基于深度学习的LBlock安全性分析及其应用

目前通过深度学习对轻量级分组密码进行安全性分析正成为一个全新的研究热点。Gohr在2019年的美密会上首次将深度学习应用于分组密码安全性分析(doi:10.1007/978-3-030-26951-7_6),利用卷积神经网络学习固定输入差分的密文差分分布特征,从而构造出高精度的神经网络区分器。LBlock算法是一种具有优良软硬件实现效率的轻量级分组密码算法,自算法发表以来受到了研究者的广泛关注。该文基于残差网络,构造了减轮LB-lock差分神经网络区分器,所得7轮和8轮区分器模型的精度分别是0.999和0.946。进一步利用构造的9轮区分器,提出了针对11轮LBlock的密钥恢复攻击方案。实验结果表明,当密码算法迭代轮数较少时,该方案进行攻击时无需单独考虑S盒,相比于传统攻击方案具有方案流程简单和易于实现等特点,并且在数据复杂度和时间复杂度方面具有较大的优越性.

轻量级LBlock算法硬件实现与研究

随着物联网与密码技术的发展,轻量级密码算法在射频识别(radio frequency identification,RFID)等领域得到越发广泛的应用。文章主要对LBlock算法的硬件优化实现和安全防护进行了研究,研究内容包括:设计独立模块进行轮运算和密钥拓展,通过循环迭代的结构优化算法面积,然后使用存储单元存储子密钥优化密钥生成流程,同时对加入随机掩码的轮迭代与S盒生成进行说明,最后使用Synopsys VCS数字逻辑仿真器和Verdi验证模块功能,并通过集成软件环境(integrated software environment,ISE)以及Design Compiler将设计综合为门级网表,得到加解密模块占用逻辑单元156slices、411LUT、以及2987.5 GE(等效与非门数)的综合面积和627 Mbps的吞吐量。实验结果表明,LBlock算法模块设计的整体面积与资源消耗较小,并具有较高吞吐量,可以适用于资源受限的硬件实现。

LBlock-s算法的不可能差分分析

LBlock-s算法是CAESAR竞赛候选认证加密算法LAC中的主体算法,算法结构与LBlock算法基本一致,只是密钥扩展算法采用了扩散效果更好的增强版设计.利用新密钥扩展算法中仍然存在的子密钥间的迭代关系,通过选择合适的14轮不可能差分特征,我们给出了对21轮LBlock-s算法的不可能差分分析.攻击需要猜测的子密钥比特数为72比特,需要的数据量为2^(63)个选择明文,时间复杂度约为2^(67.61)次21轮加密.利用部分匹配技术,我们也给出了直到23轮LBlock-s算法低于密钥穷举量的不可能差分分析结果.这些研究可以为LAC算法的整体分析提供参考依据.

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为70.0O(2),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为71.5O(2),数据量为263。

LBlock轻量级密码算法的唯密文故障分析

LBlock算法是在2011年ANCS会议上提出来的一种轻量级分组密码算法.它是一种具有Feistel结构的典型密码,并且广泛应用于物联网安全中.提出了针对Feistel结构的LBlock密码算法的新型唯密文故障分析方法,通过在算法的倒数第4轮导入故障,分别使用6种区分器对算法进行分析.在原有的SEI区分器、GF区分器、GF-SEI双重区分器、MLE区分器基础上,提出了GF-MLE双重区分器和MLE-SEI双重区分器作为新型区分器.仿真实验结果表明:可以在较短的时间内使用较少的故障数且以99%的成功概率恢复出主密钥并破译算法,其中提出的2种新型区分器比原有区分器所需故障数更少、效率更高.由此说明唯密文故障攻击对LBlock算法的安全性构成了巨大的威胁.

1～5轮LBlock的多项式表示及完全性分析

用统计测试方法分析密码算法的完全性存在误差。为此,利用符号计算软件Mathematica 7.0,以明文和密钥比特为自变量,得到LBlock分组密码第1轮～第5轮输出的多项式表达式,结果显示,LBlock第5轮输出的任何比特至多与45个明文比特、49个密钥比特有关,说明5轮LBlock还未达到完全性。

对LBlock算法的多重零相关线性分析

为了降低对LBlock进行零相关线性分析所需的数据复杂度,提出了对LBlock进行多重零相关线性分析的方法,证明了14轮LBlock存在26条零相关线性逼近,并给出了其具体构造.利用26条14轮零相关线性逼近为区分器,并基于正态分布的概率计算模型对22轮LBlock进行了多重零相关线性攻击,攻击的数据复杂度约为263.45个已知明文,计算复杂度约为276.27次22轮LBlock加密,成功实施攻击的概率为0.85.结果表明,该方法有效解决了需要利用整个明文空间对LBlock进行零相关线性分析的问题.

