基于深度学习的多差分神经网络区分器及其应用

随着深度学习的发展,尤其是随着多层神经网络(MLP)、深度神经网络(DNN)、卷积神经网络(CNN)等网络的出现,其在多个领域得到广泛应用,如视觉识别、语音识别、自然语言处理等领域。在2019年的美密会上提出利用单差分深度残差网络区分器进行密钥恢复攻击的方法,将深度学习的应用扩展到密码算法分析领域。利用多差分残差网络区分器进行密钥恢复攻击,该方法可有效减少数据复杂度,并增加攻击轮数。以RC516的攻击为例,计算复杂度和数据复杂度分别减少为后者的1/12,攻击轮数由11个半轮增加到了12个半轮。

几类密码算法的神经网络差分区分器的改进

为了进一步研究神经网络在密码分析方面的应用,利用深度残差网络和传统差分密码分析技术构造并改进了几类典型的轻量级分组密码算法的神经网络差分区分器。主要取得以下结果:①分别构造了4~7轮PRESENT、3轮KLEIN、7~9轮LBlock和7~10轮Simeck 32/64的神经网络差分区分器,并基于密码的分组结构分别进行了分析;②基于SPN结构分组密码的特点对PRESENT和KLEIN的神经网络差分区分器进行了改进,最多可提高约5.12%的准确率,并在对LBlock的神经网络差分区分器进行研究时验证得出这种改进方式不适用于Feistel结构的分组密码;③基于Simeck 32/64本身密码算法的特点对其神经网络差分区分器进行改进,提高了约2.3%的准确率。同时,将Simeck 32/64的改进方法与多面体差分分析进行结合,将已有的8轮和9轮Simeck 32/64多面体神经网络差分区分器的准确率提高了约1%和3.2%。最后,将实验中得到的3类神经网络差分区分器模型分别应用到11轮Simeck 32/64的最后一轮子密钥恢复攻击中,其中最佳的实验结果是在1000次攻击实验中以26.6的数据复杂度达到约99.4%的攻击成功率。

基于神经网络区分器的SIMON-like算法参数安全性评估

神经网络区分器作为一种新的可被应用于密码算法安全性分析的工具,一经提出便被应用于多种密码算法的安全性分析。对于SIMON-like算法,其循环移位参数的选择有多种。利用神经网络区分器对分组长度为32 bit的SIMON-like算法的循环移位参数(a,b,c)的安全性进行了研究,并给出了好的循环移位参数选择。利用Kölbl等在CRYPTO2015中提出的SIMON-like算法仿射等价类思想,将分组长度为32 bit的SIMON-like算法的循环移位参数划分至509个等价类,并选择其中使gcd(a-b,2)=1成立的240个等价类进行研究。针对240个等价类的代表元构建了自动化搜索差分路径的SAT/SMT模型,并利用SAT/SMT求解器搜索了不同代表元的多轮最佳差分路径。利用搜索得到的最佳差分路径的输入差分训练了神经网络区分器,选择其中准确率最高的神经网络区分器作为代表元的神经网络区分器,统计了不同代表元的神经网络区分器准确率。发现Kölbl等给出的20个最佳循环参数并不能使神经网络区分器的准确率最低,而且其中4个循环移位参数对应的神经网络区分器的准确率超过了80%,这意味着这4个循环移位参数抗神经网络区分器的能力是差的。综合考虑Kölbl等的选择和不同代表元的神经网络区分器准确率,给出了3个好的循环移位参数选择,即(6,11,1)、(1,8,3)和(6,7,5)。

基于深度学习的差分神经区分器求解方法

针对差分神经区分器中准确率随着密码算法轮数增加而快速降低的问题,提出一种差分神经区分器求解方法。将深度学习技术与多差分密码分析相结合,通过采用神经网络拟合密码算法的多输入及多输出差分,设计多差分神经区分器通用模型。该模型中所使用的输入参数被设置为多个明文差分、相应的密文及密文差分。将其应用于分析Speck32/64及Simon32/64密码算法,结果表明,Speck32/64的5至7轮区分器准确率均有显著提升;Simon32/64的密码区分器轮数从9轮提升至10轮,说明该方法的有效性。

