轻量级分组密码算法FBC的积分分析

FBC算法是由冯秀涛等人于2018年在中国密码学会举办的全国密码算法设计竞赛中提出的轻量级分组密码算法,包含FBC128-128、FBC128-256和FBC256-256三个版本,具有轻量化、安全性高和软硬件实现灵活等特点.本文基于比特可分性和MILP方法搜索FBC算法的积分区分器.首先,将FBC算法的轮函数拆分为S盒、复制和异或等基本运算,根据比特可分性在基本运算中的传播规律,构建线性不等式刻画比特可分性的传播;其次,通过将所得线性不等式组作为约束条件,构建MILP模型寻找积分区分器最高轮数的下界,并提出判断r轮积分区分器是否存在的算法;最终,结果表明FBC128-128/256和FBC256-256的积分区分器轮数可分别达到11轮和14轮,均优于现有积分分析结果.

基于Feistel结构的超轻量级分组密码算法(PFP)

面向无线终端资源受限环境对加密算法的应用需求,借鉴PRESENT算法的设计思想,采用Feistel结构,并修改扩散层的P置换,设计了一种超轻量级分组密码算法PFP。其硬件实现需要1355GE,优于PRESENT算法,满足资源极端受限环境的需求(2000GE以下)。速度测试结果表明,PFP算法的软件实现效率约为PRESENT算法的1.5倍。依赖性测试、线性分析、差分分析、不可能差分分析和密钥编排攻击表明,PFP算法满足轻量级分组密码的安全需求。

轻量级分组密码算法FBC

FBC是一族轻量级分组密码算法,主要包含FBC128-128,FBC128-256和FBC256-256三个版本,可支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥.FBC算法采用4路两重Feistel结构设计,在结构上通过增加两个异或操作的微小代价较大提高整体结构的扩散特性.非线性函数F采用切片技术,其中,S盒基于NFSR构造,其各项密码学性质达到最优,同时硬件实现代价达到最小,为最轻的S盒之一;线性变换L仅由循环移位和异或构成,具有较好的密码学特性的同时兼顾好的软硬件实现效能.在安全性方面,我们基于混合整数线性规划(MILP)寻找最少活跃S盒个数的方法对其进行差分、线性、不可能差分以及积分等方法的分析.实验结果表明,FBC可以抵抗上述各种攻击方法的攻击.FBC算法不仅具有结构简洁,轻量化,安全性高等特性,还具有灵活高效的软硬件实现方式,可以满足不同平台的应用需求.

轻量级分组密码Pyjamask的不可能差分分析

Pyjamask是美国国家技术标准研究院征选后量子时代轻量级密码算法中进入第二轮的候选分组密码,对其抵抗现在流行的不可能差分分析分析为未来在实际系统中使用起到重要的作用。提出一些2.5轮不可能差分链并分析它们的结构特点和攻击效率,在一些最有效的不可能差分链的前后各接1轮和半轮,形成4轮Pyjamask多重不可能差分攻击路径。攻击结果表明Pyjamask的行混淆运算扩散性比较强,能较好地抵抗不可能差分分析,此结果是对Pyjamask安全性分析的一个重要补充。

对轻量级分组密码算法LBlock的差分故障攻击

本文首先分析差分故障攻击的故障模型与原理,利用S盒的差分不均匀性,通过建立输入差分、输出差分和可能输入值之间的对应关系,给出差分故障分析的优化方案,实现快速归约,提高差分故障攻击的效率.本文通过对LBlock算法建立对应关系,可以快速直观缩小输入值取值空间,进而快速确定对应扩展密钥.对于不同故障值(输入差分),对应的输出差分和可能输入值均不相同,可以得到二元关系集合.由于轻量级分组密码S盒多为4×4 S盒,该集合中元素较少,注入少量不同故障值,通过查表,对可能输入值取交集即可快速确定唯一可能输入值.将优化方案应用于LBlock轻量级分组密码算法,在最后一轮输入处注入2次宽度为16 bit的故障可恢复最后一轮轮密钥,然后将状态回推一轮,在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥.根据密钥扩展方案,恢复两轮轮密钥后将恢复主密钥的计算复杂度降为2^(19).

