一种针对特定结构SPN密码算法的差分故障攻击

本文提出一种针对特定结构的SPN结构分组密码算法的差分故障攻击方法。该攻击方法基于单字节故障模型,对于具有特定置换层设计的SPN结构分组密码算法,仅需要少量的错误密文即可还原其所使用的密钥。文中给出了错误发生位置、置换层设计与秘密信息泄漏之间的关系分析。同时,我们还针对一些特定结构SPN结构分组密码算法实现了攻击过程。

一种SPN线性层的设计方法

提出了线性码理论用于SPN分组密码线性层(或称扩散层)设计,并给出了过线性码设计最优扩散线性层的方法,从而为密码结构中的线性变换的设计提供了理论基础。利用该方法进行了实例设计与分析,并对其扩散特性进行了仿真。

SPN型密码的通用子空间迹分析

SPN结构是目前最广泛使用的一种分组密码整体结构,AES、ARIA等分组密码算法均采用此结构,对此类SPN型密码的安全性分析是密码分析中的一个研究热点.将子空间迹密码分析方法应用到典型二维SPN型密码和典型三维SPN型密码中,可分别得到其相应的子空间迹和基于子空间迹的通用性质,该性质与密钥、S盒以及列混淆矩阵的定义均无关,可具体描述为:针对一个状态可形式化为n×m二维数组的典型二维SPN型密码,属于类对角子空间同一陪集的所有明文经过5轮加密得到的密文中属于混淆子空间同一陪集的不同密文对数量一定为2^(n-1)的倍数;针对一个状态可形式化为l×n×m三维数组的典型三维SPN型密码,属于类对角子空间同一陪集的所有明文经过7轮加密得到的密文中属于混淆子空间同一陪集的不同密文对数量一定为2^(nl-1)的倍数.此外,不仅对该性质进行了证明,还在PHOTON算法的内部置换以及小规模版本Rijndael算法、3D算法、Saturnin算法上进行了实验验证,结果与该性质完全一致.

SPN结构线性层的设计

SPN结构是一种流行的分组密码总体结构 ;差分和线性分析是攻击分组密码的最强有力的方法 .文章介绍了SPN结构研究的最新进展 。

HBcipher:一种高效的轻量级分组密码

随着物联网应用的普及,高效的轻量级分组密码对于保障资源受限设备的信息安全具有重要意义.本文提出一种高效的轻量级分组密码算法,命名为HBcipher. HBcipher分组长度为64位,密钥长度支持64位和128位.算法轮函数采用三组SPN结构的F函数,且在设计F函数时利用几何图形映射性质构造一种P2置换方法,充分隐藏明文的统计特性,提高抗统计分析的能力,为避免最后一轮完全暴露给攻击者,我们在最后一轮P2置换输出后,增加白化密钥加模块.同时,我们设计了一种动态轮密钥加运算操作,加密数据根据算法轮运算控制信号的奇偶性来动态选择更新后的子密钥,与一般静态密钥加相比,提高了算法灵活性和安全性,特别是抵抗自相似攻击.实验证明, HBcipher算法具有良好的雪崩效应、随机化特性,并且与偏向硬件实现的PRESENT算法相比其软件实现性能更优越,而与偏向软件实现的RECTANGLE算法相比其硬件实现面积更小.最后,对HBcipher进行了安全分析,结果表明其具有抵抗差分攻击、线性攻击等已知攻击的能力.

一种Deoxys-BC算法的中间相遇攻击方法

Deoxys-BC密码算法是在2014年亚密会上发布的一种轻量级可调分组密码算法,该算法的设计采用SPN结构和TWEAK框架。通过研究Deoxys-BC密码算法的内部特征与密钥扩展的特点,利用控制调柄差分的方法,并结合差分枚举技术和轮密钥调柄差分叠加消除特性,构造6轮Deoxys-BC-256和7轮Deoxys-BC-384的中间相遇区分器。利用此区分器,通过减少猜测的字节量,来达到降低复杂度的效果,改进了9轮Deoxys-BC-256和11轮Deoxys-BC-384中间相遇攻击的结果。相比Deoxys-BC系列密码算法现有的中间相遇攻击结果,该攻击的时间复杂度和存储复杂度均大幅下降。

复杂电力物联终端多维数据的轻量级分组密码算法设计

为提高抗攻击性能,设计复杂电力物联终端多维数据的轻量级分组密码算法。利用STCS混沌映射生成轻量级分组密码算法核心部件S盒,设计算法核心部件P盒,基于广义Feistel结构的轻量级分组密码算法,将复杂电力物联终端多维数据分成四个相同数据子块后,利用1个P盒实现S盒混淆层16比特输出结果的线性变换,实现多维数据的轻量级分组加解密。实验结果表明,该密码算法具有较高的密钥敏感性,非加密密钥无法实现电力物联终端多维数据的正确解密;最大安全强度可达到90.8%,2 048长度数据加密仅需16 ms,且具有抗攻击性能。

