LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^(65.2)和2^(65.6)个选择明文,计算复杂度分别为2^(66.2)次23轮LBlock算法加密和2^(66.6)次24轮LBlock算法加密,存储复杂度分别为2^(61.2)和2^(77.2)字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.

Piccolo算法的相关密钥-不可能差分攻击

现有的对于Piccolo算法的安全性分析结果中,除Biclique分析外,以低于穷举搜索的复杂度最长仅攻击至14轮Piccolo-80和18轮Piccolo-128算法.通过分析Piccolo算法密钥扩展的信息泄漏规律,结合算法等效结构,利用相关密钥-不可能差分分析方法,基于分割攻击思想,分别给出了15轮Piccolo-80和21轮Piccolo-128含前向白化密钥的攻击结果.当选择相关密钥量为28时,攻击所需的数据复杂度分别为258.6和262.3,存储复杂度分别为260.6和264.3计算复杂度分别为278和282.5;在选择相关密钥量为24时,攻击所需的数据复杂度均为262.6和262.3,存储复杂度分别为264.6和264.3,计算复杂度分别为277.93和2124.45.分析结果表明,仅含前向白化密钥的15轮Piccolo-80算法和21轮Piccolo-128算法在相关密钥-不可能差分攻击下是不安全的.

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为70.0O(2),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为71.5O(2),数据量为263。

对轻量级密码算法MIBS的相关密钥不可能差分攻击

研究了轻量级分组密码算法MIBS抵抗相关密钥不可能差分的能力。利用MIBS-80密钥编排算法的性质,给出了一个密钥差分特征,并结合特殊明密文对的选取,构造了一个10轮不可能差分。在此不可能差分特征上进行扩展,对14轮的MIBS-80进行了攻击,并给出了复杂度分析。此攻击的结果需要的数据复杂度为254和时间复杂度为256。

对低轮AES-256的相关密钥-不可能差分密码分析(英文)

研究AES-256抵抗相关密钥-不可能差分密码分析的能力.首先给出相关密钥的差分,该差分可以扩展到8轮(甚至更多轮)子密钥差分;然后构造出一个5.5轮的相关密钥不可能差分特征.最后,给出一个对7轮AES-256的攻击和4个对8轮AES-256的攻击.

Cobra-H64/128算法的相关密钥-差分攻击

本文研究了Cobra-H64/128分组密码算法在相关密钥-差分攻击下的安全性.针对Cobra-H64算法,利用新构造的相关密钥-差分路径和CP逆变换存在的信息泄露规律给出攻击算法1,恢复出了全部128bit密钥,相应的计算复杂度为2^40.5次Cobra-H64算法加密,数据复杂度为2^40.5个选择明文,存储复杂度为2^22bit,成功率约为1;针对Cobra-H128算法,利用新构造的相关密钥-差分路径给出攻击算法2,恢复出了全部256bit密钥,相应的计算复杂度为2^76次Cobra-H128算法加密,数据复杂度为2^76个选择明文,存储复杂度为2^16.2bit.分析结果表明,Cobra-H64/128算法在相关密钥-差分攻击条件下是不安全的.

CIKS-128分组算法的相关密钥-差分攻击

分析研究了CIKS-128分组密码算法在相关密钥-差分攻击下的安全性.利用DDP结构和非线性函数的差分信息泄漏规律构造了一条高概率相关密钥-差分特征,并给出攻击算法,恢复出了192bit密钥;在此基础上,对剩余64bit密钥进行穷举攻击,恢复出了算法的全部256bit密钥.攻击所需的计算复杂度为277次CIKS-128算法加密,数据复杂度为277个相关密钥-选择明文,存储复杂度为225.4字节存储空间.分析结果表明,CIKS-128算法在相关密钥-差分攻击条件下是不安全的.

相关密钥Square攻击AES-192

利用AES-192子密钥间的内在关系,完全确定了在特定相关密钥差分下的前8轮子密钥的所有确切的差分值,结合Asiacrypt’2010中的密钥桥技术可以确定部分初始密钥,从而发现AES-192的密钥编排方案存在一定缺陷。利用该缺陷,给出了一个相关密钥Square攻击7轮和8轮AES-192的新方法。新方法攻击8轮AES-192仅需244.5选择明文,244.5存储,以及2183.5的8轮AES-192加密。结合部分和技术进一步降低了攻击的计算复杂度。

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.