SIMON系列轻量级分组密码故障立方攻击

针对SIMON密码按位与&运算特性以及现有立方攻击与故障攻击的不足,给出一种故障立方攻击方法.根据线性和二次多项式数量确定候选故障注入轮;利用差分特征表确定故障注入的具体位置;利用离线阶段求得的大量低次多项式,恢复部分轮密钥,并结合密钥猜测攻击恢复全轮密钥.结果表明:对SIMON32/64进行故障立方攻击,需要平均注入故障69次,计算复杂度为247.91,优于现有立方攻击;相比于差分故障攻击,采用故障立方攻击方法确定故障位置更有效,故障模型更易实现,且整个攻击过程具有自动化程度高的特点.该方法可为核心运算次数较低的轻量级分组密码提供借鉴.

轻量级分组密码SIMON代数故障攻击

针对SIMON现有故障攻击中存在的故障深度小、手工推导复杂等问题,给出一种代数故障攻击(AFA)方法。首先给出SIMON核心运算‘&’代数表示方法并构建全轮正确加密代数方程组;其次注入故障并将故障信息表示为代数方程,提供故障已知和故障未知两种模型,给出两种模型故障表示方法;最后利用Crypto Minisat-2.9.6解析器求解方程组恢复密钥。实验结果表明:利用单比特故障对SIMON32/64进行攻击,故障位置选取第26轮,故障已知和未知模型仅需5个和6个故障即可恢复全轮密钥;利用n比特宽度故障对SIMON128/128进行攻击,故障位置选取第65轮,两种模型均只需2个故障即可恢复全轮密钥。此外,对比故障已知和未知模型发现,随故障数递增密钥求解时间的决定因素将由故障信息量变为方程组计算量。

轻量级分组密码RECTANGLE基于FELICS的实现与优化

随着物联网的普及以及RFID、传感器的广泛应用,轻量级密码算法受到人们越来越多的关注。对于一个轻量级密码算法,除了安全性之外,软件和硬件实现性能也非常重要。卢森堡大学的科研人员于2015年开发了一个开源框架——FELICS(Fair Evaluation of Lightweight Cryptographic Systems),旨在公平地测评轻量级密码算法在嵌入式设备上的软件性能。FELICS需要在两种应用场景下(一为通信协议,另一为认证协议),测试一个密码算法在三种嵌入式平台(8位AVR、16位MSP以及32位ARM)下运行所需的Flash、RAM和执行时间,再对结果取加权平均值,并据此对参赛的轻量级分组密码的软件性能进行综合排名。到目前为止,FELICS已经包含了18个轻量级分组密码。本文首先分析FELICS中已提交的分组密码的C语言及汇编语言代码,总结常用的优化方法。然后在三种嵌入式平台上实现了轻量级分组密码RECTANGLE。进一步地,我们对算法轮密钥加、列变换、行移位这三种操作进行了优化。优化后的结果如下:在ARM平台,优化后轮函数所需的Flash减少42.6%、同时时间减少36.8%;在AVR平台场景1下,优化后RECTANGLE-128的RAM减少了12.0%、同时时间减少了5.0%,RECTANGLE-80的RAM减少了10.9%、同时时间减少了2.8%。FELICS的最终结果显示,在18个轻量级分组密码算法中,RECTANGLE在两种应用场景下分别排名第4和第5位,这表明RECTANGLE在嵌入式平台上具有优秀的软件性能。

基于双伪随机变换和Feistel结构的轻量级分组密码VHF

针对资源受限的移动终端对轻量级密码的需求,提出了一种基于双伪随机变换和Feistel结构的新的轻量级分组密码算法VHF。类似于许多其他轻量级分组密码,VHF的分组长度为128bit,密钥长度为80bit和128bit。VHF的安全评估结果表明,其可以对已知的攻击实现足够的安全性,如差分分析、线性分析和不可能差分分析等。在安全的基础上测试软件效率及硬件实现,与现有的轻量级分组密码进行的对比表明,VHF的软硬件效率都高于同为面向8位平台的国际标准CLEFIA算法。

