SKINNY的差分故障攻击与ForkAE的密钥恢复攻击

作为LWC竞赛的候选算法之一,ForkAE是基于叉形密码结构的一系列轻量级认证加密算法,其中使用的加密原语为轻量级可调分组密码族SKINNY.本文首先给出了一种对SKINNY族内各算法进行差分故障攻击的方法.对于SKINNY-64-64和SKINNY-64-128,在算法倒数第三轮注入随机半字节故障,理论上平均通过2.32次随机半字节故障注入即可得知连续两轮共4个半字节的信息.通过对多个位置的信息获取,理论上平均通过9.23次随机半字节故障注入即可恢复单轮的64 bit轮密钥,结合密钥扩展算法即可恢复全部64 bit的主密钥.利用类似的方法攻击SKINNY-128-128和SKINNY-128-256,在算法倒数第三轮注入随机字节故障,理论上平均通过2.4次随机字节故障注入即可得知连续两轮共4个半字节的信息,平均通过9.56次随机字节故障注入即可恢复128 bit的主密钥.攻击SKINNY-64-192或SKINNY-128-384时需要额外对倒数第五轮进行攻击,分别需要18.52次随机半字节故障注入和19.18次随机字节故障注入.在对SKINNY完成的差分故障分析的基础上,本文给出了一种对ForkAE进行密钥恢复的方法,理论上仅需要1次对故障加密机的询问即可恢复ForkAE的主密钥.

基于CUDA的SKINNY加密算法并行实现与分析

针对SKINNY加密算法在中央处理器(CPU)下实现效率偏低的问题,提出一种基于图形处理器(GPU)的快速实现方法。首先,结合SKINNY算法的结构特征提出优化方案,将5个分步操作优化整合为1个整体运算;然后,分析该算法的电子密码本(ECB)模式和计数器(CTR)模式的特性,并给出并行粒度、内存分配等并行设计方案。实验结果表明,与传统的CPU实现方法下的SKINNY算法相比,基于计算统一设备架构(CUDA)实现的SKINNY算法的效率和吞吐量得到很大提升。具体来说,当处理的数据达到16 MB及以上时,在所提实现方法下,SKINNY算法的ECB模式的加速效率提升峰值为99.85%,加速比峰值为671,CTR模式的加速效率提升峰值为99.87%,加速比峰值为765;而与已有AES-256(ECB)和SKINNY_ECB并行算法比较,新提出的SKINNY-256(ECB)并行算法的吞吐量分别是它们的吞吐量的1.29倍和2.55倍。

减轮SKINNY-128-384算法的中间相遇攻击

本文研究了SKINNY算法的中间相遇攻击.中间相遇攻击广泛用于基于SPN结构的分组密码的安全性分析中.2018年亚密会上,史丹萍等人提出了SKINNY算法的中间相遇攻击.通过自动化搜索的方法,史丹萍等人结合算法中可利用的相关约束条件,给出了22轮SKINNY-128-384算法的中间相遇攻击.然而,在其中间相遇区分器的搜索过程中没有考虑轮密钥的猜测,仅通过猜测部分状态值确定中间相遇区分器.针对这一点,本文对自动化搜索SKINNY算法中间相遇区分器的方法进行了改进,将搜索过程中一部分状态的猜测转化为密钥的猜测,同时结合密钥桥技术,降低了密钥的猜测量,从而达到降低区分器存储复杂度的目的.本文所给出的SKINNY-128-384中间相遇攻击在不增大数据复杂度和时间复杂度的情况下,降低了攻击过程中的存储复杂度.

改进的SKINNY算法的不可能差分分析

SKINNY算法是一种新型SPN结构的类AES型轻量级可调分组密码算法,由Beierle等在CRYPTO 2016上提出.SKINNY是一类采用可调密钥框架的可调分组密码算法,根据可调密钥大小和分组长度分为6个不同版本.本文评估了SKINNY在单密钥条件下抵抗不可能差分分析的安全性.首先,在区分器输入输出只有一个活动块的情况下,利用中间相错技术寻找到SKINNY算法最长长度达到11轮的所有16个截断不可能差分路径.其次,选择其中一条不可能差分路径,在单密钥条件下针对20轮SKINNY-64-128进行不可能差分分析.利用S盒差分性质及SKINNY算法列混合变换的性质进行密钥猜测,结合密钥编排算法存在的"周期性质",推导得出的轮可调密钥块之间的线性关系,将分析过程中需猜测的可调密钥块数量由45个减少至33个.最后利用并行攻击技术和早夭技术,有效降低了攻击的时间复杂度.攻击需要2^(29)个选择明文对,存储量为2^(94)个半字节,时间复杂度为2^(119.3)次加密.相比于已有SKINNY不可能差分分析结果,选择明文数量和攻击时间复杂度有一定改进.

SKINNY-n-n算法和MANTIS算法的相关密钥分析

通过分析SKINNY算法的密钥扩展算法特性以及算法结构,给出了两类SKINNY-n-n算法的相关密钥不可能差分区分器,而后据此对19轮的SKINNY算法进行了攻击,得到了对于SKINNY-64-64和SKINNY-128-128攻击所需数据复杂度分别为2^(55)、2^(104)个选择明文,计算复杂度分别为为2^(40. 82)次19轮SKINNY-64-64加密和2^(77. 76)次19轮SKINNY-128-128加密,存储复杂度分别为2^(48)和2^(96)。此外,针对SKINNY算法族中的低延迟变体-MANTIS算法,利用其FX结构以及密钥扩展算法的Tweakey结构,首先基于α映射,给出了一类平凡相关密钥差分特征;而后找到一种1轮循环结构,借此构造了对于MANTIS_(r core)的相关密钥矩阵区分器(1≤r≤6);最后,利用现有的对于MANTIS_5的攻击结果,改进得到了一类新的相关密钥差分路径,将区分器概率提高到2^(28. 35),有效降低攻击所需复杂度。

Zero-correlation linear attack on reduced-round SKINNY

At ToSC 2019,Ankele et al.proposed a novel idea for constructing zero-correlation linear distinguishers in a related-tweakey model.This paper further clarifies this principle and gives a search model for zero-correlation distin-guishers.As a result,for the first time,the authors construct 14-round and 16-round zero-correlation linear distinguishers for SKINNY-n-2n and SKINNY-n-3n,respectively,which are both two rounds longer than Anekele et al.'s.Based on these distinguishers,the paper presents related-tweakey zero-correlation linear attacks on 21-round SKINNY-n-2n and 25-round SKINNY-n-3n,respectively.

The Fat and the Skinny on Eating

A survey reveals China’s eating habits What is the Chinese people’sfavorite cuisine? What was thenewest Chinese fad in food