基于神经区分器的KATAN48算法条件差分分析方法

针对KATAN48算法的安全性分析问题,提出了一种基于神经区分器的KATAN48算法条件差分分析方法。首先,研究了多输出差分神经区分器的基本原理,并将它应用于KATAN48算法,根据KATAN48算法的数据格式调整了深度残差神经网络的输入格式和超参数;其次,建立了KATAN48算法的混合整数线性规划(MILP)模型,并用该模型搜索了前加差分路径及相应的约束条件;最后,利用多输出差分神经区分器,至多给出了80轮KATAN48算法的实际密钥恢复攻击结果。实验结果表明,在单密钥下,KATAN48算法的实际攻击的轮数提高了10轮,可恢复的密钥比特数增加了22比特,数据复杂度和时间复杂度分别由2^(34)和2^(34)降至2^(16.39)和2^(19.68)。可见,相较于前人单密钥下的实际攻击,所提方法能够有效增加攻击轮数和可恢复的密钥比特数,同时降低攻击的计算复杂度。

3D密码的7轮子空间迹区分器

子空间迹攻击是一种新型分组密码分析方法,该文对使用了类AES密码新结构的3D密码子空间性质进行研究。首先利用3D密码的3轮明确子空间迹,结合子空间的交集性质,首次构造出3D密码的7轮子空间迹不可能差分区分器,数据复杂度为2193.1个选择明文,时间复杂度为2202.3次查表操作,成功率为60.6%;“n倍”性质指子空间的全部明文对经过一轮加密,差分属于同一子空间的密文对个数为n的倍数。利用该性质,构造了3D密码的7轮结构区分器,数据复杂度为2128个选择明文,时间复杂度为2129.6次查表操作,存储复杂度为2128Byte,成功率大于99.99%。

GRANULE和MANTRA算法的不可能差分区分器分析

轻量级分组密码算法GRANULE和MANTRA结构简单,加密速度快且易于软硬件实现,特别适用于资源受限环境。为对这2种算法进行安全性分析,提出一种不可能差分区分器的自动化搜索方法。基于GRANULE和MANTRA算法结构特性,通过分析其S盒的差分分布表得到S盒差分特征,再利用中间相遇思想,分别对从加/解密方向得到的差分路径进行遍历,筛选出概率为0的最优差分路径。分析结果表明,GRANULE算法存在144个不同的7轮不可能差分区分器;MANTRA算法存在52个不同的9轮不可能差分区分器。与已有结果相比较,新发现的区分器轮数均是目前最高的。

TASS1算法的不可能差分区分器搜索

TASS1是2019年全国密码算法设计竞赛的参赛分组密码算法之一,支持128比特和256比特两种明文分组长度.该算法基于广义Feistel结构设计,其特色是非线性部件采用了密化随机池.本文主要对TASS1算法进行差分类安全性分析,通过对差分比特单元建立大规模线性方程组,证明存在分组长度128版本的19步概率为1的差分特征,由此特征可以构造40步不可能差分区分器;对于分组长度为256比特的版本,证明存在40步概率为1的差分特征,由此特征可以构造82步(全轮为49步)不可能差分区分器.

构造Feistel-SP结构高阶差分区分器的新方法

著名的分组密码算法DES所采用的Feistel结构一直活跃在对称密码领域,它的安全性分析也是密码学的热点之一.AES的问世,并没有减弱Feistel结构的吸引力,反而给了很多分组密码与杂凑函数的设计者启发,许多新出现的对称密码算法整体采用Feistel结构,而轮函数采用SP结构,一般称它们为Feistel-SP类算法.本文对这类结构的代数次数增加情况进行研究,利用Feistel结构的迭代特点与SP结构的积分性质,改进了Feistel-SP类算法代数次数上界的估计方法.利用这一方法可以构造此类算法更多轮数的高阶差分区分器与已知密钥高阶差分区分器.此外,我们利用这一技术得到了四种常用参数下Feistel-SP结构的高阶差分区分器,其中两个为现在此类结构轮数最长的已知密钥区分器.最后,我们将这一技术用于分析LBlock分组密码,得到它15轮的非随机性结果.

基于最优区分器的多差分密码分析方法

如何利用多个差分特征对分组密码算法进行差分攻击,从而精确地估计出分组密码算法抵抗差分攻击的能力,是一个重要的研究课题.文中基于最优区分器的思想,提出了一种多差分密码分析方法.针对每个实验密钥,构造出基于多个差分特征的统计量,根据统计量的大小判决实验密钥是否为正确密钥.给出了多差分分析方法的计算复杂度,分析了正确密钥、错误密钥对应统计量的概率分布规律,并在此基础上给出了多差分分析方法的成功率和数据复杂度之间的关系.通过具体实例表明,在成功率相同的条件下,基于的差分特征越多,需要的数据复杂度越小.

