基于遗传策略的格基约化算法

格基约化算法是密码分析的重要工具。该文借鉴遗传算法的基本策略,通过对初始格基的调整变换,提出了一种新的格基约化算法,新算法总能得到给定格中长度更短的向量和质量更高的一组基。利用该算法,针对最短向量问题(SVP)挑战的部分数据进行了测试,新算法的输出结果达到或超过了挑战的公开记录,约化效果良好。

一种适用于高维格基约化的综合算法

格基约化算法是求解格上最短向量问题(SVP)的一类算法,在格理论中有重要地位,尤其在格理论构造的公钥密码中发挥重要作用.目前公认效率最高的主流算法是Blockwise-Korkine-Zolotarev(BKZ)及其改进形式BKZ 2.0,主要思想是分块约化,调用多项式次的局部格上SVP算法.但是BKZ类算法仍然存在约化程度不够充分、在高维度格中约化效率不高的问题,也存在多种改进的算法.本文在已有算法的基础上,对BKZ结构进行优化,并应用筛法的最新研究成果,设计了一种新的综合算法——Blockwise-Sieving-Reduction(BSR).在预处理阶段,将格矩阵划分后分别进行BKZ预处理,该过程可直接进行并行化.在格基约化阶段,该算法结合BKZ算法与筛法的优点,使用分块逐次增大的多轮BKZ算法进行预处理,并在BKZ结构中使用改进的筛法替代原有的枚举子过程,通过插入向量改进局部格的性质,提高了BKZ算法的效率,使之能在更大的分块下求解SVP.针对更高维度的格矩阵,设计了递归调用的算法变种,称为i-BSR算法,该算法使用了渐进约化等实现技术,可以进行更大维度格的约化.从理论角度进行分析,论证了该算法可以进行格基约化并求格上短向量.实验结果表明,该算法在较大分块下,能够以可接受的时间代价完成SVP求解,且得到的向量优于已有算法的实验结果,新算法得到的首向量长度可以缩短至BKZ 2.0的90%.

格基约化算法及其在密码分析中的应用综述

格基约化算法是密码分析中的一个重要工具,在RSA、DSA和背包体制等经典公钥密码算法的安全性分析和一些新型格密码体制的安全参数评估中发挥着重要作用。首先,给出格的一些基本概念并介绍格中一些困难问题;其次,归纳整理已有格基约化算法并总结梳理格基约化算法在密码分析中的应用;最后,对格基约化算法研究重点和趋势进行了总结和展望。

基于格基约化算法的环上截位序列还原

研究由序列a-的最低l比特序列还原整体序列的问题。将该问题转化为使用格基约化算法求解线性同余方程组的问题。实验结果表明,对ZUC密码算法的驱动序列,即对于■/(2^(31)-1)上的16阶本原序列,当已知整体序列的最低8比特序列,长度为110拍,则可以还原整体序列。

F[x]-格基约化算法和多条序列综合

利用F[x]-格基约化算法给出了域F上长度为N的m条序列的最短线性移位寄存器(即极小多项式)的综合算法.此算法的计算复杂度为O(N2)次F中乘运算,同时给出了一个极小多项式惟一的充要判别条件,且在极小多项式不惟一时,给出所有的极小多项式的一般形式和当F为有限域时极小多项式的个数.

对RSA-型密码体制的格基约化攻击

D.Boneh和G.Durfee在文献1中指出:当保密指数d<N0.292时RSA密码体制是不安全的。这是对Wiener的结果2的第一次改进。在研究中发现:这种攻击可以扩展到其模p的阶非常接近p的群上。例如,以椭圆曲线和LUC系统为基础的密码体制。

未知参数多重递归发生器的截低位还原

多重递归发生器的可预测性问题,即能否由一段截位序列还原多重递归发生器未知的参数与初态,进而预测后面的序列,是评估发生器的重要指标,也是设计发生器的主要考量。目前截高位情形下的可预测性问题已被解决,但截低位情形有待补充,且截高位情形的方法不能平凡推广到截低位情形。研究表明,截低位情形下多重递归发生器的可预测性问题可通过3步解决。首先通过格基约化找到序列的零化多项式,其次计算零化多项式的结式与最大公因式还原模数与系数,最后构造格还原初态并估计所需的截位数据量。对于模数是偶数的情形,还原初态还可以采用带模高位的格方法。实验结果表明,模数为偶数时,同时使用两种初态还原方法可提高成功率。