LRP:一种用于资源受限设备的新型轻量级分组密码

目前,物联网(IoT)正在迅速扩展。然而,由于缺乏足够的安全和隐私措施,极大地影响了其可持续发展,因此轻量级分组密码的研究受到了密码学领域的广泛关注。本文提出了一种新的轻量级分组密码,设计了一种新的P置换操作,称为LRP,这种设计的目的是轻量级和快速实现密码算法。虽然许多密码算法都是采用传统的SPN结构设计的,但LRP是采用分支SPN结构设计的。与传统的轻量级分组密码算法相比,整个算法设计了新的置换层和密钥扩展算法。LRP采用新颖的设计和实现技术,在硬件上实现了高安全性和紧凑性。在最小的硬件实现中,96位密钥模式的硬件要求只有2480个等效门,表明LRP提供了足够的安全级别,以应对已知的分析,包括最近的差分攻击和线性攻击等。

一种针对Camellia的改进差分故障分析

查找S盒是分组密码设计中的一种重要操作,也是防御传统线性和差分分析的有效手段,但是当考虑到密码实现泄露的物理效应信息时,其却成为了密码系统最脆弱的一部分.文中对使用S盒的分组密码故障攻击进行了研究,给出了一种针对Camellia的改进差分故障分析方法.首先,将针对使用S盒的分组密码差分故障分析归结为求解S盒输入和输出差分问题,给出了基本的差分故障分析模型并演化出了SPN和Feistel结构分组密码的差分故障分析模型.然后,提出了针对Camellia的改进差分故障分析方法,对攻击复杂度进行了分析,并通过仿真实验进行验证.结果表明,由于扩散函数的可逆性和Feistel结构,Camellia易遭受深度差分故障分析,16次和24次故障注入即可分别恢复Camellia-128和Camellia-192/256主密钥.最后,分析了密码设计中的查找S盒操作和针对密码实现物理效应的攻击之间的矛盾,并讨论了分组密码故障攻击可能的发展趋势.

RAIN:一种面向软硬件和门限实现的轻量分组密码算法

RAIN算法的设计基于国际上分组密码设计广泛采用的SPN(substitution permutation network)结构,通过迭代混淆层S盒和扩散层字混合提供强雪崩效应,不仅保证强的安全性,还兼顾了软硬件实现.算法支持64 b分组和128 b分组,2种不同的分组长度采用相同的轮函数结构实现,方案简洁优美.混淆层采用4 b的S盒实现,在S盒实现的时候不仅考虑了其安全性,还考虑S盒的软硬件实现,与扩散层的混合运算结合提供高的实现性能.从差分分析、不可能差分分析、积分攻击和不变子空间分析4个方面对算法进行了自评估,在分析的过程中使用了一些最新的分析方法以及基于MILP(mixed integer linear programming)的自动化搜索等,结果显示:算法可以抵抗现有的分析方法,并且具有较大的安全冗余.RAIN算法软硬件实现效率高,在PC机、ARM平台和硬件FPGA(field programmable gate array)平台下都具有出色的实现性能.算法S盒可以转换为基本逻辑运算,抗侧信道攻击实现代价低.

自等价编码与白盒实现方案的改进

在白盒攻击环境下,攻击者不仅能访问密码算法的输入输出,还能获取算法的内部细节并控制终端。在此环境下,CHOW等人利用网络化编码构造查找表,将密钥嵌入查找表内,设计了AES和DES算法的白盒实现方案。基于自等价编码设计的密码算法白盒实现是一种新型的实现方式,RANEA等人利用S盒的自等价编码设计了一种针对代换-置换密码的白盒实现方案,其编码空间的大小完全依赖于密码的S盒自等价,并且安全性分析也表明该方案的适用范围有限。针对此情况,考虑了S盒的自等价对白盒实现安全性的影响,提出了两种改进方案,即通过对线性层添加自等价编码或对仿射层添加线性编码的方式来扩大白盒实现方案的编码空间。安全性分析表明,两种改进方案均能有效地抵抗RANEA等人方案的攻击,扩大了方案的使用范围。最后基于以上两种设计方案,构造了两种AES算法的白盒实现,并与RANEA等人的白盒AES方案进行了安全性对比。对比结果证明这两种改进方案均可以抵抗基于中心化子问题和非对称问题的归约攻击。

针对AES分组密码S盒的差分故障分析

研究了AES分组密码对差分故障攻击的安全性,攻击采用面向字节的随机故障模型,结合差分分析技术,通过在AES第8轮列混淆操作前导入随机单字节故障,一次故障导入可将AES密钥搜索空间由2128降低到232.3,在93.6%的概率下,两次故障导入无需暴力破解可直接恢复128位AES密钥.数学分析和实验结果表明:分组密码差分S盒取值的不完全覆盖性为差分故障分析提供了可能性,而AES密码列混淆操作良好的扩散特性极大的提高了密钥恢复效率,另外,本文提出的故障分析模型可适用于其它使用S盒的分组密码算法.

