Temperature-Triggered Hardware Trojan Based Algebraic Fault Analysis of SKINNY-64-64 Lightweight Block Cipher

SKINNY-64-64 is a lightweight block cipher with a 64-bit block length and key length,and it is mainly used on the Internet of Things(IoT).Currently,faults can be injected into cryptographic devices by attackers in a variety of ways,but it is still difficult to achieve a precisely located fault attacks at a low cost,whereas a Hardware Trojan(HT)can realize this.Temperature,as a physical quantity incidental to the operation of a cryptographic device,is easily overlooked.In this paper,a temperature-triggered HT(THT)is designed,which,when activated,causes a specific bit of the intermediate state of the SKINNY-64-64 to be flipped.Further,in this paper,a THT-based algebraic fault analysis(THT-AFA)method is proposed.To demonstrate the effectiveness of the method,experiments on algebraic fault analysis(AFA)and THT-AFA have been carried out on SKINNY-64-64.In the THT-AFA for SKINNY-64-64,it is only required to activate the THT 3 times to obtain the master key with a 100%success rate,and the average time for the attack is 64.57 s.However,when performing AFA on this cipher,we provide a relation-ship between the number of different faults and the residual entropy of the key.In comparison,our proposed THT-AFA method has better performance in terms of attack efficiency.To the best of our knowledge,this is the first HT attack on SKINNY-64-64.

I-PRESENT^TM: An Involutive Lightweight Block Cipher

This paper proposes a new involutive light-weight block cipher for resource-constraint environments called I-PRESENTTM. The design is based on the Present block cipher which is included in the ISO/IEC 29192 standard on lightweight cryptography. The advantage of I-PRESENTTM is that the cipher is involutive such that the encryption circuit is identical to decryption. This is an advantage for environments which require the implementation of both circuits. The area requirement of I-PRESENTTM compares reasonably well with other similar ciphers such as PRINCE.

DBST:a lightweight block cipher based on dynamic S-box

IoT devices have been widely used with the advent of 5G.These devices contain a large amount of private data during transmission.It is primely important for ensuring their security.Therefore,we proposed a lightweight block cipher based on dynamic S-box named DBST.It is introduced for devices with limited hardware resources and high throughput requirements.DBST is a 128-bit block cipher supporting 64-bit key,which is based on a new generalized Feistel variant structure.It retains the consistency and significantly boosts the diffusion of the traditional Feistel structure.The SubColumns of round function is implemented by combining bit-slice technology with subkeys.The S-box is dynamically associated with the key.It has been demonstrated that DBST has a good avalanche effect,low hardware area,and high throughput.Our S-box has been proven to have fewer differential features than RECTANGLE S-box.The security analysis of DBST reveals that it can against impossible differential attack,differential attack,linear attack,and other types of attacks.

SCENERY:a lightweight block cipher based on Feistel structure

In this paper,we propose a new lightweight block cipher called SCENERY.The main purpose of SCENERY design applies to hardware and software platforms.SCENERY is a 64-bit block cipher supporting 80-bit keys,and its data processing consists of 28 rounds.The round function of SCENERY consists of 84×4 S-boxes in parallel and a 32× 32 binary matrix,and we can implement SCENERY with some basic logic instructions.The hardware implementation of SCENERY only requires 1438 GE based on 0.18 um CMOS technology,and the software implementation of encrypting or decrypting a block takes approximately 1516 clock cycles 0118-bit microcontrollers and 364 clock cycles on 64-bit processors.Compared with other encryption algorithms,the performance of SCENERY is well balanced for both hardware and software.By the security analyses,SCENERY can achieve enough security margin against known attacks,such as differential cryptanalysis,linear cryptanalysis,impossible differential cryptanalysis and related-key attacks.

Eight-sided fortress: a lightweight block cipher

In this paper, we present a new lightweight block cipher named eight-sided fortress（ESF）, which is suitable for resource-constrained environments such as sensor networks and low-cost radio rrequency identification（RFID） tags. Meanwhile, we present the specification, design rationale and evaluation results in terms of the hardware implementation. For realizing both efficiency and security in embedded systems, similar to the other lightweight block ciphers, ESF is 64 bits block length and key size is 80 bits. It is inspired from existing block cipher, PRESENT and LBlock. The encryption algorithm of ESF is based on variant Feistel structure with SPN round function, used Feistel network as an overall structure with the purpose of minimizing computational resources.

