码算法抵抗积分攻击的安全性,该文利用单项式传播技术,结合混合整数线性规划(MILP)工具搜索积分区分器,并利用部分和技术进行密钥恢复攻击。对于uBlock-128/128和uBlock-128/256,基于搜索到的9轮积分区分器分别进行了首个11轮和12轮攻击,数据复杂度为2~(127)选择明文,时间复杂度分别为2~(127.06)和2~(224)次加密,存储复杂度分别为2~(44.58)和2~(138)字节;对于uBlock-256/256,基于搜索到的10轮积分区分器进行了首个12轮攻击,数据复杂度为2~(253)选择明文,时间复杂度为2~(253.06)次加密,存储复杂度为2~(44.46)字节。与之前uBlock的最优积分攻击结果相比,uBlock-128/128和uBlock-256/256的攻击轮数分别提高2轮,uBlock-128/256的攻击轮数提高3轮。本文的攻击说明,uBlock针对积分攻击依然有足够的安全冗余。

基于FPGA的TANGRAM分组密码算法实现

TANGRAM系列分组密码算法是一种采用比特切片方法,适合多种软硬件平台的系列分组密码算法。针对TANGRAM-128/128算法,使用Verilog HDL对该算法进行FPGA实现并提出设计方案。首先,介绍了TANGRAM密码算法的特点和流程,提出了针对TANGRAM密码算法进行44轮加/解密迭代计算的方案,该方案采取有限状态机的方法有效降低了资源消耗;其次,基于国产高云云源平台,完成了基于高云FPGA的算法工程实现,以及功能仿真和数据的正确性验证,同时在QuartusⅡ13.1.0平台上也进行了相关测试,用以比较。测试结果表明,TANGRAM系列分组密码算法基于Altera公司的CycloneⅣE系列EP4CE40F29C6芯片进行工程实现,最大时钟频率为138.64 MHz,加/解密速率为403.30 Mbps;基于高云半导体GW2A-55系列芯片的最大时钟频率为96.537 MHz,加/解密速率为280.80 Mbps。

万物网中轻量级可调分组密码QARMA的统计故障分析

基于唯密文攻击(ciphertext-only attack,COA)假设,提出了能够破译万物网(Internet of Everything,IoE)中QARMA密码算法所有版本的统计故障分析(statistical fault analysis,SFA)。针对调柄的不确定性,利用多种分析策略有助于将故障注入更深的轮数。为了提高分析效率,提出了两种新型区分器:克米试验—汉明重量区分器(Cramér-von Mises test-Hamming weight,CM-HW)和柯伊伯检验—极大似然估计(Kuiper’s test-maximum likelihood estimation,KT-MLE)区分器。试验结果表明,攻击者仅需将374个或者726个随机故障分别注入到两个版本的QARMA密码的倒数第三轮,即可以99%的可靠度恢复其128比特或者256比特子密钥。综上所述,在万物网的应用环境中,QARMA容易受到统计故障分析的影响。研究结果可为具有反射结构的轻量级可调分组密码和密码设备的保护提供参考。

基于量子Simon算法对分组密码类EM结构的密钥恢复攻击

文章基于量子Simon算法(一类经典量子周期寻找算法)的量子过程以及应用,对类EM结构进行基于量子Simon算法的密码分析,以类EM结构的加密算法为研究对象,运用量子Simon算法,构造适用于Simon算法的函数,对类EM加密结构的5轮加密过程进行密钥恢复攻击。结果显示,在密钥长度的多项式时间内,文章所提方法可以成功恢复出第五轮加密密钥,且根据此密钥可以分析出其他轮密钥。研究结果表明,在密钥长度的多项式时间内,可以找到其中一个密钥,量子条件下密钥的可恢复性说明该结构的安全轮数应当高于5轮,为未来对称密码体制的研究和发展奠定了一定的基础。

唯密文场景下的分组密码算法识别方法

唯密文场景下的分组密码算法识别方法研究,旨在探讨在仅知道密文的情况下,如何有效地识别出所使用的分组密码算法,这一问题的研究对于提高加密系统的安全性具有重要意义。通过对随机序列随机性检测方法的研究,基于集成学习模型构建了识别模型,实现了唯密文场景下的分组密码算法识别技术,可以有效提取密文数据特征,经实验验证,识别效果优于现有方法。

