An Improved Framework of Massive Superpoly Recovery in Cube Attacks Against NFSR-Based Stream Ciphers

A critical problem in the cube attack is how to recover superpolies efficiently.As the targeting number of rounds of an iterative stream cipher increases,the scale of its superpolies becomes larger and larger.Recently,to recover massive superpolies,the nested monomial prediction technique,the algorithm based on the divide-and-conquer strategy,and stretching cube attacks were proposed,which have been used to recover a superpoly with over ten million monomials for the NFSR-based stream ciphers such as Trivium and Grain-128AEAD.Nevertheless,when these methods are used to recover superpolies,many invalid calculations are performed,which makes recovering superpolies more difficult.This study finds an interesting observation that can be used to improve the above methods.Based on the observation,a new method is proposed to avoid a part of invalid calculations during the process of recovering superpolies.Then,the new method is applied to the nested monomial prediction technique and an improved superpoly recovery framework is presented.To verify the effectiveness of the proposed scheme,the improved framework is applied to 844-and 846-round Trivium and the exact ANFs of the superpolies is obtained with over one hundred million monomials,showing the improved superpoly recovery technique is powerful.Besides,extensive experiments on other scaled-down variants of NFSR-based stream ciphers show that the proposed scheme indeed could be more efficient on the superpoly recovery against NFSR-based stream ciphers.

Utilizing Probabilistic Linear Equations in Cube Attacks

Cube attacks, proposed by Dinur and Shamir at EUROCRYPT 2009, have shown huge power against stream ciphers. In the original cube attacks, a linear system of secret key bits is exploited for key recovery attacks. However, we find a number of equations claimed linear in previous literature actually nonlinear and not fit into the theoretical framework of cube attacks. Moreover, cube attacks are hard to apply if linear equations are rare. Therefore, it is of significance to make use of probabilistic linear equations, namely nonlinear superpolys that can be approximated by linear expressions effectively. In this paper, we suggest a way to test out and utilize these probabilistic linear equations, thus extending cube attacks to a wider scope. Concretely, we employ the standard parameter estimation approach and the sequential probability ratio test （SPRT） for linearity test in the preprocessing phase, and use maximum likelihood decoding （MLD） for solving the probabilistic linear equations in the online phase. As an application, we exhibit our new attack against 672 rounds of Trivium and reduce the number of key bits to search by 7.

序列密码立方攻击研究进展综述

立方攻击由Dinur和Shamir在2009年欧密会上首次提出,是一种高阶差分攻击和代数攻击.经过近十余年的研究,传统立方攻击不断发展,动态立方攻击、基于可分性的立方攻击、相关立方攻击相继提出,攻击思想不断丰富,攻击技术不断改进,逐渐成为针对基于非线性反馈移位寄存器的序列密码算法的重要攻击方法.特别地,立方攻击自2009年提出以来一直是国际轻量级序列密码标准Trivium最有效的密钥恢复攻击,动态立方攻击攻破了全轮Grain-128算法,Kreyvium、Grain-128AEAD、ACORN这些基于非线性反馈移位寄存器的序列密码算法都可以用立方攻击进行有效分析.本文介绍了立方攻击的基本原理和攻击方法,综述了实验立方攻击、基于可分性立方攻击、立方集构造、动态立方攻击、相关立方攻击等方面的研究进展.

对Grain-v1算法的时空折中Cube攻击

cube集合的选取是cube攻击中的关键问题,也是最耗时的阶段.本文采用时空折中思想,设计一种新的搜索算法.选择一个维度较大的指标集,进行一次标准cube攻击,同时存储该指标集每个向量对应的cube和,对指标集的每个子集求取cube和时,只需将相应向量对应值相加即可,这样通过对一个cube集合的运算,可以诱导出多个线性方程.将此方法应用到缩减轮数的Grain-v1算法,对于初始化轮数为70轮的Grain-v1算法,可直接恢复18比特密钥,并找到关于另外28比特密钥的5个线性表达式.对于初始化轮数为75轮的Grain-v1算法,可以直接恢复14比特密钥,并找到了关于另外28比特密钥的6个线性表达式.