基于SAT的GRANULE算法不可能差分分析

基于布尔可满足性问题(SAT)的自动化搜索方法可以直接刻画与、或、非、异或等逻辑运算,从而建立更高效的搜索模型。为更高效地评估GRANULE算法抵抗不可能差分攻击的能力,首先,基于S盒差分分布表性质优化S盒差分性质刻画的SAT模型;其次,对GRANULE算法建立基于比特的不可能差分区分器的SAT模型,通过求解模型得到多条10轮GRANULE算法的不可能差分区分器;再次,针对不可能差分区分器,给出改进的SAT自动化验证方法并验证;最后,将得到的区分器往前和往后各扩展3轮,对GRANULE-64/80算法发起16轮的不可能差分攻击,通过该攻击可以恢复80比特主密钥,时间复杂度为251.8次16轮加密,数据复杂度为241.8个选择明文。与表现次优的对GRANULE算法不可能差分分析的方法相比,所得到的区分器轮数和密钥恢复攻击轮数都提高了3轮,且时间复杂度、数据复杂度都进一步下降。

基于PU分类的差分区分器及其应用

差分分析方法的核心是构造高效的差分区分器.2019年Aron Gohr采用深度学习残差网络的方法构造差分区分器,应用于减轮Speck32/64密码算法,五轮和六轮的差分器成功率分别是0.929和0.788.本文采用PU学习(positive-unlabeled learning)的方法,对Speck32/64算法的差分对数据进行训练,利用神经网络中的多层感知机与基于PU学习构造的损失函数,训练得到了一个基于PU分类的差分区分器,并对于减轮Speck32/64算法进行攻击,五轮和六轮差分器成功率分别是0.965和0.860.

一种基于完全性的不可能差分区分器构造方法

基于混合运算的密码算法(MOC)以安全性高、软硬件实现效率高等特点受到人们的广泛关注。完全性指输出的每一比特都包含有输入每一比特的信息,达到完全性是密码算法设计的一个基本原则。该文提出针对MOC算法完全性分析的通用算法,并在此基础上提出利用完全性寻找MOC算法的不可能差分区分器的方法,此构造方法可直接给出MOC算法高重量的不可能差分区分器且搜索效率高,为MOC算法不可能差分区分器的实际构造提供了理论指导和技术支持。应用此方法找到了SIMON系列算法全部现有的最长不可能差分区分器,并找到了SPECK系列算法更多的不可能差分区分器。

一种计算ARX密码差分—线性偏差的新方法

ARX密码由模加、循环移位和异或这3种基本运算组成。目前ARX密码差分—线性区分器偏差的计算大多采用统计分析的方法。在2022年美密会上,NIU等给出了一种计算ARX密码差分—线性区分器相关度的非统计分析的方法,并给出了SPECK32/64的10轮差分—线性区分器。基于BLONDEAU等和BAR-ON等的方法,给出了差分—线性特征的定义,并首次提出了用差分—线性特征计算差分—线性区分器偏差的方法。同时,提出了一种基于布尔可满足性问题(SAT)自动化技术搜索差分—线性特征的方法,给出了计算ARX密码差分—线性区分器偏差的非统计分析的新方法。作为应用,对NIU等给出的SPECK32/64的10轮差分—线性区分器偏差进行计算,得到的理论值为2-15.00,非常接近统计分析的实验值2-14.90,且优于NIU等给出的理论值2-16.23。同时,首次给出了SIMON32/64的9轮差分—线性区分器偏差的理论值2-8.41,接近统计分析得到的实验值2-7.12。实验结果说明了这种方法的有效性。

基于MILP对轻量级密码算法FBC-128的差分分析

FBC(Feistel-based Block Cipher)是入围全国密码算法设计竞赛第二轮的轻量级分组密码.由于它具备算法结构简洁、安全性高及软硬件实现性能卓越等优点,备受业界广泛关注.FBC密码算法的数据分组长度和密钥长度至少为128比特,记为FBC-128.目前对FBC-128算法差分攻击的最好结果是12轮,时间复杂度为293.41次加密,数据复杂度为2122个选择明文对.然而,FBC算法是否存在更长的差分区分器,能否对其进行更高轮数的密钥恢复攻击仍有待解决.本文基于混合整数线性规划(MILP)的自动化搜索方法,提出了“分段统计法”来求解FBC-128的差分特征.实验测试结果表明:FBC-128存在15轮差分区分器,其概率为2-121.然后将其向后扩展1轮,对16轮FBC-128算法发起密钥恢复攻击,其数据复杂度为2121个选择明文数据量,时间复杂度为292.68次加密.与已有结果相比,差分区分器和密钥恢复攻击都提升了4轮,并且所需的数据复杂度和时间复杂度更低.