LBlock码的不可能差分密码性能分析

该文分析研究了LBlock分组密码算法的不可能差分性质。基于LBlock算法的轮函数结构和部分密钥分别猜测技术,给出了21轮和22轮的LBlock算法的不可能差分分析方法。攻击21轮LBlock算法所需的数据量约为262,计算量约为262次21轮加密;攻击22轮LBlock算法所需的数据量约为262.5,计算量约为263.5次22轮加密。与已有的结果相比较,分析所需的计算量均有明显的降低,是目前不可能差分分析攻击LBlock的最好结果。

轻量级密码算法LBlock的FPGA优化实现

LBlock密码算法是我国学者吴文玲和张蕾在ACNS2011提出的轻量级分组加密算法.论文对LBlock加密算法的硬件优化实现进行了研究,一方面将相同运算用一个模块设计完成,通过主程序重复调用完成加密;另一方面将轮操作和密钥更新放在同一个模块中并行执行,而且使用相同寄存器完成S盒变换和密钥变换,这样既可以不影响加密速度,又不需要将密钥更新中间结果另存,有效地节省寄存器的使用开销.然后分模块进行实现并仿真实验,和进行整体正确性实验验证.通过实验,验证论文所用优化方法可以较大幅度减少LBlock密码算法的实现面积,slices占用比减少了14%,LUT占用比减少了32%.在VIRTEX 5下的系统吞吐率为14.53Gb/s,更能有效满足较小芯片面积的应用需求,给当前的物联网加密提供参考.

LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^(65.2)和2^(65.6)个选择明文,计算复杂度分别为2^(66.2)次23轮LBlock算法加密和2^(66.6)次24轮LBlock算法加密,存储复杂度分别为2^(61.2)和2^(77.2)字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.

对轻量级分组密码算法LBlock的差分故障攻击

本文首先分析差分故障攻击的故障模型与原理,利用S盒的差分不均匀性,通过建立输入差分、输出差分和可能输入值之间的对应关系,给出差分故障分析的优化方案,实现快速归约,提高差分故障攻击的效率.本文通过对LBlock算法建立对应关系,可以快速直观缩小输入值取值空间,进而快速确定对应扩展密钥.对于不同故障值(输入差分),对应的输出差分和可能输入值均不相同,可以得到二元关系集合.由于轻量级分组密码S盒多为4×4 S盒,该集合中元素较少,注入少量不同故障值,通过查表,对可能输入值取交集即可快速确定唯一可能输入值.将优化方案应用于LBlock轻量级分组密码算法,在最后一轮输入处注入2次宽度为16 bit的故障可恢复最后一轮轮密钥,然后将状态回推一轮,在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥.根据密钥扩展方案,恢复两轮轮密钥后将恢复主密钥的计算复杂度降为2^(19).

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.

LBlock算法的相关密钥不可能飞来去器分析

研究了相关密钥不可能飞来去器分析方法及轻量级分组密码算法LBlock在该分析方法下的安全性。将不可能飞来去器分析方法和相关密钥分析方法相结合,针对22轮LBlock给出了新的攻击。构造了15轮的相关密钥不可能飞来去器区分器,通过向前扩展3轮,向后扩展4轮,成功攻击了22轮LBlock。该攻击的数据复杂度仅为2^(51.3)个明文,计算复杂度为2^(71.54)次22轮加密。与已有结果相比,攻击的数据复杂度和计算复杂度均有明显下降。

轻量级分组密码Lblock算法的Nibble积分攻击

Lblock算法是2011年提出的一种轻量级分组密码密码算法,在有限的环境下得到广泛使用.积分攻击是一种有效的密码分析方法,对于Lblock算法的基于比特的积分攻击,可以先构建8轮区分器,再向前做4轮高阶积分扩散,然后在积分区分器后加上5轮做17轮积分攻击,但是攻击轮数较少,且攻击复杂度较高,本文是在基于字节的积分攻击也是首先构建8轮区分器,再向前做6轮高阶积分扩散,构造14轮区分器,在积分区分器后面加7轮,猜测部分密钥,对其进行解密,做21轮积分攻击,时间复杂度降低.然后结合不同的对Lblock算法的攻击方法,对其进行比较,积分攻击在尽可能多的轮数下,时间复杂度降低.