Trivium-like算法中可滑动Cube的研究

对于Trivium-like算法,cube攻击是最有效的攻击手段之一.在传统cube攻击中,攻击者主要利用线性检测等方法来寻找具有低次超多项式的cube.实验结果表明存在IV变元子集I1=(vi1,vi2,…,vid)和I2=(vi1-1,vi2-1,…,vid-1)满足pI2(k0,k1,…,kn-2)=σ(pI1(k1,k2,…,kn-1)),其中ki表示密钥变元,pI1是Cube CI1对于t时刻输出比特zt的超多项式,pI2是Cube CI2对于t+1时刻的输出比特zt+1的超多项式,并且变换\sigma将ki映射到ki-1.在本文中,称这种性质为cube的可滑动性.我们研究了Trivium-like算法的攻击中cube的可滑动性.特别地,我们给出了cube具有可滑动性的一个充分条件.此外,我们将充分条件的判断,转化到求解混合整数线性规划(MILP)模型,在实际中能够快速判断出具有滑动性的cube.最后,我们将充分条件应用到实验cube攻击、基于分离性质的cube攻击和相关cube攻击的已有结果,验证了方法的正确性并在实验cube攻击中得到了一个803-轮Trivium的新结果.

对序列密码算法的改进Cube攻击

Cube攻击是近来年兴起的攻击手段,针对序列密码算法提出改进的Cube攻击。将代数攻击与Cube相结合,把代数攻击作为Cube攻击的基础,以降低Cube攻击的复杂度。在前人研究的基础上对零化子与Cube攻击的结合方式进行扩展,将改进的攻击应用于Lili-128算法上,仅用三维Cube集合在数据复杂度210之内即可恢复88比特密钥。

Cube攻击原理与改进

介绍Cube攻击的原理、详细步骤及算法;通过比较Cube攻击和AIDA攻击,详细分析攻击原理,证明了Cube攻击在原理上等价于高阶差分;讨论线性化测试,得出Cube攻击以高概率成功的结论;给出关键点的详细算法,对简化Trivium进行攻击;对Cube攻击方法进行改进。

减轮Fruit算法的Cube攻击

Cube攻击是由Dinur和Shamir在2009年的欧密会上提出的一种代数攻击方法,它旨在从目标加密算法中提取关于未知变量的线性关系,而难点是在寻找有效的Cube.超轻量级序列密码具有速度快,功耗低,便于硬件实现等优点,市场对超轻量级序列密码的需求很大,使得密码学界对超轻量级序列密码算法的研究更加深入.2015年Armknetcht等人对轻量级序列密码提出了一个新的设计方向,在每轮密钥流比特的生成过程中重复使用初始密钥比特,并基于此想法设计了一个超轻量级序列密码算法Sprout,使得内部状态大小与密钥大小相同,打破了超轻量级序列密码设计的瓶颂.Fruit是2016年由Ghafari等设计的一种超轻量级流密码,其设计目的是在保证内部状态很小的同时能避免时间-存储-数据折衷攻击.本文对减轮的流密码Fruit作Cube攻击,在随机选取Cube方法的基础上提出一些寻找Cube的新想法,并最终对减轮的83轮(最高可到86轮)Fruit算法做Cube攻击求得80个密钥中的17个密钥,比穷尽搜索降低了2^(17)的复杂度.并发现找到的线性多项式只与密钥的后17比特有关,没有发现关于密钥前63比特的线性表示,Fruit算法的轮密钥函数导致的结果,对轮密钥函数的分析有很好的借鉴意义.