基于SAT的ARX不可能差分和零相关区分器的自动化搜索

ARX(Addition,Rotation,Xor)算法基于模整数加,异或加和循环移位三种运算,便于软硬件的快速实现.不可能差分分析和零相关分析是攻击ARX的有效方法,攻击的关键是搜索更长轮数、更多数量的不可能差分和零相关区分器.目前很多的搜索方法都没有充分考虑非线性组件的性质,往往不能搜索得到更好、更准确的区分器.本文提出了基于SAT(Satisfiability)的ARX不可能差分和零相关区分器的自动化搜索算法.通过分析ARX算法组件的性质,特别是常规模加和密钥模加这两种非线性运算差分和线性传播的特性,给出了高效简单的SAT约束式.在此基础上,建立SAT模型进行区分器的搜索.作为应用,本文首次给出了Chaskey算法13条4轮不可能差分和1条4轮零相关区分器;首次给出了SPECK32算法10条6轮零相关区分器和SPECK48算法15条6轮零相关区分器;在较短的时间内,给出了HIGHT算法17轮的不可能差分和零相关区分器.与现有结果相比,无论是区分器的条数,还是搜索区分器的时间均有明显的提升.此外,通过重新封装求解器STP的输出接口,建立了自动化的SAT\\SMT分析模型,能够给出ARX算法在特殊输入输出差分和掩码集合下,不可能差分和零相关区分器轮数的上界.

深度学习在分组密码差分区分器上的研究应用

差分分析在分组密码分析领域是一种重要的研究方法,针对分组密码的差分分析的重点在于找到一个轮数或者概率更大的差分区分器.首先描述了通过深度学习技术构造差分区分器时所需要的数据集的构造方法,并且分别基于卷积神经网络(convolutional neural networks,CNN)和残差神经网络(residual neural network,ResNet)训练了两种轻量级分组密码算法SIMON32与SPECK32的差分区分器,并对两种模型得到的差分区分器进行了比较,发现综合考虑时间花销与精度的前提下,在SIMON32的差分区分器构造上,ResNet训练得到的模型表现更好,而CNN则在SPECK32的模型训练上表现的更好;其次,研究了网络模型中卷积运算个数对模型精度的影响,发现在原有模型基础上增加CNN模型的卷积层数和ResNet模型的残差块数,都会导致模型精度的下降.最后,给出在进行基于深度学习的差分区分器构造时的模型及参数选择建议,即,应该首要考虑低卷积层数的CNN模型和低残差块数的ResNet模型.

典型密码结构的不可能差分区分器研究

20世纪40年代Shannon提出了对称密码设计的两个重要原则“混淆”和“扩散”,之后密码学者们基于这两个原则构造了Feistel、SP、广义Feistel、MISTY等主要整体结构,目前这些结构被广泛运用于各种标准密码算法和新型认证加密算法。对这几种主要密码算法的整体结构进行了介绍和研究,并基于具体结构的特点,系统地对广义Feistel结构中TYPE-I、TYPE-II、TYPE-Ⅲ型结构构建了不可能差分区分器,对区分器轮数下界进行了推导和证明,为网络安全领域分组密码、序列密码、认证加密、Hash函数等对称密码的设计和分析提供了参考。

构造零和区分器的新方法

通过分析具有相似结构的AES类置换的扩散性质,提出了一种构造零和区分器的新方法。这种方法组合了高阶积分攻击和高阶差分攻击,利用选择的一个确定其活跃模式的中间状态,构造一条高阶积分路径,然后以此路径的2个终点作为起始点,再构造高阶差分路径。利用此方法,改进了对PHOTON杂凑函数族2个置换的全轮零和攻击,并对进入SHA-3最终轮的JH算法的核心函数构造了31.5轮的零和区分器。

基于卷积残差网络的SM4算法分析

由于密码分析与深度学习之间天然的相似性,各种深度学习技术开始被应用于密码分析中。为分析国密SM4算法的安全性,采用卷积残差网络构建模型,搜索SM4算法差分区分器。模型基于选择的明文差值和数据集进行训练,通过数据处理、参数和函数的优化,构造了3~8轮差分区分器。测试结果表明,模型可以对SM4算法低轮数加密的密文对与随机数据进行区分,但随着轮数的增加,模型已无法有效区分密文对和随机数据。结果表明,SM4算法具有良好的安全性。