Eagle-128算法的相关密钥-矩形攻击

该文利用高次DDO(Data Dependent Operations)结构的差分重量平衡性和SPN结构的高概率差分对构造了Eagle-128分组密码算法的两条5轮相关密钥-差分特征,通过连接两条5轮特征构造了完全轮相关密钥-矩形区分器,并对算法进行了相关密钥-矩形攻击,恢复出了Eagle-128算法的64 bit密钥。攻击所需的数据复杂度为281.5个相关密钥-选择明文,计算复杂度为2106.7次Eagle-128算法加密,存储复杂度为250 Byte存储空间,成功率约为0.954。分析结果表明,Eagle-128算法在相关密钥-矩形攻击条件下的有效密钥长度为192 bit。

轻量级分组密码算法ESF的相关密钥不可能差分分析

八阵图算法(ESF)是一种具有广义Feistel结构的轻量级分组密码算法,可用在物联网环境下保护射频识别(RFID)标签等资源受限的环境中,目前对该算法的安全性研究主要为不可能差分分析。该文通过深入研究S盒的特点并结合ESF密钥扩展算法的性质,研究了ESF抵抗相关密钥不可能差分攻击的能力。通过构造11轮相关密钥不可能差分区分器,在此基础上前后各扩展2轮,成功攻击15轮ESF算法。该攻击的时间复杂度为2^(40.5)次15轮加密,数据复杂度为2^(61.5)个选择明文,恢复密钥比特数为40 bit。与现有结果相比,攻击轮数提高的情况下,时间复杂度降低,数据复杂度也较为理想。

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37bit密钥。

减轮GOST2的相关密钥差分攻击

2015年,文献[1]提出GOST的改进版本GOST2,该版本使GOST2便于硬件实现,且抵抗相关密钥攻击能力更强。给出GOST216轮概率为1的相关密钥差分区分器,计算S盒平均差分分布概率,建立概率为1.75×2-7的GOST221轮相关密钥截断差分特征,恢复GOST2第5~27轮中的64比特密钥。此外,还给出GOST2的第26~28轮相关密钥截断差分特征及概率。

MD-64算法的相关密钥-矩形攻击

该文针对MD-64分组密码算法在相关密钥-矩形攻击下的安全性进行了研究。分析了算法中高次DDO(Data Dependent Operations)结构、SPN结构在输入差分重量为1时的差分转移规律,利用高次DDO结构的差分特性和SPN结构重量为1的差分路径构造了算法的两条相关密钥-差分路径,通过连接两条路径构造了算法的完全轮的相关密钥-矩形区分器,并对算法进行了相关密钥-矩形攻击,恢复出了32 bit密钥。攻击算法所需的数据复杂度为262相关密钥-选择明文,计算复杂度为291.6次MD-64算法加密,存储复杂度为266.6Byte存储空间,成功率约为0.961。分析结果表明,MD-64算法在相关密钥-矩形攻击条件下的安全性无法达到设计目标。

KATAN密码算法的相关密钥差分攻击

KATAN系列密码算法是基于非线性反馈移位寄存器的分组密码算法,最初在CHES2009上发表.按照分组长度,该算法分为三类:KATAN32,KATAN48和KATAN64.这三个算法使用相同的密钥生成算法,密钥长度均为80比特,非线性函数和加密轮数均相同.本文就是利用了相关密钥条件差分分析的方法,通过KATAN系列算法生成的密钥序列的特性来确定密钥差分,通过控制条件获得相应的明文差分,确定差分路径之后,采用了猜测密钥回推验证的方法,从而使得KATAN32、KATAN48、KATAN64相关密钥差分攻击的轮数分别提高到158轮、140轮和126轮.该攻击与Isobe等人提出的飞去来去器攻击在轮数上不占优势,但本文的攻击需求较少的数据量和存储空间.