KATAN族密码的立方攻击和积分攻击

为了重新评估KATAN族密码抵抗立方攻击和积分攻击的安全性,利用无未知集合三子集可分性结合混合整数线性规划(MILP)搜索工具,恢复了更长轮数的超级多项式并且搜索得到了积分区分器,进而对KATAN族密码进行了立方攻击和积分攻击.具体来说,针对KATAN32,给出了102轮和95轮的立方攻击,时间复杂度分别是2^(79)和2^(71);针对KATAN48,给出了85轮和77轮的立方攻击,时间复杂度分别是2^(79)和2^(65.6);针对KATAN64,给出了73轮的立方攻击,时间复杂度为2^(79).将KATAN32/48/64的已有最好的立方攻击结果分别提升了12/35/43轮.当超级多项式退化为常数,便得到了积分区分器.因此,所提算法也可以搜索积分区分器.针对KATAN32/48/64的积分区分器分别可达到101轮、84轮、73轮,从而可以对125/100/81轮的KATAN32/48/64进行积分攻击,时间复杂度分别为2^(79).3/2^(79).2/2^(79).1.结果表明,针对超过102/85/73轮的KATAN32/48/64并不存在有效的立方攻击结果,超过125/100/81轮的KATAN32/48/64也不存在有效的积分攻击结果.

交通基础设施受硫酸盐侵蚀过程中混凝土强度变化试验研究

为研究在硫酸盐侵蚀过程中,混凝土构件力学性能的变化规律,特以重庆市忠县“8.28”滑坡所暴露的抗滑桩腐蚀问题中的酸性自然环境为试验背景,开展硫酸盐侵蚀条件下混凝土强度变化试验研究,揭示该自然环境下混凝土的劣化进程。试验结果表明:混凝土立方体试块在长时间侵蚀条件下,表观上表现为白色结晶斑块,且越靠近棱角位置,腐蚀情况越严重;混凝土立方体试块的抗压强度和弹性模量均呈现先增加后减少的趋势,硫酸盐浓度在9%时,立方体抗压强度降低的幅度最大为18%,其弹性模量降低幅度达26%。

流密码算法Grain的立方攻击

Dinur和Shamir在2009年欧洲密码年会上提出了立方攻击的密码分析方法.Grain算法是欧洲序列密码工程eSTREAM最终入选的3个面向硬件实现的流密码算法之一,该算法密钥长度为80比特,初始向量(initialvector,简称IV)长度为64比特,算法分为初始化过程和密钥流产生过程,初始化过程空跑160拍.利用立方攻击方法对Grain算法进行了分析,在选择IV攻击条件下,若算法初始化过程空跑70拍,则可恢复15比特密钥,并找到了关于另外23比特密钥的4个线性表达式;若算法初始化过程空跑75拍,则可恢复1比特密钥.

密码算法旁路立方攻击改进与应用

立方攻击的预处理阶段复杂度随输出比特代数次数的增长呈指数级增长,寻找有效立方集合的难度也随之增加。该文对立方攻击中预处理阶段的算法做了改进,在立方集合搜索时,由随机搜索变为带目标的搜索,设计了一个新的目标搜索优化算法,优化了预处理阶段的计算复杂度,进而使离线阶段时间复杂度显著降低。将改进的立方攻击结合旁路方法应用在MIBS分组密码算法上,从旁路攻击的角度分析MIBS的算法特点,在第3轮选择了泄露位置,建立关于初始密钥和输出比特的超定的线性方程组,可以直接恢复33 bit密钥,利用二次检测恢复6 bit密钥。所需选择明文量221.64,时间复杂度225。该结果较现有结果有较大改进,恢复的密钥数增多,在线阶段的时间复杂度降低。

MIBS密码旁路立方体攻击

研究密码MIBS安全性评估问题。基于单比特泄露模型,假定攻击者可以获取加密中间状态的1比特信息泄露。预处理阶段,随机生成不同选择明文和密钥进行极大项和超多项式提取;在线分析阶段,利用超多项式和加密输出中间状态信息泄露构建关于密钥变量的低次方程组,经方程组求解恢复密钥。结果表明:针对MIBS加密第1轮输出的第5比特泄露,26.39个选择明文分析将MIBS-64密钥搜索空间降低至240。经暴力破解可最终恢复64位MIBS完整密钥。改进方法对其它分组密码旁路立方体攻击研究具有一定借鉴意义。

SIMON系列轻量级分组密码故障立方攻击

针对SIMON密码按位与&运算特性以及现有立方攻击与故障攻击的不足,给出一种故障立方攻击方法.根据线性和二次多项式数量确定候选故障注入轮;利用差分特征表确定故障注入的具体位置;利用离线阶段求得的大量低次多项式,恢复部分轮密钥,并结合密钥猜测攻击恢复全轮密钥.结果表明:对SIMON32/64进行故障立方攻击,需要平均注入故障69次,计算复杂度为247.91,优于现有立方攻击;相比于差分故障攻击,采用故障立方攻击方法确定故障位置更有效,故障模型更易实现,且整个攻击过程具有自动化程度高的特点.该方法可为核心运算次数较低的轻量级分组密码提供借鉴.