混沌密码理论研究与应用新进展

混沌密码研究主要包括混沌序列密码、混沌分组密码和混沌公钥密码。混沌序列密码具有软硬件实现简单、加解密处理速度快、没有或只有有限的错误传播等特点。混沌序列密码的设计方面研究成果极为丰硕,但其安全性分析一般停留在统计性验证分析阶段,而对可证明安全性或其他有条件安全性的证明和分析很少,因此证明混沌序列密码的安全性已成为该领域亟需填补的空白。混沌分组密码的研究颇为成熟,但其整体结构一般受限于Feistel结构、SPN结构、Lai-Massey结构及其变形结构。因此,构建突破传统结构的创新性密码架构成为混沌分组密码亟待解决的关键问题之一。混沌公钥密码的研究相对薄弱,利用混沌系统特有的密码特性和公钥密码系统相结合的混沌公钥密码算法不仅具有理论研究意义,而且具有实际应用价值。混沌系统也被广泛应用于通信传输、语音加密、图像加密和扩频通信等保密通信领域。电、光混沌系统实现简便,其计算复杂性不会随着密钥空间的增大而明显增大,能够为无线通信、物理层链路安全、应用层数据安全等不同场景提供安全保护。

新形态对称密码算法研究

安全多方计算、全同态加密和零知识证明是解决数据安全问题的重要密码技术,其快速发展和应用需求驱动,引发了新形态对称密码的设计与安全性分析.本文系统介绍适宜安全多方计算、全同态加密和零知识证明的新形态对称密码算法.首先梳理新形态对称密码算法的应用需求和设计目标;然后归类介绍新形态对称密码算法的设计理念和最新的安全性评估结果;最后总结探讨新形态对称密码算法的设计特点以及面临的问题.

基于机器学习的分组密码结构识别

加密算法的识别与区分是密码分析领域的重要组成部分,是密钥恢复技术的前提条件之一,随着人工智能技术的不断发展,利用机器学习、神经网络等技术研究密码分析问题日趋成熟,这为实现以加密算法为代表的密码体制识别技术提供了有效的思路与启发。通过研究机器学习的基本原理,从理论和实验两个角度对Feistel和SPN结构的多种常见分组密码算法进行了识别实验,解决了随机密钥条件下利用未知密文识别分组密码加密结构的问题。引入游程分布指标、特征分布函数和KL散度等概念,通过分析两种分组密码结构加密后的密文特征分布,推导随机密钥条件下两种结构密文游程分布表达式,利用KL散度计算分布的差异性,证明两种结构密文间存在差异性,论证了实验的可行性;根据理论结果,建立了随机森林和Adaboosting2种机器学习模型,对12种分组密码算法在随机密钥条件下全轮加密后的密文提取密文游程分布指标,按照同种结构单一算法和同种结构混合算法两种标准对不同结构分组密码算法进行了识别。实验结果显示,两组实验中对各个具体算法的结构识别准确率高于80%,较已有工作提高40%左右,有效解决了随机密钥情况下分组密码结构识别问题,严格证明了两种分组密码结构之间在密文扩散性、分布关系上确实存在可区分的差异性,也为密码算法设计和安全性评估提供一定的参考。

分组密码最小活跃S盒个数快速搜索算法

为了解决密码设计中最小活跃S盒个数的快速计算问题,研究了扩散层的差分和掩码传播性质,提出了一种计算最大距离可分(MDS)矩阵和二元域矩阵的差分/掩码模式分布表的方法,并证明了所提方法计算复杂度的下界。基于扩散矩阵的差分/掩码模式分布表,提出了一种快速搜索分组密码最小活跃S盒个数的算法,将其用于代入置换网络(SPN)型分组密码,找到了LED、SKINNY、CRAFT和FIDES的全轮最小活跃S盒个数。

缩减轮的超轻量级分组密码算法PFP的不可能差分分析

基于Feistel结构的轻量级分组密码算法PFP适用于物联网终端设备等资源极端受限环境。目前对PFP算法不可能差分分析的最好结果是利用7轮不可能差分区分器攻击9轮PFP算法,这样可恢复36 b的种子密钥。为了更准确地评估PFP算法抵抗不可能差分分析的能力,对PFP算法结构进行研究。首先,通过分析轮函数中S盒的差分分布特性,找到了概率为1的两组差分;其次,结合置换层特点,构造出一组包含16条不可能差分的7轮不可能差分区分器;最后,基于构建的7轮不可能差分区分器,对9轮PFP算法进行不可能差分分析以恢复40 b种子密钥,并提出对10轮PFP算法的不可能差分分析方法来恢复52 b种子密钥。结果表明,所提方法在区分器数量、分析轮数、恢复密钥比特数等方面均有较大改善。