轻量级分组密码Piccolo的积分攻击

为了评估分组密码Piccolo的积分性质,提出Piccolo算法的5轮积分区分器,对无白化密钥的Piccolo进行了7轮和8轮攻击。其中,7轮攻击的数据复杂度为2^(17)个明文,时间复杂度为2^(20. 368)次7轮加密,8轮攻击的复杂度分别为2^(18)和2^(53. 000)。随后,将5轮区分器向解密方向扩展2轮,得到7轮区分器,对Piccolo进行了9轮攻击。若考虑白化密钥,数据复杂度为2^(48)个明文,时间复杂度为2^(52. 237)次9轮加密;若无白化密钥,复杂度均为2^(48)。据现有资料,这是首次评估Piccolo算法在积分攻击方面的安全性。

轻量级分组密码算法ESF的相关密钥不可能差分分析

八阵图算法(ESF)是一种具有广义Feistel结构的轻量级分组密码算法,可用在物联网环境下保护射频识别(RFID)标签等资源受限的环境中,目前对该算法的安全性研究主要为不可能差分分析。该文通过深入研究S盒的特点并结合ESF密钥扩展算法的性质,研究了ESF抵抗相关密钥不可能差分攻击的能力。通过构造11轮相关密钥不可能差分区分器,在此基础上前后各扩展2轮,成功攻击15轮ESF算法。该攻击的时间复杂度为2^(40.5)次15轮加密,数据复杂度为2^(61.5)个选择明文,恢复密钥比特数为40 bit。与现有结果相比,攻击轮数提高的情况下,时间复杂度降低,数据复杂度也较为理想。

HIGHT轻量级分组密码容错代数故障攻击研究

针对现有HIGHT轻量级分组密码代数故障攻击方法在故障失效发生的场景下故障位置判定出错进而影响攻击成功率的问题,提出并讨论了一种容错代数故障攻击方法.该方法首先对故障失效特性进行深入研究,利用故障注入位置、故障失效与密文差分之间的对应关系,构建了一个完备的故障位置区分器以实现对各种场景下故障位置的准确判定.然后在此基础上提取故障失效信息以实现故障信息最大化利用,并对故障信息等效代数方程组构建方法进行优化,实现了故障信息等效代数方程组的自动化构建.最后对提出的攻击方法的复杂度和成功率进行了分析和实验验证.实验结果表明,与现有攻击相比,提出的攻击方法容错能力更强,能检测出所有显性故障失效,攻击的成功率达到100%,且故障信息等效代数方程组构建自动化程度更高,解析器平均求解时间更少.

轻量级分组密码算法的故障攻击技术研究综述

对轻量级分组密码算法的故障攻击技术进行了概述和分类,并在此基础上论述了故障攻击技术的研究现状。一方面,论述了针对不同密码算法展开差分故障攻击分析的特点并进行了比较;另一方面,论述了LED,MIBS和Piccolo等轻量级分组密码算法的代数故障攻击分析方法,并进行了比较。最后,对故障攻击分析方法进行了总结与展望。

对轻量级分组密码I-PRESENT-80和I-PRESENT-128的biclique攻击

I-PRESENT是一种适用于RFID、无线传感节点等资源受限环境的代换——置换型分组密码。利用中间筛选技术来构造I-PRESENT的biclique结构,首次对全轮I-PRESENT-80和I-PRESENT-128算法进行了biclique攻击。结果表明,biclique对I-PRESENT-80和I-PRESENT-128攻击的数据复杂度分别为262和362个选择密文;攻击的时间复杂度分别为79.482和127.332次加密。攻击在时间复杂度和数据复杂度上均优于穷举。利用提出的I-PRESENT的密钥相关性技术,攻击的时间复杂度可以进一步降低到78.612和126.482。

轻量级分组密码mCrypton-64的biclique分析

Bogdanov等人在2011年亚密会上提出了一种新的针对分组密码的密钥恢复攻击,称为biclique攻击,该攻击方法在构造biclique结构的基础上结合了中间相遇攻击的思想,可以有效降低攻击的时间复杂度和数据复杂度.此后这一方法被广泛用于分组密码的安全性分析.mCrypton作为一种新的能够在资源有限的硬件环境下高效运行轻量级分组密码,其安全性备受关注.本文首先介绍了biclique攻击的一般方法,并给出了一个d维biclique的完整定义.接着,我们说明了如何通过分析密码的密钥扩展算法,找出两条较短的且相互独立的差分路径,进而完成biclique结构的构造并利用该biclique结构进行全轮攻击.在此基础上,我们给出轻量级分组密码mCrypton-64的算法描述,并利用biclique攻击对其进行分析.mCrypton-64整体采用了SP结构,其分组长度为64比特,密钥长度为64比特,其加密过程包括非线性替换、比特置换、行列换位和密钥加.最后,我们针对mCrypton-64的密钥扩展算法找到了两条相互独立的差分路径,进而构造出一个11~12轮的4维biclique,利用它对全轮mCrypton-64进行了攻击,攻击的数据复杂度为2^(32),计算复杂度为2^(63.115),均好于已有的结果.

