A New Method for Impossible Differential Cryptanalysis of 8-Round Advanced Encryption Standard

This paper first presents an impossible differential property for 5-round Advanced Encryption Standard （AES） with high probability. Based on the property and the impossible differential cryptanalytic method for the 5-round AES, a new method is proposed for cryptanalyzing the 8-round AES-192 and AES-256. This attack on the reduced 8-round AES-192 demands 2^121 words of memory, and performs 2^148 8-round AES-192 encryptions. This attack on the reduced 8-round AES-256 demands 2^153 words of memory, and performs 2^180 8-round AES-256 encryptions. Furthermore, both AES-192 and AES-256 require about 2^98 chosen plaintexts for this attack, and have the same probability that is only 2^-3 to fail to recover the secret key.

A NEW METHOD FOR RESYNCHRONIZATION ATTACK

This paper presents a new method for resynchronization attack, which is the combination of the differential cryptanalysis and algebraic attack. By using the new method one gets a system of linear equations or low-degree equations about initial keys, and the solution of the system of equations results in the recovery of the initial keys. This method has a lower computational complexity and better performance of attack in contrast to the known methods. Accordingly, the design of the resynchronization stream generators should be reconsidered to make them strong enough to avoid our attacks. When implemented to the Toyocrypt, our method gains the computational complexity of O(217), and that of O(267) for LILI-128.

GRANULE算法的截断不可能差分分析

GRANULE是Feistel结构的轻量级分组密码算法,分组长度为64比特,密钥长度为80比特和128比特,算法根据密钥长度分别记为GRANULE-80和GRANULE-128.首先构造了两条新的7轮不可能差分链;其次,研究了GRANULE密钥编排计划的冗余性得到了轮密钥之间的一些线性关系;第三,在一条7轮不可能差分链的前后各扩展3轮,得到了13轮GRANULE-80的不可能差分分析攻击路径,执行此攻击需要的数据复杂度为2^(62.06)个选择明文,时间复杂度为2^(62.15)次13轮GRANULE-80加密,存储复杂度为2^(46.06)个64-比特数据块;最后,基于另一条7轮不可能差分链构造了14轮GRANULE-128的不可能差分分析攻击路径,恢复128比特主密钥需要的数据、时间和存储复杂度分别为2^(62.57)个选择明文、2^(101.84)次14轮GRANULE-128加密和2^(74.57)个64-比特数据块.与之前的结果相比,GRANULE-80的攻击轮数提高了2轮,同时还对GRANULE-128的安全边界进行了评估.

对八阵图算法的不可能差分密码分析和线性密码分析

该文对八阵图(ESF)算法抵抗不可能差分密码分析和线性密码分析的能力进行了研究。ESF算法是一种具有Feistel结构的轻量级分组密码算法,它的轮函数为代换置换(SP)结构。该文首先用新的不可能差分区分器分析了12轮ESF算法,随后用线性密码分析的方法分析了9轮ESF算法。计算得出12轮不可能差分分析的数据复杂度大约为O(2^(67)),时间复杂度约为O(2^(110.7)),而9轮线性密码分析的数据复杂度仅为O(2^(35)),时间复杂度不大于O(2^(15.6))。结果表明ESF算法足够抵抗不可能差分密码分析,而抵抗线性密码分析的能力相对较弱。

Gimli/Xoodoo密码算法的不可能差分分析

大状态轻量级分组密码Gimli和Xoodoo具备逻辑门较少﹑低功耗和快速加密等诸多优点,备受业界关注。Gimli和Xoodoo算法均基于384 bit置换,大状态增加了对其安全性分析的困难性。该文通过引入AND、OR操作与S盒之间的等价表示,构建了Gimli和Xoodoo不可能差分区分器自动化搜索模型。进一步,为了验证不可能差分区分器的正确性,提出基于“二分法”的不可能差分区分器矛盾点检测新方法。结果表明:该文搜索并验证得到Gimli算法10轮不可能差分区分器以及Xoodoo算法4轮不可能差分区分器。特别地,Gimli算法不可能差分区分器轮数较已有结果提高了3轮。

缩减轮的超轻量级分组密码算法PFP的不可能差分分析

基于Feistel结构的轻量级分组密码算法PFP适用于物联网终端设备等资源极端受限环境。目前对PFP算法不可能差分分析的最好结果是利用7轮不可能差分区分器攻击9轮PFP算法,这样可恢复36 b的种子密钥。为了更准确地评估PFP算法抵抗不可能差分分析的能力,对PFP算法结构进行研究。首先,通过分析轮函数中S盒的差分分布特性,找到了概率为1的两组差分;其次,结合置换层特点,构造出一组包含16条不可能差分的7轮不可能差分区分器;最后,基于构建的7轮不可能差分区分器,对9轮PFP算法进行不可能差分分析以恢复40 b种子密钥,并提出对10轮PFP算法的不可能差分分析方法来恢复52 b种子密钥。结果表明,所提方法在区分器数量、分析轮数、恢复密钥比特数等方面均有较大改善。