对简化版KeeLoq算法的中间相遇-立方攻击

利用立方攻击密码分析方法对简化版(64圈)的KeeLoq算法进行分析,寻找关于15bit密钥的线性方程组;结合穷举攻击,以O(221.2)的复杂度恢复所有64bit密钥;利用所得线性方程组,结合中间相遇技术将攻击圈数增加到96圈,从而实现了以O(251.3)的复杂度恢复所有密钥.

EPCBC密码旁路立方体攻击

将立方体分析和旁路攻击结合,基于8位汉明重泄露模型,对CANS 2011会议上提出的轻量级分组密码EPCBC抗旁路立方体攻击安全性进行评估。在黑盒攻击场景下,攻击者按照一定规则生成立方体和超多项式,利用不同立方体生成不同选择明文,通过计算这些选择明文在加密过程某比特的高阶差分,判断该立方体对应的超多项式是否合法。对不同分组长度的EPCBC密码进行了黑盒旁路立方体攻击实验,结果表明:未经防护的EPCBC密码易遭受黑盒旁路立方体攻击;如果攻击者能够精确获取加密过程汉明重信息泄露,利用提取出的立方体和超多项式,372个选择明文可恢复EPCBC(48,96)的48比特密钥,将其主密钥搜索空间降低到248;610个选择明文可恢复EPCBC(96,96)的全部96比特主密钥。文中方法对其他分组密码黑盒旁路立方体攻击研究具有一定的借鉴意义。

立方攻击成功率分析

在一般随机布尔函数及布尔函数的代数次数或代数标准型项数受限情况下,从理论上分析了立方攻击的成功概率,对立方攻击密码分析方法提供了理论支持。理论结果与对流密码算法Trivium及Grain v1的实验结果是相吻合的。

立方攻击研究综述

立方攻击是一种基于高阶差分理论的新型代数攻击方法,只要输出比特能够表示成关于明文变量和密钥变量的低次多元方程,立方攻击就有可能攻破此类密码。近年来立方攻击研究迅速开展,取得了一系列重要的成果。首先介绍了立方攻击原理及其变种:非线性立方攻击、立方测试和动态立方攻击;总结了基于中间状态泄露和基于故障信息泄露的两种旁路立方攻击模型及容错机制,给出了立方攻击扩展研究内容;最后分析了已有研究的不足并预测了下一步可能的研究方向。

轻量级分组密码LED旁路立方攻击研究

对CHES 2011会议上提出的轻量级分组密码LED进行旁路立方攻击研究。提出一种基于贪心策略的小立方体搜索方法,利用该方法确定了单比特泄露模型和汉明重泄露模型的泄露位;基于两种模型对LED密码进行旁路立方攻击,并对其攻击结果进行比较。仿真结果表明,基于单比特模型进行立方攻击,可将密钥搜索空间降低到28~211;基于汉明重模型,对第2、3轮的攻击可分别将密钥搜索空间降低到248、223。对两种模型比较发现,汉明重模型的多项式次数更高,立方大小分布更加集中。

对简化版MORUS算法的改进动态立方攻击

MORUS算法是Wu等人设计的认证加密算法,现已进入CAESAR竞赛的第三轮.动态立方攻击是Dinur等人2011年提出的针对迭代型序列密码的分析方法.提出了一种改进的动态立方攻击方法,优化了动态立方攻击的立方集合的选取规则,提出了优先猜测关键值并恢复相应的关键秘密信息的方法,据此给出了成功率更高的秘密信息恢复方法.利用该方法分析了初始化5步的简化版MORUS算法,最终以O(295.05)的复杂度恢复所有128比特密钥,攻击的成功率大于92%.