模指数外包方案ExpSOS的格基密码分析

随着云计算的普及,外包计算作为一种重要的云服务形式,日益引起学术界与工业界的广泛关注。模指数操作作为一种耗时的基本密码运算广泛地应用于RSA、数字签名算法(DSA)等,其外包方案的设计得到了广泛关注和研究。当前基于单个云服务器的外包方案,大多需要在本地端执行一个小指数的模指数操作,一般地,该指数的大小决定了方案的效率,其机密性决定着方案的安全性。对Zhou等提出的一个单服务器模指数外包方案ExpSOS进行了唯密文安全性分析。通过将算法中底数与指数的机密性转换为求解模多项式的小整数解的问题,使用Coppersmith的格构造技术对ExpSOS方案潜在的弱密钥进行了全面分析,并分别估计了安全应用场景下方案适用的底数大小和方案中安全参数选取的规模,为该方案在实际应用中的安全部署提出了具体建议。最后,给出了数字签名标准推荐参数下的ExpSOS方案弱密钥攻击实例,证明了理论攻击的有效性。

并行LLL算法研究综述

Lenstra-Lenstra-Lovasz(LLL)格基约化算法自1982年被提出以来,已被成功应用于计算机代数、编码理论、密码分析、算法数论、整数规划等众多领域。经过三十多年的发展,串行LLL算法的理论分析和实际效率都已得到显著改进,但仍不能满足密码分析等领域处理较大规模问题的需要。因此,并行LLL算法研究被寄予厚望。对并行LLL算法的研究现状进行了综述,总结了当前并行LLL算法设计与分析中存在的问题和难点,并对其未来发展趋势进行了展望。

对一类RSA变体的攻击

讨论RSA公钥密码体制在素因子p满足等式ex+by+c≡0(mod p)条件下的安全性,研究了对其格攻击的方法。利用方程小根求解问题对其进行攻击,攻击结果表明:当参数x,y满足|x||y|<N3β-3+(2β+1)1-β-ε时,通过格攻击方法可以有效的分解N,即满足这样条件的RSA公钥密码体制是不安全的。

基于离散比特的RSA私钥泄漏攻击

将基于离散比特的RSA私钥泄漏攻击转化为模方程的求解问题,并利用格基约化算法进行有效攻击。如果RSA算法的公钥参数e=Nβ<N1/2,并且私钥d的未知部分Nα<N1/2-β,则可以在多项式时间恢复出私钥d。

针对离散私钥比特泄漏的RSA格攻击方法

RSA算法是目前应用最广泛的公钥密码体制之一,而格攻击是针对RSA体制的一类重要攻击方法。为此,将RSA算法的部分私钥泄漏问题转化为多变元线性同余方程的求解问题,基于同余方程构造出特定的格,利用LLL格基约化算法进行约化,从而以一定的概率求得同余方程的小根。以上述多变元线性同余方程的小根求解技术为基础,提出一种针对离散私钥比特泄漏的RSA格攻击方法。在该方法下,如果RSA算法的公钥参数e=N~β≤N^(1/2),并且私钥d的未知部分N≤N^((1/2)-β),则能以高概率恢复出RSA算法的私钥d。通过NTL包对长度为1024 bit的大整数进行实验,结果验证了该攻击方法的有效性。

模背包向量问题的实际复杂度与基于格密码体制的实际安全性

背包问题常被用来构造公钥密码算法,它是公钥密码学中的一个研究热点,模背包向量问题是同时求解若干个在模意义下的背包问题.本文将模背包向量问题转化为格中短向量的求解.我们利用LLL、BKZ等格基约化算法或它们的联合方法求解目标向量,实际地解决了维数较小时的模背包向量问题,讨论了关于模背包向量问题的安全标准,并展示了由模背包向量问题引出的格的Hermite因子随维数的变化关系.我们的实验结果,一方面验证了我们的理论分析,成功地在格维数较小时求解出了目标向量,即模背包向量问题在维数较小时可解;另一方面,由目标向量在维数较大的格中未被找到可以看出,格基约化算法在求解格中短向量问题的计算能力受维数的限制.随着格维数的变大,格基约化算法的运行时间指数级增长并且找到目标向量的概率减小.另外,我们通过具体的实验数据,验证并说明了格基约化算法中参数选取对实验结果产生的影响.对于CANS 2011会议上提出的一个基于格与背包问题混合设计的公钥加密方案,我们将针对该方案的唯密文攻击转化为模背包向量问题的求解,从而在唯密文攻击下实际地攻破了该方案的一个推荐参数m=100.

