基于汉明重的SMS4密码代数旁路攻击研究

基于汉明重泄露模型,对SMS4算法抗代数旁路攻击能力进行了评估.首先构建SMS4算法等价布尔代数方程组,然后采集SMS4加密功耗泄露,基于模板分析对加密中间状态字节的汉明重进行推断,并转化为与密码算法联立的代数方程组,最后利用解析器进行密钥求解.结果表明:SMS4密码易遭受代数旁路攻击;已知明文条件下,2个样本4轮连续汉明重泄露或26轮离散汉明重泄露可恢复128bit SMS4主密钥;未知明密文条件下,2个样本连续5轮汉明重泄露可恢复128bit SMS4主密钥;使用随机掩码防御的SMS4实现仍不能有效防御代数旁路攻击,已知明文条件下,2个样本连续14轮汉明重泄露可恢复128bit SMS4主密钥.为提高攻击实用性,提出了一种容错代数旁路攻击方法,结果表明汉明重推断错误率不超过60%的情况下,2个样本可恢复128bit SMS4主密钥.本文方法对其它分组密码代数旁路攻击研究具有一定的借鉴意义.

基于FPGA实现的SMS4算法研究

无线局域网产品使用的SMS4密码算法是国内官方公布的第一个商用加密算法。针对用FPGA硬件实现的SMS4分组密码算法电路,分别提出了SMS4商用密码算法的2种实现方案,基于FPGA实现了该加解密算法,并通过仿真验证了算法的正确性。通过对2种实现方案比较,对运行速度和芯片逻辑资源进行了分析,可知由于采用内部流水线的实现方式,采用2级流水线方式生成Xi+4信号,相对全循环实现方法性能优越,具有较高的运行速度和较小的实现面积。

针对SMS4轮输出的选择明文能量分析攻击

提出了针对SMS4轮输出的选择明文能量分析攻击,攻击时以一定约束条件选择明文,先攻击出轮迭代函数的输出,再由轮迭代函数的输出反推出对应的轮子密钥,从而实现了以轮输出作为中间数据对SMS4的能量分析攻击,并利用该方法对无防护SMS4算法的能量曲线进行了能量分析攻击,实验表明该攻击方法是行之有效的。

SMS4密码算法的差分故障攻击

SMS4是用于WAPI的分组密码算法,是国内官方公布的第一个商用密码算法.由于公布时间不长,关于它的安全性研究尚没有公开结果发表.该文研究SMS4密码算法对差分故障攻击的安全性.攻击采用面向字节的随机故障模型,并且结合了差分分析技术.该攻击方法理论上仅需要32个错误密文就可以完全恢复出SMS4的128比特种子密钥.因为实际中故障发生的字节位置是不可能完全平均的,所以实际攻击所需错误密文数将略大于理论值;文中的实验结果也验证了这一事实,恢复SMS4的128bit种子密钥平均大约需要47个错误密文.文章结果显示SMS4对差分故障攻击是脆弱的.为了避免这类攻击,建议用户对加密设备进行保护,阻止攻击者对其进行故障诱导.

针对SMS4密码算法的Cache计时攻击

分别提出并讨论了针对SMS4加密前4轮和最后4轮的访问驱动Cache计时分析方法,设计间谍进程在不干扰SMS4加密前提下采集加密前4轮和最后4轮查表不可能访问Cache组集合信息并转化为索引值,然后结合明文或密文对密钥的不可能值进行排除分析,最终恢复SMS4初始密钥。实验结果表明多进程共享Cache存储器空间方式和SMS4查找表结构决定其易遭受Cache计时攻击威胁,前4轮和最后4轮攻击均在80个样本左右恢复128bit SMS4完整密钥,应采取一定的措施防御该类攻击。

SMS4密码算法的差分功耗分析攻击研究

SMS4算法是用于无线局域网产品的分组密码算法,本文研究对SMS4密码算法的差分功耗分析攻击方法.通过对算法结构的分析,结合差分功耗分析技术的原理,提出一种面向轮密钥字节的攻击方法.在利用该方法获取最后四轮轮密钥的基础上,即可进一步推算出128bit加密密钥.仿真实验结果证明,该攻击方法对SMS4轮运算有效可行,SMS4算法对差分功耗分析攻击是脆弱的,密码硬件设备需要对此类攻击进行防护.