基于MILP的ESF和HBcipher积分区分器搜索

概括了可分性在积分分析中的现状,总结了混合整数线性规划(Mixed Integer Linear Programming,MILP)在积分区分器搜索中目前的结果与应用。在已知的可分性建模规则的基础上,针对ESF算法和HBcipher算法,设计合适初始可分性,建立MILP模型,并采用开源求解器进行积分区分器自动搜索。填补了HBcipher和ESF算法在积分分析上的空白,搜索到最多9轮的积分区分器,在8轮上也得到了较多平衡位的区分器。与其他密码分析做对比,ESF、HBcipher分组密码算法在积分分析上有很大的分析空间。

积分故障分析下的Midori128密码算法安全性评估

为了研究Midori128密码算法针对积分故障攻击的安全性,建立积分区分器平衡位置、故障密文与轮密钥的关系,通过密钥搜索,可以恢复出算法的最后一轮密钥,进而利用密钥扩展算法恢复出主密钥。理论分析表明,利用3轮和4轮积分区分器进行积分故障攻击时,恢复出正确密钥的时间复杂度分别为2^(21)和2^(24)。采用准确性、成功率和耗费时间对倒数第4轮注入故障的攻击过程进行仿真,成功恢复出该算法的主密钥,并且针对不同明文分组和密钥进行对比实验。通过两组故障安全性分析方案可知,Midori128算法的轮函数易受到积分故障攻击,在算法运行时至少需要对倒数6轮进行故障检测等额外防护。

25轮T-TWINE-128的中间相遇攻击

T-TWINE-128是基于广义Feistel结构的轻量级可调分组密码,密钥长度为128比特,加密的数据块大小为64比特.由于轻量级分组密码在设计时为了追求更高的软硬件实现效率,往往会牺牲部分安全性,因此必须评估其安全强度.本文通过计算机编程得到了T-TWINE-128的轮密钥的一些线性关系,再结合调柄值生成算法的特性,利用区分器自动搜索算法,搜索出11轮T-TWINE-128的中间相遇攻击区分器,在此区分器前面接5轮,后面接9轮,形成25轮T-TWINE-128的中间相遇攻击路径,整个攻击过程共耗时652.39ms,攻击需要数据、时间和存储复杂度分别为256个选择明文、2126.41次加密、265个64比特块;最后搜索密钥编排算法的冗余性发现T-TWINE-128很难进行更高轮中间相遇攻击.

对LBlock算法的多重零相关线性分析

为了降低对LBlock进行零相关线性分析所需的数据复杂度,提出了对LBlock进行多重零相关线性分析的方法,证明了14轮LBlock存在26条零相关线性逼近,并给出了其具体构造.利用26条14轮零相关线性逼近为区分器,并基于正态分布的概率计算模型对22轮LBlock进行了多重零相关线性攻击,攻击的数据复杂度约为263.45个已知明文,计算复杂度约为276.27次22轮LBlock加密,成功实施攻击的概率为0.85.结果表明,该方法有效解决了需要利用整个明文空间对LBlock进行零相关线性分析的问题.

LiCi算法的相关密钥不可能差分分析

不可能差分攻击是一种重要的密钥恢复攻击方法,它利用概率为0的不可能出现的差分特征过滤错误密钥,已被广泛应用于多种分组算法的分析.LiCi算法是2017年Patil等人提出的一种新轻量级分组密码算法,基于平衡Feistel结构,采用轻量级S盒和简单移位操作等新型轻量级分组密码的设计理念,通过较少的轮函数运算产生数量相对较大的活跃S盒,具有结构紧凑、能耗低、占用面积小等特性,非常适用于资源受限的环境.关于LiCi算法目前最好的分析结果为16轮差分分析和17轮不可能差分分析.为进一步研究LiCi算法抵抗不可能差分攻击的能力,构造了11轮不可能差分区分器,并向前扩展3轮,向后扩展3轮,结合S盒输入输出特征,使用不可能差分分析方法分析了17轮LiCi算法.分析的数据复杂度为2^(61.59),时间复杂度为2^(75.5),存储复杂度为2^(72.59).与已知结果相比,在攻击轮数相同的情况下,该攻击降低了数据复杂度和时间复杂度.同时结合密钥扩展算法的特点和轮函数特征,构造出3条16轮的相关密钥不可能差分区分器,从中选取一条向前扩展3轮,向后扩展2轮,结合S盒输入输出特征,并使用相关密钥与不可能差分复合的方法分析了21轮LiCi算法.分析的数据复杂度为2^(61.2),时间复杂度2^(68.05),存储复杂度为2^(75.2).由此说明21轮LiCi算法对相关密钥不可能差分密码分析是不免疫的.