PBKZ算法及其在格挑战中的应用

格是欧氏空间R^n中的离散加法子群,格上的许多计算问题被证明是NP-hard,常用来作为公钥密码体制的底层困难问题.目前基于量子计算机模型的量子算法也难以高效求解格上的困难问题,因此后量子时代下格密码学受到了越来越多的关注.最短向量问题(Shortest Vector Problem,SVP)是格上的计算困难问题,格基约化算法是求解SVP问题的一个有效算法,该算法可以找到格中的一些短向量.YOSHINORI等人在2016年欧洲密码年会上提出Progressive BKZ算法,是目前格基约化算法中最为高效的算法之一.详细介绍了PBKZ算法,分析了它的运行机理及其内在特点,然后在Linux系统下成功调试了PBKZ算法库,并针对Darmstadt格挑战展开了一系列实验,最终在600维和725维两种情形下取得了目前国际上最好结果.

中间比特私钥泄漏的RSA小指数攻击

Boneh和Durfee运用Coppersmith的方法在d<N0.292的条件下分解了RSA模数N。将RSA离散比特私钥泄漏攻击与小指数攻击相结合,在p,q平衡和p的一个中间比特块已知的情况下,将解密指数的界提高到了d<N0.5。最后给出了实验测试,证明文章构造的格可以运用到实际攻击中。

一种格上SVP问题求解的快速分块筛法

针对现有筛法在通过向量约减构造短向量列表过程中消耗大量时间的问题,基于降维思想,提出一种新型的分块筛法。通过对原始格基分块对应生成多个低维子格,分别在子格上做筛法,获得子格短向量列表;将在子格中得到的短向量列表作为原始格上筛法的初始向量列表,能够较好地提高约化效率,从而更快找到原始格上的最短向量。分块筛技术在对新向量的约减速度与效果上优势更明显,实验数据表明分块筛在运行时间上可以达到平均7.1%的提高。

一种基于行公因子提取的改进Coppersmith算法

1996年欧密会上,Coppersmith提出一种对单变元模方程求小根的多项式时间算法,该算法对公钥密码系统的安全性分析具有重要意义。结合Coppersmith算法中格基矩阵的结构特点和元素性质提出一种改进算法,通过逐次提取格基矩阵不同块中行向量的公因子,有效降低了Coppersmith算法的求解时间。同时通过实验证明了此改进算法可有效兼容一种预处理算法,通过将这两种算法结合,进一步提高了Coppersmith算法的求解效率,实验表明较原Coppersmith算法最高可提升22.64%。

未知系数的二阶线性同余发生器截位还原

同余发生器的可预测性问题,即能否由一段截位序列还原发生器的参数和初态,进而准确预测后面的序列,是评估发生器安全性的重要研究课题.本文研究在模数m=2^k已知,系数a;b未知的条件下,二阶线性同余发生器xi+2=axi+1+bximodm的可预测性问题.我们给出一个基于格基约化算法的方法,可以在已知一段连续的高位s比特截位序列的条件下,还原系数a;b和初态x0;x1,实现对序列的预测.实验结果表明,当模数m=2^32,发生器生成的序列为整数剩余类环Z/mZ上的二阶本原序列时,可以由140拍连续的高位6比特截位序列还原系数a;b和初态x0;x1.本文从逆向还原的角度探究二阶线性同余发生器的抗预测能力,旨在为其在密码上的应用提供参考和指导.

对两类RSA变体的小解密指数攻击

Sun,Yang和Laih利用素因子p,q间的不平衡性提出了三类RSA变体以抵抗Wiener给出的连分式攻击和Boneh-Durfee的小解密指数攻击.本文通过构造一个新的双变元模方程及系数格,利用格基约化求小根的方法得到解密指数的界与加密指数和较小素因子之间的渐进关系,有效攻击了其中的两类RSA变体.