一种SMS4加密算法差分功耗攻击

针对SMS4加密电路,采用差分功耗分析攻击方式进行密钥破解。该攻击方法是一种典型的加密芯片旁路攻击方式,其理论基础为集成电路中门电路在实现加密算法时的物理特征、功耗模型及数据功耗相关性。结合中国第一个商用密码算法SMS4,详细介绍了针对SMS4加密系统进行差分功耗分析攻击的设计与实现。开发了相应的仿真实验验证平台,实验验证成功破解了SMS4加密算法的密钥,从而给SMS4加密算法研究者提供了有益的安全设计参考。实验表明,未加防护措施的SMS4加密系统难以抵御差分功耗分析的攻击。

SMS4算法S盒的密码学性质

S盒是分组密码的重要组成部分,在很大程度上决定了分组密码的安全性。该文研究了中国分组密码标准SMS4算法S盒的平衡性、差分性质、线性结构、非线性、Walsh谱等性质,通过与美国高级加密标准、欧洲分组加密标准Camellia的S盒作比较,说明了SMS4算法S盒一些较好的安全特性。

用不可能差分法分析17轮SMS4算法

SMS4是我国在2006年公布的第一个商用分组密码算法.通过分析SMS4每一轮输入输出对的差分的变化,首次给出一个14轮SMS4的不可能差分特性:如果输入的明文对的差分为(a,a,a,0),那么14轮之后的输出差分不可能为(a,a,a,0).利用该性质,在14轮不可能差分密码分析的基础上,前面加了两轮,后面加了一轮,提出了一种不可能差分密码分析17轮SMS4的方法.该方法分析17轮SMS4需要2103的选择明文,2124的17轮SMS4加密以及289分组的记忆存储空间,猜测密钥的错误概率仅为2-88.7.

分组加密算法SMS4的14轮Square攻击

为了对分组加密算法SMS4进行新的安全性分析,基于SMS4的轮结构中的活跃字变化的特点,选择1个特定的明文形式来构造1个含3个活跃字的∧集,通过观察平衡字的传播路径,在第9轮找到了1个平衡字,由此构建出1个新型的12轮区分器并对14轮SMS4进行Square攻击.研究结果表明:攻击所需的明文数据量为232,计算复杂度为296.5,这说明14轮SMS4对Square攻击是不免疫的.

22-轮SMS4的差分分析

SMS4是中国官方公布的第一个商用分组密码标准,使用差分方法分析了18轮的SMS4差分特征,并在此基础上攻击了22-轮的SMS4,攻击过程需要2117个选择明文,2112字节的存储空间,而时间复杂度为2123次22-轮加密。此结果是目前对SMS4差分分析的最好结果。

适合SMS4算法硬件实现的S盒构造新方法

基于有限域求逆实现S盒的方法存在求逆运算复杂、硬件实现难的问题．为此，通过引入新的复合域，将GF（2^8）域上的求逆运算转化成GF（（（2^2）^2）^2）复合域上的求逆运算，提出了一种基于复合域求逆的低电路面积开销的S盒构造方法．该方法通过采用复合域计算、优化运算顺序和复用公因子等手段减小S盒硬件实现的电路面积．实验表明，在0．18μm和0．35μmCMOS工艺下，采用基于复合域求逆构造的S盒与采用查找表方法构造的S盒相比，电路面积可减少34％～68％．此外，在相同的工艺和吞吐率下，与原始的算法相比，采用提出的S盒的SMS4算法硬件资源消耗大大减少，适用于对芯片面积严格限制的场合．

基于密钥编排故障的SMS4算法的差分故障分析

提出并讨论了一种针对SMS4密钥编排方案的差分故障攻击方法。该方法采用面向字节的随机故障模型,通过在SMS4算法的密钥编排方案中导入故障,仅需要8个错误密文即可恢复SMS4算法的128bit原始密钥。数学分析和实验结果表明,该方法不仅扩展了故障诱导的攻击范围,而且提高了故障诱导的攻击成功率,减少了错误密文数,为故障攻击其他分组密码提供了一种通用的分析手段。