几类密码算法的神经网络差分区分器的改进

为了进一步研究神经网络在密码分析方面的应用,利用深度残差网络和传统差分密码分析技术构造并改进了几类典型的轻量级分组密码算法的神经网络差分区分器。主要取得以下结果:①分别构造了4~7轮PRESENT、3轮KLEIN、7~9轮LBlock和7~10轮Simeck 32/64的神经网络差分区分器,并基于密码的分组结构分别进行了分析;②基于SPN结构分组密码的特点对PRESENT和KLEIN的神经网络差分区分器进行了改进,最多可提高约5.12%的准确率,并在对LBlock的神经网络差分区分器进行研究时验证得出这种改进方式不适用于Feistel结构的分组密码;③基于Simeck 32/64本身密码算法的特点对其神经网络差分区分器进行改进,提高了约2.3%的准确率。同时,将Simeck 32/64的改进方法与多面体差分分析进行结合,将已有的8轮和9轮Simeck 32/64多面体神经网络差分区分器的准确率提高了约1%和3.2%。最后,将实验中得到的3类神经网络差分区分器模型分别应用到11轮Simeck 32/64的最后一轮子密钥恢复攻击中,其中最佳的实验结果是在1000次攻击实验中以26.6的数据复杂度达到约99.4%的攻击成功率。

对轻量级分组密码算法LBlock的差分故障攻击

本文首先分析差分故障攻击的故障模型与原理,利用S盒的差分不均匀性,通过建立输入差分、输出差分和可能输入值之间的对应关系,给出差分故障分析的优化方案,实现快速归约,提高差分故障攻击的效率.本文通过对LBlock算法建立对应关系,可以快速直观缩小输入值取值空间,进而快速确定对应扩展密钥.对于不同故障值(输入差分),对应的输出差分和可能输入值均不相同,可以得到二元关系集合.由于轻量级分组密码S盒多为4×4 S盒,该集合中元素较少,注入少量不同故障值,通过查表,对可能输入值取交集即可快速确定唯一可能输入值.将优化方案应用于LBlock轻量级分组密码算法,在最后一轮输入处注入2次宽度为16 bit的故障可恢复最后一轮轮密钥,然后将状态回推一轮,在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥.根据密钥扩展方案,恢复两轮轮密钥后将恢复主密钥的计算复杂度降为2^(19).

万物网中轻量级可调分组密码QARMA的统计故障分析

基于唯密文攻击(ciphertext-only attack,COA)假设,提出了能够破译万物网(Internet of Everything,IoE)中QARMA密码算法所有版本的统计故障分析(statistical fault analysis,SFA)。针对调柄的不确定性,利用多种分析策略有助于将故障注入更深的轮数。为了提高分析效率,提出了两种新型区分器:克米试验—汉明重量区分器(Cramér-von Mises test-Hamming weight,CM-HW)和柯伊伯检验—极大似然估计(Kuiper’s test-maximum likelihood estimation,KT-MLE)区分器。试验结果表明,攻击者仅需将374个或者726个随机故障分别注入到两个版本的QARMA密码的倒数第三轮,即可以99%的可靠度恢复其128比特或者256比特子密钥。综上所述,在万物网的应用环境中,QARMA容易受到统计故障分析的影响。研究结果可为具有反射结构的轻量级可调分组密码和密码设备的保护提供参考。

LBlock算法的相关密钥不可能飞来去器分析

研究了相关密钥不可能飞来去器分析方法及轻量级分组密码算法LBlock在该分析方法下的安全性。将不可能飞来去器分析方法和相关密钥分析方法相结合,针对22轮LBlock给出了新的攻击。构造了15轮的相关密钥不可能飞来去器区分器,通过向前扩展3轮,向后扩展4轮,成功攻击了22轮LBlock。该攻击的数据复杂度仅为2^(51.3)个明文,计算复杂度为2^(71.54)次22轮加密。与已有结果相比,攻击的数据复杂度和计算复杂度均有明显下降。

