SKINNY-n-n算法和MANTIS算法的相关密钥分析

通过分析SKINNY算法的密钥扩展算法特性以及算法结构,给出了两类SKINNY-n-n算法的相关密钥不可能差分区分器,而后据此对19轮的SKINNY算法进行了攻击,得到了对于SKINNY-64-64和SKINNY-128-128攻击所需数据复杂度分别为2^(55)、2^(104)个选择明文,计算复杂度分别为为2^(40. 82)次19轮SKINNY-64-64加密和2^(77. 76)次19轮SKINNY-128-128加密,存储复杂度分别为2^(48)和2^(96)。此外,针对SKINNY算法族中的低延迟变体-MANTIS算法,利用其FX结构以及密钥扩展算法的Tweakey结构,首先基于α映射,给出了一类平凡相关密钥差分特征;而后找到一种1轮循环结构,借此构造了对于MANTIS_(r core)的相关密钥矩阵区分器(1≤r≤6);最后,利用现有的对于MANTIS_5的攻击结果,改进得到了一类新的相关密钥差分路径,将区分器概率提高到2^(28. 35),有效降低攻击所需复杂度。

基于MILP的相关密钥差分分析安全评估算法改进

近年来,基于混合整数线性规划(MILP)的密码分析方法在对称密码的安全性分析中发挥了重要作用. Zhou等人在FSE 2020上提出了结合分治法,大幅度提高基于MILP的差分和线性特征搜索方法效率.本文将Zhou等人的方法扩展到相关密钥差分特征搜索,提出了一种更高效的基于MILP的相关密钥差分分析安全评估新算法.应用新算法评估了PRESENT-80/128抵抗相关密钥差分分析的安全性,得到了高达15轮的最小活跃S盒数量和高达12轮的最优相关密钥差分特征,并由此得到了迄今最紧的PRESENT-80/128抵抗相关密钥差分分析安全界.找到了一条概率为2^(-62)的15轮PRESENT-80相关密钥差分特征,和一条概率为2-60的16轮PRESENT-128相关密钥差分特征,是目前对于PRESENT-80/128轮数最长的相关密钥差分特征.

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37bit密钥。

轻量级分组密码算法ESF的相关密钥差分分析

差分密码分析是对分组密码比较有效的攻击方法之一,寻找高概率的差分特征是攻击的第一步.Matsui的分枝定界算法是第一个经典搜索差分特征的方法,获取能够抵抗差分攻击的安全界;此外,计算活跃S盒数量的下界是另外一种评估分组密码抵抗差分攻击的方法.在2011年,Mouha等人将计算活跃S盒数量的问题转化成混合整数线性规划问题,应用于面向字的分组密码.在2014年亚密会上,Sun等人扩展了Mouha等人的方法,对面向比特的分组密码,在单密钥和相关密钥模型下计算最小活跃S盒数量的下界.本文基于Sun等人的自动化差分特征搜索方法,结合轻量级分组密码ESF设计特点,建立相关密钥下的MILP模型,得到10轮和11轮ESF最优相关密钥差分特征概率分别为2^(-16)和2^(-20).最后,利用搜索得到的11轮相关密钥差分特征,将相应的相关密钥差分区分器向后扩展2轮,提出了13轮的相关密钥差分攻击,攻击的数据复杂度为2^(47),时间复杂度为2^(66).

内置确定性子密钥相关系数功耗分析

针对Komano等(KOMANO Y,SHIMIZU H,KAWAMURA S.BS-CPA:built-in determined sub-key correlation power analysis.IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,2010,E93-A(9):1632-1638.)对dpacontest.org平台提供的数据进行研究后提出的内置确定性子密钥相关系数功耗分析(BS-CPA)方法进行分析,并从破解所需功耗数据和成功率方面将BS-CPA与差分功耗分析(DPA)、相关系数功耗分析(CPA)进行比较分析,发现BS-CPA虽然理论上方法可行,但远未达到其声称的效果,进而从密码设备加密过程中寄存器状态的变化与功耗值的关系来选取中间变量,通过去除噪声和错误峰值,找到与密钥最相关数据点来缩小攻击范围。对于相同数量功耗数据,部分点攻击与全部点攻击相比,完全破解64位密钥的成功率最大可以提高60%。实验结果表明改进后的模型攻击效率得到提升,达到同样成功率需要功耗数据少,攻击结果稳定。