Piccolo缩减轮数的相关密钥不可能差分分析

Sony在2011年提出的Piccolo算法密钥分为80 bit(Piccolo-80)和128 bit(Piccolo-128)。设计者使用包括相关密钥不可能差分在内的多种攻击方法对算法进行了安全分析,认为对于Piccolo的相关密钥不可能差分攻击分析只能实现11轮(80 bit)和17轮(128 bit),但并未给出具体分析过程和实例。使用U-method方法对Piccolo算法进行了相关密钥不可能差分分析,并最终给出11轮和17轮的差分路径实例。

19轮RECTANGLE-80的相关密钥差分分析

RECTANGLE是最近提出来基于bit-slice技术的可在多个平台快速实现的轻量级分组密码.它采用的是SPN结构,分组长度为64比特,密钥长度为80或128比特,迭代轮数为25轮.到目前为此,针对RECTANGLE算法的分析很少,其中包括算法设计者给出的18轮差分攻击.对于特定的输入、输出和轮子密钥差分,本文找出了所有活跃S盒个数为26-30的15轮相关密钥差分特征,总的差分概率为2-60.5.利用这些差分特征,我们将相应的差分区分器分别向前和向后扩展两轮,提出了19轮的相关密钥差分攻击,其中数据复杂度为262,时间复杂度为270,内存复杂度为272.数据和时间复杂度都低于设计者给出的18轮攻击.

Midori64的相关密钥不可能差分分析

Midori算法是由Banik等人在AISACRYPT2015上提出的一种具有SPN结构的轻量级的加密算法。Midori的分组长度有64 bit和128 bit两种,分别为Midori64和Midori128。对Midori64进行研究,目前攻击者已经使用了不可能差分分析、中间相遇攻击、相关密钥差分分析等方法对Midori进行分析,却没有使用相关密钥不可能差分分析进行分析。为了验证Midori算法的安全性,使用了相关密钥不可能差分分析Midori算法,构造了一个Midori算法的9轮区分器,进行了Midori算法的14轮攻击,总共猜测了84 bit密钥。

SIMON算法相关密钥不可能差分特征搜索

本文通过求解SIMON算法密钥扩展算法的混合整数线性规划(mixed-integer linear programming,MILP)模型,首次给出其相关密钥不可能差分分析结果.对分组密码算法的不可能差分特征搜索一般是限制输入输出差分均只有1比特或1个S盒活跃,在此基础上遍历求解,如果其MILP模型无解,则得到一条不可能差分特征.而SIMON算法采用线性密钥扩展算法,主密钥差分确定之后每一轮的子密钥差分都随之确定,无法控制其随轮数增加而逐渐扩散,所以限制其输入输出差分并不能得到最长路径.而遍历所有可能的复杂度高达O(2^((m+2)n)),其中n,m取值与SIMON2n/mn相同.当前计算能力无法达到,这也是在此之前一直没有SIMON相关密钥不可能差分分析结果的原因.本文通过研究SIMON算法中ROTATION-AND操作中概率为1的差分传播性质,结合截断差分路径给出满足miss-in-the-middle条件时,子密钥差分需满足的约束条件.通过对密钥扩展算法的MILP模型及约束条件求解,如果有解则得到一条相关密钥不可能差分特征.本文首次给出SIMON32/64和SIMON48/96的13轮相关密钥不可能差分特征,在此前研究结果中其单密钥下最长路径分别为11和12轮.

对完整轮数ARIRANG加密模式的新的相关密钥矩形攻击

针对ARIRANG加密模式,利用相关密钥矩形攻击的方法对其安全性进行了重新评估。首先找到了一些新的38轮和39轮的高概率相关密钥矩形区分器,然后在此基础上将区分器进行改进,改进的主要思想是:利用模减差分和异或差分的混合表示方式代替原先的异或差分,同时在区分器的输出中选择一个差分集合代替原先单一的差分。基于以上各种新的高概率区分器,对全轮ARIRANG加密模式进行了攻击,其结果优于以往的攻击结果。其中最好的攻击结果为:攻击全轮的ARIRANG-256加密模式所需的数据复杂度和时间复杂度分别为2220.79和2155.60。