QARMA算法的相关密钥不可能差分攻击

QARMA算法是一种代替置换网络结构的轻量级可调分组密码算法。研究QARMA算法抵抗相关密钥不可能差分攻击的能力,根据QARMA-64密钥编排的特点搜索到一个7轮相关密钥不可能差分区分器,在该差分区分器的前、后各添加3轮构成13轮相关密钥不可能差分攻击。分析结果表明,在猜测52 bit密钥时,与现有中间相遇攻击相比,该相关密钥不可能差分攻击具有攻击轮数较多、时间复杂度和空间复杂度较低的优点。

Saturnin算法的不可能差分分析

轻量级分组密码算法Saturnin是类AES算法,在资源受限的环境下,仍具有良好的安全性。对Saturnin算法进行了不可能差分分析。首先,基于Saturnin算法的结构特性,提出并证明了Saturnin算法3.5轮不可能差分区分器的充分条件,利用此充分条件可以快速构造2^(70.1)个截断式不可能差分区分器。其次,从构造的2^(70.1)个区分器中,有针对性地挑选了64个区分器并分成了四类。将这四类区分器向前扩展2轮可得四条攻击路径。这四条攻击路径不仅具有相同的明文结构,而且具有大量的公共密钥比特,利用这2个特性,可以改善攻击方案的复杂度。结合明文早夭等分析技术,提出Saturnin算法的5.5轮不可能差分攻击方案,其数据、存储和时间复杂度分别为2^(176.88)个选择明文、2^(143.88)算法规模和2^(176.91)次5.5轮加密,这是目前可见的对Saturnin算法的一种不可能差分攻击方案。

S盒中仿射层对差分分析指标的影响

S盒作为对称密码算法中的基础组件之一,其安全强度直接影响算法整体的好坏。考察轻量级算法PRINCE和PRESENT,通过给S盒加上不同的仿射矩阵,研究同一仿射等价类里不同S盒对2轮SPN结构的Anne界造成的影响。通过分析数据,从差分概率上界角度给出了部分比原S盒更好的仿射等价S盒,并发现仿射层的重量、分支数等参数会引起Anne界值的变化。上述结论可为PRINCE和PRESENT算法的S盒优化提供理论依据,同时可扩展到其他轻量级算法,为其S盒的选取提供在抗差分分析方面的参考。

Fault-Propagate Pattern Based DFA on PRESENT and PRINTcipher

This article proposes an enhanced differential fault analysis（DFA） method named as fault-propagation pattern-based DFA（FPP-DFA）.The main idea of FPP-DFA is using the FPP of the ciphertext difference to predict the fault location and the fault-propagation path.It shows that FPP-DFA is very effective on SPN structure block ciphers using bitwise permutation,which is applied to two block ciphers.The first is PRESENT with the substitution permutation sequence.With the fault model of injecting one nibble fault into the r-2nd round,on average 8 and 16 faults can reduce the key search space of PRESENT-80/128 to 214.7 and 221.1,respectively.The second is PRINTcipher with the permutation substitution sequence.For the first time,it shows that although the permutation of PRINTcipher is secret key dependent,FPP-DFA still works well on it.With the fault model of injecting one nibble fault into the r-2nd round,12 and 24 effective faults can reduce the key search space of PRINTcipher-48/96 to 213.7 and 222.8,respectively.

基于MILP的BORON中间相遇分析

BORON是新设计的超轻量级分组密码,被广泛应用于资源受限的设备中保护数据安全,然而受计算和存储资源限制,设计者可能为了追求高的软硬件实现效率而适度降低安全性。为了保障它在实际系统中有足够安全强度,需要评估BORON抵抗各种密码分析方法的能力。本文分析了BORON抵抗中间相遇攻击的能力。具体来说,利用混合整数线性规划自动化搜索算法,找到多条5轮中间相遇差分链,在此基础上构造了9轮的中间相遇分析路径,基于该路径最后恢复9轮BORON的密钥。整个攻击需要的时间、数据和存储复杂度分别为295.84次9轮加密、242.00个选择明文和294.90个64比特块。此结果是对BORON安全性分析的重要补充。