基于MILP的MGFN全轮差分分析及改进

研究了轻量级分组密码MGFN算法的抗差分分析能力并提出了改进方法。首先,基于MILP工具对MGFN算法建模,搜索迭代差分并构造了全轮差分路径,整体差分概率为2-40,远远大于随机置换的差分概率。然后,给出S盒的差分分支数概念并将其作为衡量差分安全性的指标,以新S盒替代原MGFN算法的S盒,并修改了密钥扩展算法,提出新的MGFN-P算法。最后,通过差分路径搜索和分析比较,说明了MGFN-P算法比原MGFN算法更安全、高效。

改进的KLEIN算法及其量子分析

KLEIN自提出之后经历了截断差分分析、积分分析等攻击,加密结构具有实际安全性,但是由于密钥扩展算法的脆弱性导致了全轮密钥恢复攻击。首先,修改密钥扩展算法,提出一种改进后的算法N-KLEIN;其次,采用in-place方法对S盒进行高效量子电路实现,减小了电路的宽度和深度,提高了量子电路的实现效率;再次,使用LUP分解技术实现混淆操作的量子化;继次,对N-KLEIN进行量子电路设计,提出全轮N-KLEIN的高效量子电路。最后,评估N-KLEIN算法量子实现的资源占用,并与PRESENT、HIGHT等现有的轻量级分组密码的量子实现占用资源进行对比;同时,基于Grover算法对密钥搜索攻击所需要的代价进行深入研究,给出Clifford+T模型下N-KLEIN-{64,80,96}使用Grover算法搜索密钥需要的代价,并评估了N-KLEIN的量子安全性。对比结果表明,N-KLEIN算法量子实现的成本明显较低。

轻量级分组密码算法FBC的积分分析

FBC算法是由冯秀涛等人于2018年在中国密码学会举办的全国密码算法设计竞赛中提出的轻量级分组密码算法,包含FBC128-128、FBC128-256和FBC256-256三个版本,具有轻量化、安全性高和软硬件实现灵活等特点.本文基于比特可分性和MILP方法搜索FBC算法的积分区分器.首先,将FBC算法的轮函数拆分为S盒、复制和异或等基本运算,根据比特可分性在基本运算中的传播规律,构建线性不等式刻画比特可分性的传播;其次,通过将所得线性不等式组作为约束条件,构建MILP模型寻找积分区分器最高轮数的下界,并提出判断r轮积分区分器是否存在的算法;最终,结果表明FBC128-128/256和FBC256-256的积分区分器轮数可分别达到11轮和14轮,均优于现有积分分析结果.

BeeCipher:一种32bit分组长度的轻量级密码算法

设计了一个32bit分组长度、64bit密钥长度的分组密码BeeCipher。该算法基于国际数据加密算法(IDEA)和Lai-Massey结构,对IDEA算法的32bit版本的轮函数进行了改进,添加了正交置换,使得其具有可证明安全性;修改了密钥调度过程,使得目前已有的对IDEA算法的攻击都对BeeCipher无效。BeeCipher的软件和硬件实现都很简单,其速度较目前已有的大多数32bit分组长度算法要快很多,是32bit分组长度轻量级分组密码中有力的候选算法。

复杂电力物联终端多维数据的轻量级分组密码算法设计

为提高抗攻击性能,设计复杂电力物联终端多维数据的轻量级分组密码算法。利用STCS混沌映射生成轻量级分组密码算法核心部件S盒,设计算法核心部件P盒,基于广义Feistel结构的轻量级分组密码算法,将复杂电力物联终端多维数据分成四个相同数据子块后,利用1个P盒实现S盒混淆层16比特输出结果的线性变换,实现多维数据的轻量级分组加解密。实验结果表明,该密码算法具有较高的密钥敏感性,非加密密钥无法实现电力物联终端多维数据的正确解密;最大安全强度可达到90.8%,2 048长度数据加密仅需16 ms,且具有抗攻击性能。

简化轮LBlock的密钥中比特检测及分析

LBlock密码算法是近来提出的一类轻量级分组加密算法。利用LBlock算法的结构特点,结合立方检测的基本思想,设计2个密钥中比特捕获算法,对LBlock算法输出所涉及的密钥比特个数情况进行分析。9轮简化LBlock的每个输出比特全部卷入所有的主密钥比特信息,在18维立方变元下,11轮简化LBlock的输出累加中每个比特全部卷入所有的主密钥比特信息。上述2轮简化LBlock均不存在密钥中比特。研究结果表明,全轮LBlock密码算法具有稳固的密钥信息扩散及混淆性,足以抵抗经典立方攻击。