改进的7轮AES-128的不可能差分攻击

AES的不可能差分分析是AES众多分析方法中最为有效的方法之一.本文之前,AES-128的不可能差分攻击最好结果是由Mala等人在2010年提出的.他们构造了一个新的4轮不可能差分区分器并攻击了7轮AES-128,攻击需要106.22个选择明文,时间复杂度为110.22次AES加密,存储量为94.22个字节.在本文中,我们采用并行攻击技术和明文对早夭技术,运用基于快速排序原理的明文对筛选方法,对Mala等人的7轮AES-128的不可能差分攻击进行了改进,更为有效地排除错误的候选密钥,降低了时间复杂度和存储复杂度.我们的攻击需要106.22个选择明文,时间复杂度为108.62次加密,存储量为85.22字节,这个结果是目前为止最好的7轮AES-128的不可能差分攻击结果.

Crypton算法的不可能差分分析

Crypton算法是基于Square算法设计的SPN结构类密码算法,由于其具备良好的软硬件性能而引起了广泛的关注.对Crypton分组密码算法在不可能差分分析下的安全性进行了研究.通过分析Crypton算法扩散层的性质,指出了现有7轮Crypton算法不可能差分分析中存在的问题,结合快速排序、分割攻击与早夭技术对7轮Crypton算法的不可能差分分析进行了改进,降低了其数据复杂度与时间复杂度;同时,通过并行使用4条不可能差分区分器,结合密钥扩展算法的性质给出了7轮Crypton算法的多重不可能差分分析结果,恢复了算法的主密钥;最后,在7轮Crypton算法的不可能差分分析的基础上向后拓展1轮,给出了8轮Crypton-256算法的不可能差分分析,恢复了其主密钥,其数据复杂度为2103个选择明文,时间复杂度为2^(214)次8轮Crypton加密,存储复杂度为2^(154.4)B.研究结果表明:结合算法的性质及多种技术给出了Crypton算法目前最优的不可能差分分析结果.

改进的SKINNY算法的不可能差分分析

SKINNY算法是一种新型SPN结构的类AES型轻量级可调分组密码算法,由Beierle等在CRYPTO 2016上提出.SKINNY是一类采用可调密钥框架的可调分组密码算法,根据可调密钥大小和分组长度分为6个不同版本.本文评估了SKINNY在单密钥条件下抵抗不可能差分分析的安全性.首先,在区分器输入输出只有一个活动块的情况下,利用中间相错技术寻找到SKINNY算法最长长度达到11轮的所有16个截断不可能差分路径.其次,选择其中一条不可能差分路径,在单密钥条件下针对20轮SKINNY-64-128进行不可能差分分析.利用S盒差分性质及SKINNY算法列混合变换的性质进行密钥猜测,结合密钥编排算法存在的"周期性质",推导得出的轮可调密钥块之间的线性关系,将分析过程中需猜测的可调密钥块数量由45个减少至33个.最后利用并行攻击技术和早夭技术,有效降低了攻击的时间复杂度.攻击需要2^(29)个选择明文对,存储量为2^(94)个半字节,时间复杂度为2^(119.3)次加密.相比于已有SKINNY不可能差分分析结果,选择明文数量和攻击时间复杂度有一定改进.

8轮Kiasu-BC的多重不可能差分攻击

Jean等人在2014年亚密会上提出可调密钥的算法框架,并在AES-128基础上,新增64比特调柄,得到了新的可调分组密码——Kiasu-BC.算法设计者声称Kiasu-BC相较于其它基于AES的可调分组密码而言,算法结构更简洁、加密过程更高效,并在2014年提交至CAESAR竞赛.因此,对可调分组密码的设计而言,研究新增调柄的安全性,具有极其重要的意义.本文借鉴了调柄生成的非零差分会抵消攻击路径差分的思想,提出了在单密钥模式下对8轮Kiasu-BC的多重不可能差分攻击.利用构造的三条攻击路径,可重复使用明文对轮密钥进行多次筛选,从而提高轮密钥筛选效率.此外,我们综合运用了一系列技术如"early abort"技术、明文早夭技术、基于密钥扩展方案的轮密钥筛选技术等,改进了Kiasu-BC算法不可能差分攻击的时间、数据和存储复杂度.本文的时间、数据和存储复杂度分别为2^(115.5)次8轮加密和2^(109.8)次查表、2^(116)选择明文和2^(97.6)字节.这是已知对Kiasu-BC最好的不可能差分攻击结果.

Deoxys-BC的8轮不可能差分分析

Deoxys-BC算法是一种采用可调分组密码体系的类AES分组密码算法。采用中间相错方法寻找到Deoxys-BC算法的4轮不可能差分区分器。利用并行攻击技术和明文早夭技术,结合S盒差分性质和列混合变换性质,实现对8轮Deoxys-BC-256的不可能差分分析。与此同时,利用经分析可调密钥编排算法推导出的可调轮子密钥关系,有效减少了猜测密钥数量。攻击需要2106.6个选择明文,存储量为277.6字节,时间复杂度为2108.1次加密。