PFM:一种抗高阶功耗攻击的SMS4算法

针对已有的SMS4功耗攻击方法,设计了一种适合低功耗小面积的固定值掩码SMS4算法。首先,对SMS4算法结构及内部加密运算流程进行研究;设计了一种SMS4原子掩码算法来抗高阶功耗攻击,该方法使各中间变量均被掩码;在此方法的基础上,为了减少芯片的面积和功耗以适应特殊环境下的加密应用(如特殊环境的传感器加密通信节点),提出了一种改进的固定值掩码算法:伪随机固定值掩码算法(PFM)及其实现技术。实验结果证明,该方法在芯片面积和功耗增加不大的情况下,可以有效抵抗二阶差分功耗攻击。

面积优先的分组密码算法SMS4 IP核设计

对新分组密码算法SMS4进行了FPGA实现。所设计的SMS4算法的IP核主要包括具有加解密功能的非流水线式数据通路和实时产生子密钥的密钥扩展模块,并且支持电子密码本(ECB)和分组链接(CBC)两种工作模式。提出了一种不含密钥初始化的运行模式,使解密吞吐率提高近一倍。实验表明,该IP核吞吐率高且相对面积小,非常适合面积受限条件下的无线产品应用。

对白盒SMS4实现的一种有效攻击

传统的密码模型都假设密码系统的运行终端和计算环境是可信任的,但是,随着攻击方式的发展,这样的模型显得越来越脆弱.而白盒攻击环境是指攻击者除了能够获得与传统密码模型同样的资源以外,还对密码系统的内部运行完全可见,并完全掌控执行环境.因此,能够抵抗白盒攻击的密码算法具有更高层次的安全意义.2009年提出的SMS4算法的白盒实现,其目标是在白盒攻击环境下能够防止SMS4算法的密钥被恢复.在回顾已有研究的基础上,针对该SMS4算法的白盒实现提出了一种有效的攻击,并详细解释了如何以低于247的时间复杂度找出嵌入其中的轮密钥,说明了该白盒设计方法的不可靠性,并为设计安全的白盒实现提供了一种参考.

SMS4在第3代数据加密标准算法中的应用研究

自1999年国务院颁布《商用密码管理条例》以来,3GPP规范的f8加密算法的内核算法KASUMI已不能在中国作为商业化使用,造成中国3G手机在国外漫游受限和国外3G手机在国内漫游受限。本文根据"国内使用专用算法、国际使用标准算法"解决思路,讨论了利用国内商用密码算法SMS4作为f8算法的内核算法的可行性,并通过实验来测试内核算法为SMS4的新f8算法产生的位序列的随机性能,实验结果表明提出的新算法具有较好的性能,可以应用于3G的通信加密。

AES和SMS4算法的可重构设计与高效实现

分析AES和SMS4算法的原理及可重构性,给出系统的整体结构,综合应用可重构技术、并行处理及流水线技术对算法进行高效实现。与传统设计方案相比,该设计在保证运行速度的同时大大减少了资源的消耗,因此,适用于面积受限且有多种密码需求的安全系统。

CBC模式下SMS4算法并行化研究

为提高密码分组链接即CBC模式下SMS4算法的实现性能,研究了CBC模式下多SMS4密码处理引擎的并行处理机制。首先提出了支持CBC模式的SMS4密码处理引擎架构,基于资源重用的方式设计了SMS4算法的迭代结构。在此基础上进一步研究了多密码处理引擎的并行化问题,提出了CBC模式下多引擎的任务分配机制。与同类设计相比,该文设计的密码处理引擎资源占用少、数据吞吐率高,提高了CBC模式下SMS4算法的处理性能。

SMS4密码算法的低功耗实现

根据实际应用场景,提出一种SMS4密码算法的低功耗实现方法。通过对前后分组加解密数据的密钥进行对比分析,有选择地对上一次操作结果进行复用,同时辅以动态时钟管理、操作数隔离、门控时钟等低功耗设计技术降低功耗。实验结果表明,该实现方法比原算法降低65%的功耗,等效门数减少13%。