对轻量级分组密码PICO算法的差分攻击

PICO算法是一个SP结构的迭代型轻量级密码算法,目前对该算法的差分分析和相关密钥分析研究尚未完善.本文借助自动化搜索技术,设计了一套基于SAT方法搜索SP结构算法差分路径和差分闭包的自动化工具,构建了搜索约减轮PICO算法差分路径以及差分闭包的SAT模型,评估了PICO算法抵抗差分攻击的能力,提供了比之前分析结果更准确的安全评估.给出了1–22轮PICO算法的最优差分路径及其概率;搜索到概率为2−60.75的21轮差分闭包和概率为2−62.39的22轮差分闭包;实现了26轮PICO算法的密钥恢复攻击,攻击的时间复杂度为2101.106,数据复杂度为263,存储复杂度为263.研究了PICO算法抵抗相关密钥攻击的能力,发现PICO算法的密钥编排算法存在缺陷,构建了任意轮概率为1的相关密钥区分器,给出了全轮PICO算法的密钥恢复攻击.所提模型适用于其他轻量级密码算法,尤其是拥有更长的分组或者轮数更多的分组密码算法.

基于混合整数线性规划的八阵图不可能差分分析

八阵图(ESF)是基于LBlock改进的轻量级分组密码,具有优良的软硬件实现效率。针对ESF算法的安全性,该文借助自动化搜索工具,利用不可能差分分析方法,对算法进行安全性评估。首先结合ESF的结构特性和S盒的差分传播特性,建立了基于混合整数线性规划(MILP)的不可能差分搜索模型;其次利用算法S盒的差分传播特性和密钥扩展算法中轮子密钥间的相互关系,基于一条9轮不可能差分区分器,通过向前扩展2轮向后扩展4轮,实现了对ESF算法的15轮密钥恢复攻击。分析结果表明,该攻击的数据复杂度和时间复杂度分别为260.16和267.44,均得到有效降低,且足够抵抗不可能差分分析。

Impossible Differential Cryptanalysis of Reduced-Round ARIA and Camellia

This paper studies the security of the block ciphers ARIA and Camellia against impossible differential cryptanalysis. Our work improves the best impossible differential cryptanalysis of ARIA and Camellia known so far. The designers of ARIA expected no impossible differentials exist for 4-round ARIA. However, we found some nontrivial 4-round impossible differentials, which may lead to a possible attack on 6-round ARIA. Moreover, we found some nontrivial 8-round impossible differentials for Camellia, whereas only 7-round impossible differentials were previously known. By using the 8-round impossible differentials, we presented an attack on 12-round Camellia without FL/FL^-1 layers.

Impossible Differential Attacks on 13-Round CLEFIA-128

CLEFIA, a new 128-bit block cipher proposed by Sony Corporation, is increasingly attracting cryptanalysts＇ attention. In this paper, we present two new impossible differential attacks on 13 rounds of CLEFIA-128. The proposed attacks utilize a variety of previously known techniques, in particular the hash table technique and redundancy in the key schedule of this block cipher. The first attack does not consider the whitening layers of CLEFIA, requires 21~9＂5 chosen plaintexts, and has a running time equivalent to about 2112.9 encryptions. The second attack preserves the whitening layers, requires 2117.8 chosen plaintexts, and has a total time complexity equivalent to about 2121.2 encryptions.

Impossible differential cryptanalysis of advanced encryption standard

Impossible differential cryptanalysis is a method recovering secret key, which gets rid of the keys that satisfy impossible differential relations. This paper concentrates on the impossible differential cryptanalysis of Advanced Encryption Standard （AES） and presents two methods for impossible differential cryptanalysis of 7-round AES-192 and 8-round AES-256 combined with time-memory trade-off by exploiting weaknesses in their key schedule. This attack on the reduced to 7-round AES-192 requires about 294.5 chosen plaintexts, demands 2129 words of memory, and performs 2157 7-round AES-192 encryptions. Furthermore, this attack on the reduced to 8-round AES-256 requires about 2^101 chosen plaintexts, demands 2^201 words of memory, and performs 2^228 8-round AES-256 encryptions.

聚合非对称状态提升飞去来器对分组密码的攻击效能的新策略

飞去来器分析方法作为对称密码算法研究的一种重要的分析手段,已经针对国际重要密码算法AES、SKINNY等给出具有影响力的分析结果。在近几年的飞去来器攻击中,研究者常常把算法分成三个部分,E=E_(1)°E_(m)°E_(0);E_(m)部分的介入能够有效地考虑到两条短轮数差分拼接起来时的依赖性。但是现存的方法中忽略了E_(m)部分上下差分之间存在的不对称关系,即经常假设E_(m)头部两个输入差分相等,尾部亦然,这样使得最终的飞去来器区分器概率计算偏小。同时目前并没有一种行之有效的方法,来全面计算非对称状态下多轮E_(m)的概率;文章基于这个目标,设计了一种新的实验方法来评估E_(m)部分的概率,该方法能够同时考虑对称状态和非对称状态下多轮E_(m)部分的概率;为验证该新型实验方法的合理有效性,文章给出实验结果,结果显示能够提升原有飞去来器区分器中间部分的概率。具体来讲,在相同的数据量下,新方法测试E_(m)概率的速度约是原来方法测试速度的500倍,使得原来不可能实现的计算变为可能。利用该新型实验方法,文章把CRAFT算法飞去来器区分器的概率提升1.2倍,并利用此区分器给出该算法矩形攻击的最优结果。