轻量级分组密码算法TWINE差分故障攻击的改进

针对轻量级分组密码TWINE的半字节分组差分扩散规律展开研究,提出一种新的差分故障攻击的方法,并基于S盒差分分布统计规律性计算出恢复轮密钥的概率下界,由此给出完整恢复种子密钥的故障注入次数期望。理论证明和实验结果同时表明,算法第33、34、35轮平均注入9次故障即可完全恢复种子密钥。最后提出故障注入位置的改进,提升了实际攻击的可行性。

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击。实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥。因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护。

轻量级分组密码算法ESF的相关密钥差分分析

差分密码分析是对分组密码比较有效的攻击方法之一,寻找高概率的差分特征是攻击的第一步.Matsui的分枝定界算法是第一个经典搜索差分特征的方法,获取能够抵抗差分攻击的安全界;此外,计算活跃S盒数量的下界是另外一种评估分组密码抵抗差分攻击的方法.在2011年,Mouha等人将计算活跃S盒数量的问题转化成混合整数线性规划问题,应用于面向字的分组密码.在2014年亚密会上,Sun等人扩展了Mouha等人的方法,对面向比特的分组密码,在单密钥和相关密钥模型下计算最小活跃S盒数量的下界.本文基于Sun等人的自动化差分特征搜索方法,结合轻量级分组密码ESF设计特点,建立相关密钥下的MILP模型,得到10轮和11轮ESF最优相关密钥差分特征概率分别为2^(-16)和2^(-20).最后,利用搜索得到的11轮相关密钥差分特征,将相应的相关密钥差分区分器向后扩展2轮,提出了13轮的相关密钥差分攻击,攻击的数据复杂度为2^(47),时间复杂度为2^(66).

轻量级分组密码GIFT的差分故障攻击

差分故障攻击是一种通过利用注入故障前后状态差分,进行密钥信息恢复的一种方法.它是针对轻量级密码算法具有严重威胁的攻击之一.在CHES 2017上, Subhadeep Banik等人提出的新型轻量级密码算法GIFT具有结构设计简单、实现效率高等优点,备受业界广泛关注.目前已经有学者用线性密码分析、差分密码分析等传统的数学攻击手段对GIFT算法进行研究,获得了许多研究结果,然而它能否有效地抵抗差分故障攻击仍待进一步探索.本文根据GIFT算法轮函数特点,运用差分故障基本思想,提出两种差分故障攻击方法.第一种攻击方法,分别在第28、27、26、25轮中间状态注入1比特故障,理论上平均需要192个错误密文即可恢复主密钥信息.第二种攻击方法,分别在第26、25、24、23轮中间状态注入1比特故障,理论上平均需要32个错误密文可恢复主密钥信息.因此,在不加防护的条件下,本文所提出的攻击方法能有效地攻击GIFT算法.

轻量级分组密码Lblock算法的Nibble积分攻击

Lblock算法是2011年提出的一种轻量级分组密码密码算法,在有限的环境下得到广泛使用.积分攻击是一种有效的密码分析方法,对于Lblock算法的基于比特的积分攻击,可以先构建8轮区分器,再向前做4轮高阶积分扩散,然后在积分区分器后加上5轮做17轮积分攻击,但是攻击轮数较少,且攻击复杂度较高,本文是在基于字节的积分攻击也是首先构建8轮区分器,再向前做6轮高阶积分扩散,构造14轮区分器,在积分区分器后面加7轮,猜测部分密钥,对其进行解密,做21轮积分攻击,时间复杂度降低.然后结合不同的对Lblock算法的攻击方法,对其进行比较,积分攻击在尽可能多的轮数下,时间复杂度降低.