基于代数结构视角对轻量分组密码WARP的积分分析

在融合了物联网、5G网络等新一代信息技术的工业互联网中,底层终端设备产生海量数据.数据安全传输的需求使得针对资源受限环境所设计的轻量级密码得到广泛应用.对新提出的轻量级密码进行安全性评估对于保障工业互联网的安全运行至关重要.发现了某种特定结构加密算法基于多变量多项式的积分性质,利用该性质得到了更长积分区分器,改进了基于代数结构的分析方法.提出了基于代数结构构造SPN(substitution permutation network)和Feistel-SP结构分组密码积分区分器的框架,并将其应用于SAC 2020会议上提出的轻量分组密码WARP的分析上,构造了2个复杂度为2^(116)的22轮积分区分器,比设计者给出的区分器多了2轮,并且复杂度更低.利用该积分区分器,实现26轮密钥恢复攻击,比设计者给出的密钥恢复攻击增加了5轮,这是目前在单密钥情境下对WARP最好的攻击结果.此外,还对18轮积分区分器进行了实验验证,运算复杂度为2^(32).

基于持续性故障的分组密码算法S盒表逆向分析

基于故障注入的逆向分析技术通过向运行保密算法的设备中注入故障,诱导异常加密结果产生,进而恢复保密算法内部结构和参数.在除S盒表外其他运算结构已知的前提下,本文基于持续性故障提出了一种分组密码算法S盒表逆向分析方法.我们利用算法中使用故障元素的S盒运算将产生错误中间状态并导致密文出错这一特点,构造特殊的明文和密钥,诱导保密算法第二轮S盒运算取到故障值,从而逆向推导出第一轮S盒运算的输出,进而恢复出保密算法S盒表的全部元素.以类AES-128(Advanced Encryption Standard-128)算法为例,我们的方法以1441792次加密运算成功恢复出完整S盒表,与现有的其他逆向分析方法进行对比,新方法在故障注入次数和计算复杂度上有明显优势.进一步,我们将该方法应用于类SM4算法,并以1900544次加密运算恢复出保密S盒表.最后,我们综合考虑了分组密码算法的两种典型结构Feistel和SPN(Substitution Permutation Network)的特点,对新方法的普适性进行了讨论,总结出适用算法需具备的条件.

约减轮数分组密码LEA的差分分析

LEA算法是面向软件的轻量级加密算法,在2019年成为ISO/IEC国际标准轻量级加密算法,具有快速加密、占用运算资源少等优点。该文基于多条输入输出差分相同的路径计算了差分概率,首次对LEA-128进行了13轮和14轮的密钥恢复攻击;采用提前抛弃技术,分别在12轮和13轮差分特征后面添加了1轮,恢复了96 bit密钥;其中13轮的密钥恢复攻击数据复杂度为2^(98)个明文,时间复杂度为2^(86.7)次13轮LEA-128解密;14轮的密钥恢复攻击数据复杂度为2118个明文,时间复杂度为2^(110.6)次14轮LEA-128解密。

面向分组密码的高速可重构模运算单元设计

模运算单元是粗粒度可重构密码阵列(Coarse Grain Reconfigurable Cryptographic Array,CGRCA)的关键部件,通过重构不同处理位宽和模数的算术类密码算子来覆盖更多类型的分组密码,然而现有的模运算单元的执行延迟高且功能覆盖率低,限制了CGRCA整体性能的提升。文章通过分析分组密码模运算特性,提出一种可重构模运算方法,统一了该类算子的数学表达方式,并设计了一种可重构模运算单元(Reconfigurable Modulo Arithmetic Unit,RMAU),该单元支持5种模乘运算、3种模加运算和3种乘法累加运算。同时,通过舍弃部分积中的无用比特位、扩展Wallace树压缩求和过程、精简模修正电路执行路径,降低了该单元的关键路径延迟。基于CMOS 180 nm工艺测试了RMAU的功能与性能,实验结果表明,文章所提的RMAU具备高功能覆盖率,与模乘RCE单元、可扩展模乘结构和RNS乘法器相比,计算延迟分别降低了39%、44%和47%。