LBlock算法的改进中间相遇攻击

LBlock算法是2011年在ACNS会议上提出的轻量级分组密码算法,目前已存在17轮、19轮LBlock算法的中间相遇攻击.文中评估LBlock算法在预建表中间相遇攻击下的安全性.预建表中间相遇攻击提出并发展于AES算法(高级加密标准)的安全性分析,是近些年密码分析中的一个研究热点.预建表中间相遇攻击属于典型的区分器类攻击,包含离线和在线两个阶段.文中通过综合离线阶段区分器的建立过程和在线阶段密钥的恢复过程,利用程序搜索LBlock算法有效区分器与对应初始密钥的最优攻击参数.结果表明,LBlock算法存在11轮区分器,21轮LBlock算法不抵抗预建表中间相遇攻击,攻击的数据复杂度仅为2^(34.1)选择明文,计算复杂度为2^(75.8)次21轮加密,存储复杂度为2^(74.8)个64比特块.与LBlock算法已有中间相遇攻击相比,文中将攻击轮数由19轮扩展至21轮,刷新了LBlock算法在中间相遇攻击下的安全性评估结果.与不可能差分、积分分析等其他分析结果相比,文中攻击具有显著的低数据复杂度,在实际攻击环境下具有重要意义.此外,为了提高LBlock密钥扩展算法的扩散速度,汪艳凤等人提出了一种新的密钥扩展算法.文中评估了采用新的密钥扩展算法的LBlock在预建表中间相遇攻击下的安全性,并成功得到了复杂度优于穷举搜索的20轮攻击,结果显示新的密钥扩展算法以1轮的优势增强了LBlock算法抵抗此类攻击的能力.

针对LBlock算法的踪迹驱动Cache攻击

LBlock是一种轻量级分组密码算法,其由于优秀的软硬件实现性能而备受关注。目前针对LBlock的安全性研究多侧重于抵御传统的数学攻击。缓存(Cache)攻击作为一种旁路攻击技术,已经被证实对密码算法的工程实现具有实际威胁,其中踪迹驱动Cache攻击分析所需样本少、分析效率高。为此,根据LBlock的算法结构及密钥输入特点,利用访问Cache过程中密码泄露的旁路信息,给出针对LBlock算法的踪迹驱动Cache攻击。分析结果表明,该攻击选择106个明文,经过约27.71次离线加密时间即可成功恢复LBlock的全部密钥。与LBlock侧信道立方攻击和具有Feistel结构的DES算法踪迹驱动Cache攻击相比,其攻击效果更明显。

Lblock算法基于MILP方法的安全性分析

在设计一个安全高效的分组密码时,分析其抵抗差分攻击的安全性是非常有必要的.实现这种方法的一种有效途径是寻找这个密码算法的最小活性S盒数目,或者是这个最小数目的下界.孙思维等人在2013年的信息安全与密码学国际会议上提出利用MILP方法自动分析密码算法抵抗相关密钥差分攻击的安全性,这种方法显著的减少了密码工作者的工作量.然而,在对面向位级的设计中,由于缺乏合适的工具,因此在相关密钥模型中,直接利用孙思维教授等人的方法不能直接获得满轮密码算法的具体结果.在本文中,我们用简单分割方法改善孙思维教授等人的方法,并且我们将这种改善的方法应用到LBlock算法上,我们证明满轮LBlock的任何相关密钥差分特征的概率的上界是2^(-60).对LBlock关于相关密钥差分攻击来说,用改善方法得到的安全界限(2^(-60))较之前方法得到的安全界限(2^(-56))更紧.

针对LBlock的代数攻击的研究

本文主要介绍了运用代数分析方法分析LBlock。采用MiniSAT作为攻击过程中的求解工具,对LBlock加密进行实际攻击,可以在90 min内恢复7轮加密的所有密钥。

LBlock 中间状态的代数表示及其侧信道攻击

LBlock是吴文玲和张蕾在ACNS2011上提出的轻量级分组密码,目前未见对该体制的公开的密码分析文章。用符号计算软件Mathematica7.0得到了LBlock第三轮输出的最低比特的代数表达式（以明文和主密钥比特为自变量）。该代数表达式只与8比特密钥和9比特明文有关,可以用于对LBlock在单比特泄露模型下的侧信道攻击。模拟实验表明,假设第三轮输出的最低比特泄露,则用8个已知明文,85%的概率下可以恢复6~7比特密钥。

针对LBlock算法踪迹驱动Cache攻击S盒特性分析

针对轻量级密码LBlock算法的Cache计时研究,着重分析密码算法中S盒的非线性结构特征。基于其结构特征推导出S盒的真值表,求解得出S盒输入输出关系的代数表达式;再结合LBlock算法的加密过程和轮函数F的结构,推导出每个轮运算的表达式以及S盒查找索引的代数表达式;结合踪迹驱动Cache计时攻击的攻击原理与模型,总结得出针对LBlock算法Cache攻击中密钥分析的核心表达式,结果表明LBlock算法存在遭受Cache计时攻击的可能性。