基于轻量级分组密码算法的SoC安全存储器设计

针对嵌入式片上系统的RAM(Random Access Memory)、Flash存储器面临的安全风险,文中概述了针对传统SoC(System on Chip)芯片存储器的物理攻击,并提出一种支持加密算法的存储器控制器。使用轻量级分组密码算法LBlock-s,通过密码学安全分析证明了该算法具有较好的抵抗差分分析的能力。相对于传统分组密码算法AES(Advanced Encryption Standard),文中所提方法在保证安全性的前提下减少了硬件资源开销,适用于各种资源受限的安全SoC芯片。为提高数据的吞吐率,将算法的硬件结构进行展开,使标准的32轮加/解密耗时1个时钟周期。该方案在不耗费较多硬件资源和加密延时的前提下,保证了存储器的数据即使被攻击者获取也无法解析出敏感数据,有效避免了安全芯片遭受物理攻击。

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为70.0O(2),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为71.5O(2),数据量为263。

Zodiac算法的不可能差分和积分攻击

重新评估了Zodiac算法抗不可能差分攻击和积分攻击的能力.已有结果显示,Zodiac算法存在15轮不可能差分和8轮积分区分器.首先得到了算法概率为1的8轮截断差分,以此构造了Zodiac算法完整16轮不可能差分和9轮积分区分器.利用9轮积分区分器,对不同轮数Zodiac算法实施了积分攻击,对12轮、13轮、14轮、15轮和16轮Zodiac的攻击复杂度分别为234,259,293,2133和2190次加密运算,选择明文数均不超过216.结果表明,完整16轮192比特密钥的Zodiac算法也是不抗积分攻击的.

3D密码的不可能差分攻击

3D密码是在CANS2008上提出的一个新的分组密码算法,与以往的分组密码算法不同,它采用了3维结构。密码设计者给出了3D密码的一个5轮不可能差分并对6轮3D密码进行了不可能差分攻击。该文通过3D密码的结构特性找到了新的6轮不可能差分。基于新的不可能差分和3D密码的等价结构,可以对7轮和8轮3D密码进行有效的不可能差分攻击。此外,结合其密钥扩展规则,可以将攻击轮数提高至9轮。该文的攻击结果优于密码设计者的结果。

对PRINCE分组密码的不可能差分攻击

PRINCE是一个具有64bit分组长度,128bit密钥的轻量级分组密码,具有低功耗、低延时等特点.不包含密钥白化的PRINCE密码被称为PRINCEcore.为评估其安全性,笔者对PRINCE密码的线性变换进行统计测试,给出了线性变换的统计特征,并利用"中间相错"的方法构造了PRINCE密码的5轮不可能差分区分器.利用该区分器,结合线性变换的性质,对9轮PRINCEcore进行不可能差分攻击,攻击的数据复杂度为261.2,计算复杂度为254.3,存储复杂度为217.7.测试结果表明,9轮PRINCEcore密码对于文中给出的攻击是不免疫的.

一种新的6轮AES不可能差分密码分析方法

给出了一个4轮AES的不可能差分特性:如果输入的明文对只有一个S-盒不同,那么4轮之后相应的密文对在同一列不可能出现3个不同的S-盒.利用该性质,在原来4轮不可能差分密码分析的基础上,前后各加一轮,提出了一种不可能差分密码分析6轮AES的新方法.该新方法需要299.5的选择明文,记忆存储空间为257分组,以及约286的6轮AES计算,且恢复密钥的错误概率仅为2-66.5.

用不可能差分法分析17轮SMS4算法

SMS4是我国在2006年公布的第一个商用分组密码算法.通过分析SMS4每一轮输入输出对的差分的变化,首次给出一个14轮SMS4的不可能差分特性:如果输入的明文对的差分为(a,a,a,0),那么14轮之后的输出差分不可能为(a,a,a,0).利用该性质,在14轮不可能差分密码分析的基础上,前面加了两轮,后面加了一轮,提出了一种不可能差分密码分析17轮SMS4的方法.该方法分析17轮SMS4需要2103的选择明文,2124的17轮SMS4加密以及289分组的记忆存储空间,猜测密钥的错误概率仅为2-88.7.

对轻量级密码算法MIBS的相关密钥不可能差分攻击

研究了轻量级分组密码算法MIBS抵抗相关密钥不可能差分的能力。利用MIBS-80密钥编排算法的性质,给出了一个密钥差分特征,并结合特殊明密文对的选取,构造了一个10轮不可能差分。在此不可能差分特征上进行扩展,对14轮的MIBS-80进行了攻击,并给出了复杂度分析。此攻击的结果需要的数据复杂度为254和时间复杂度为256。