轻量级分组密码LED的相关密钥差分分析

在CHES2011国际会议上,轻量级分组密码算法LED被郭等人提出,该密码算法具有硬件实现规模小,加解密速度快等优点,因而备受业界关注。目前设计者给出了单密钥攻击模型下LED算法活跃S盒个数的下界,以评估其抵御经典差分密码分析的能力。然而,相关密钥攻击模型下LED算法抵御差分密码分析的能力仍有待进一步解决。本文基于LED密码算法的结构及密钥编排特点,结合面向字节的自动化搜索方法,构建了适用于相关密钥差分分析的混合整形规划(MILP)搜索模型。研究结果表明:全轮LED-64至少存在100个活跃S盒,全轮LED-128至少存在150个活跃S盒;15轮简化LED算法足以抵抗相关密钥差分分析。此外,针对多种变体的LED密钥编排方法进行了测试,找到了一些新的密钥编排方案,并使LED算法具有最佳能力抵御相关密钥差分分析。

RECTANGLE-80的相关密钥差分分析

轻量级分组密码RECTANGLE采用SPN结构,分组长度是64比特,密钥长度是80或128比特,迭代轮数是25轮。其采用比特切片技术,在软硬件实现方面均有很好的性能。本文以Matsui和Moriai等人的自动化搜索算法为基础,采用包珍珍等人提出的2种优化策略,对RECTANGLE-80版本进行相关密钥差分分析。我们对最窄点处的密钥状态差分进行限制,使最窄点密钥状态差分的汉明重量取值范围分别属于区间[1,1],[1,2],[1,3],[1,4],[1,5]五种情况,目的是求得此五种情况下前9轮相关密钥差分最大概率及其对应的路径。我们获得了此5种情况前8轮的最大概率及其对应的路径,前2种情况9轮最大概率及其对应路径和后3种情况9轮最大概率的上界。以上5种情况的结果显示,当取值范围属于后三种情况时,前8轮的最大概率是相同的,由此说明随着取值范围的扩大,最大概率趋向稳定。当最窄点密钥状态差分的汉明重量取值范围属于[1,1]或[1,2]时,9轮的最大概率为2^-42。当取值范围分别是[1,3],[1,4]和[1,5]时,9轮最大概率的上界分别是2^-41,2^-37,2^-34。我们预测9轮最大概率的上界是2^-41,由此可以预测18轮的最大概率的上界是2^-82,从而RECTANGLE-80可以抵抗相关密钥差分分析。这是目前RECTANGLE抵抗相关密钥密码分析安全性评估最好结果。

零相关线性分析研究

零相关线性分析由Bogdanov和Rijmen于2012年首次提出,该方法利用分组密码算法中广泛存在的相关度为零的线性逼近来区分密码算法与随机置换.为了解决零相关线性分析所依赖的高数据复杂度的问题,Bogdanov与Wang于FSE 2012提出利用多条零相关线性逼近,以区分统计分布的方式来降低数据复杂度.为了消除新模型所依赖的强烈假设条件,Bogdanov等人于ASIACRYPT 2012提出多维零相关线性分析的模型,进一步完善了零相关线性分析模型.零相关线性分析模型的有效性,在对诸多算法,包括TEA、XTEA、CAST-256、CLEFIA、Camellia等一系列重要算法的分析中得到验证.作为新的分析方法,零相关线性分析与其它密码分析技术之间的联系也被深入研究.线性分析领域的另一个研究进展是相关密钥下线性分析模型——相关密钥不变偏差线性分析模型的提出.本文详细介绍了零相关线性分析研究背景、发展历程以及线性分析领域当前的主要进展与取得的重要结果,以及存在的一些问题.