面向分组密码的可重构联合移位运算单元设计与实现

移位运算是分组密码中的重要构件,针对可重构密码处理器中移位运算单元灵活性低的问题,通过分析分组密码移位操作特点,提出了面向分组密码的联合移位运算.通过交换操作数、配置移位位数的方式,实现不同位宽不同方向的移位运算.在此基础上,分别采用半定制和全定制IC设计方法分别设计了基于标准单元库、基于CMOS传输门和基于NMOS单管传输门的可重构联合移位电路.实验表明,与基于标准数字单元库的联合移位电路(S-RJSM)相比,基于CMOS传输门实现的联合移位电路(C-RJSM)和基于NMOS单管传输门实现的联合移位电路(N-RJSM)延时分别减少了85.30%、50.69%,功耗-延时积分别减少了97.27%、90.43%.与其他CGRA移位运算单元相比处理速度更快,可有效提升CGRA计算性能.

NAYUTA:一种基于分组密码的加密算法

分组密码作为对称密码的一个重要分支,在保护信息安全方面具有重要作用;当今主流的分组密码算法有DES、AES、SMS4等加密算法。该算法作为基于分组密码设计的加密算法,选取分组密码的K空间中的密钥元素作为置换依据对密文进行置换,并在置换完毕后将密钥插入密文中,通过函数将密文中的所有块和密钥进行处理并发送。相较于其他的加密算法,NAYUTA主要面向即时通讯,利用密文–密文验证的双因子验证模式和密文–密文验证的双因子混合模式,增加了统计学分析攻击的难度,同时也保证了密文信息的可信性和完整性。对于双因子验证模式的处理函数而言,该模式是一种基于时间的对称加密方式,使得加密近似于理想OTP (One-Time Password)的加密方式。NAYUTA目前已将在软件层面和硬件层面均有实现。

基于分组密码的图像加密域信息隐藏

提出一种基于分组密码的加密域信息隐藏方法,对图像像素转换之后的数据,高七位采用分组密码DES进行加密,最低位利用LSB算法完成信息隐藏。由于DES算法是分组加密,加密过程更加复杂,对图像产生的加密效果更明显;而信息隐藏方面采用最低位的置换,对图像视觉上没有造成影响,可实现秘密信息的隐藏。通过实验证明,算法操作简单,可实行性高,图像解密与信息提取过程互不影响,在接收端对于两者的顺序没有限制,满足可分离要求;除此之外还具有秘密信息能够无损恢复,算法安全性较高等显著优点。

两类动态密码结构抵抗不可能差分和零相关线性能力评估

动态密码的设计与分析是当前密码学领域研究的热点.本文针对类CLEFIA动态密码结构和四分组CLEFIA变换簇抵抗不可能差分和零相关线性分析的能力进行评估.当两类动态密码结构的轮函数为双射时,通过研究密码组件的可交换性质,证明了这两类动态密码结构各自置换等价于标准静态密码结构.利用建立的置换等价关系,通过构造静态密码结构不可能差分和零相关线性区分器,证明了4n轮类CLEFIA动态密码结构所有结构均存在8轮的不可能差分和零相关线性区分器,证明了4n轮四分组CLEFIA变换簇所有结构均存在9轮的不可能差分和零相关线性区分器.

流密码框架下的SM4专用认证加密算法

认证加密算法是能同时满足数据机密性与完整性的对称密码算法,在数据安全领域具有广泛应用。针对基于分组密码的认证加密算法的安全性以及效率需求,提出一种基于SM4轮函数的专用认证加密算法SMRAE。算法采用流密码思想,从SM4底层部件出发,结合Feistel结构设计状态更新函数用于轮变换,处理256 bit消息只需调用4个SM4轮函数指令。在初始化阶段将初始向量和密钥经过16轮迭代,使差分充分随机化;利用SM4加密消息,将生成的密文参与轮变换,实现状态更新和加密并行;解密时先进行消息认证,降低时间消耗,提高算法安全性。安全性分析与实验结果表明SMRAE能够抵抗伪造攻击、差分攻击和猜测攻击等主流攻击,效率高于AES-GCM,与SM4效率相当,具备一定的实用性。