8轮PRINCE的快速密钥恢复攻击

PRINCE算法是J.Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法,它模仿AES并采用α-反射结构设计,具有加解密相似的特点.2014年,设计者发起了针对PRINCE实际攻击的公开挑战,使得该算法的安全性成为研究的热点.目前对PRINCE攻击的最长轮数是10轮,其中P.Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积D×T=2¹²⁵,A.Canteaut等利用多重差分技术攻击的复杂度D×T=2^118.5,并且两种方法的时间复杂度都超过了257.本文将A.Canteaut等给出的多重差分技术稍作改变,通过考虑输入差分为固定值,输出差分为选定的集合,给出了目前轮数最长的7轮PRINCE区分器,并应用该区分器对8轮PRINCE进行了密钥恢复攻击.本文的7轮PRINCE差分区分器的概率为2^-56.89,8轮PRINCE的密钥恢复攻击所需的数据复杂度为2^61.89个选择明文,时间复杂度为219.68次8轮加密,存储复杂度为2^15.21个16比特计数器.相比目前已知的8轮PRINCE密钥恢复攻击的结果,包括将A.Canteaut等给出的10轮攻击方案减少到8轮,本文给出的攻击方案的时间复杂度和D×T复杂度都是最低的.     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先，研究了PICO密码算法的结构，并结合可分性质的思想构造其混合整数线性规划（MILP）模型；然后，根据设置的约束条件生成用于描述可分性质传播规则的线性不等式，并借助数学软件求解MILP问题，从目标函数值判断构建积分区分器成功与否；最终，实现对PICO算法积分区分器的自动化搜索。实验结果表明，搜索到了PICO算法目前为止最长的10轮积分区分器，但由于可利用的明文数太少，不利于密钥恢复。为了取得更好的攻击效果，选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥，攻击的数据复杂度为2^63.46，时间复杂度为2⁷⁶次11轮算法加密，存储复杂度为2²⁰。     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先,研究了PICO密码算法的结构,并结合可分性质的思想构造其混合整数线性规划（MILP）模型;然后,根据设置的约束条件生成用于描述可分性质传播规则的线性不等式,并借助数学软件求解MILP问题,从目标函数值判断构建积分区分器成功与否;最终,实现对PICO算法积分区分器的自动化搜索。实验结果表明,搜索到了PICO算法目前为止最长的10轮积分区分器,但由于可利用的明文数太少,不利于密钥恢复。为了取得更好的攻击效果,选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥,攻击的数据复杂度为2^63.46,时间复杂度为2⁷⁶次11轮算法加密,存储复杂度为2²⁰。     

Khudra算法的相关密钥差分分析

Khudra算法是一种总轮数为18的轻量级分组密码算法。现有分析方法使用相关密钥差分分析Khudra算法,通过在2个密钥上引入差分,构造14轮区分器攻击16轮Khudra算法,区分器的攻击概率为2~(-56.85)。基于此,同样使用相关密钥差分分析Khudra算法,仅在1个密钥上引入差分构造10轮区分器,共攻击16轮Khudra算法。分析结果表明,该10轮区分器与现有相关密钥差分分析的14轮区分器相比攻击概率提高了2~(28.425),整个分析过程的数据复杂度为2~(33),时间复杂度为2~(95)。     

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2⁴⁰个明密文对,时间复杂度为2^67.85次10轮加密运算,11轮积分攻击的数据复杂度为2^40.09个明密文对,时间复杂度为2^117.37次11轮加密运算。     

基于深度学习的差分神经区分器求解方法

针对差分神经区分器中准确率随着密码算法轮数增加而快速降低的问题，提出一种差分神经区分器求解方法。将深度学习技术与多差分密码分析相结合，通过采用神经网络拟合密码算法的多输入及多输出差分，设计多差分神经区分器通用模型。该模型中所使用的输入参数被设置为多个明文差分、相应的密文及密文差分。将其应用于分析Speck32/64及Simon32/64密码算法，结果表明，Speck32/64的5至7轮区分器准确率均有显著提升；Simon32/64的密码区分器轮数从9轮提升至10轮，说明该方法的有效性。     

轻量级分组密码Piccolo的积分攻击

针对Piccolo-80算法提出了一种5轮积分区分器,并将其向解密方向扩展了2轮,得到了7轮区分器。使用5轮区分器对无白化密钥的Piccolo-80进行了7轮和8轮的攻击,使用7轮区分器进行了9轮的攻击。其中,最好的攻击结果是使用7轮区分器,对有白化密钥的Piccolo-80进行9轮攻击,可恢复32比特相关轮密钥,需要的数据复杂度为2的48次方个明文,时间复杂度为2的52.237方次9轮加密。     

QARMA算法的相关密钥不可能差分攻击

QARMA算法是一种代替置换网络结构的轻量级可调分组密码算法。研究QARMA算法抵抗相关密钥不可能差分攻击的能力,根据QARMA-64密钥编排的特点搜索到一个7轮相关密钥不可能差分区分器,在该差分区分器的前、后各添加3轮构成13轮相关密钥不可能差分攻击。分析结果表明,在猜测52 bit密钥时,与现有中间相遇攻击相比,该相关密钥不可能差分攻击具有攻击轮数较多、时间复杂度和空间复杂度较低的优点。     

PRINCE密码算法的差分-线性分析

PRINCE是一个低时延轻量级分组密码算法,广泛应用于各种资源受限设备。PRINCE使用FX结构,其核心部件是 PRINCE_core。差分-线性分析是一种经典分析方法,它将差分分析和线性分析结合起来,使用短的高概率差分特征和线性特征来攻击密码算法。研究了 PRINCE_core的差分-线性分析,使用2轮差分-线性区分器攻击4轮PRINCE_core,需要2⁶个选择明文,时间复杂度为2^14.58次4轮加密。对于 6轮和 7轮 PRINCE_core的差分-线性分析,数据复杂度分别为 2^12.84和 2^29.02个选择明文,时间复杂度分别为2^25.58和2^41.53。     

11轮3D分组密码算法的中间相遇攻击

针对3D分组密码算法的安全性分析,对该算法抵抗中间相遇攻击的能力进行了评估。基于3D算法的基本结构及S盒的差分性质,减少了在构造多重集时所需的猜测字节数,从而构建了新的6轮3D算法中间相遇区分器。然后,将区分器向前扩展2轮,向后扩展3轮,得到11轮3D算法中间相遇攻击。实验结果表明:构建区分器时所需猜测的字节数为42 B,攻击时所需的数据复杂度约为2⁴⁹⁷个选择明文,时间复杂度约为2^325.3次11轮3D算法加密,存储复杂度约为2³⁴² B。新攻击表明11轮3D算法对中间相遇攻击是不免疫的。     

Zodiac 算法的不可能差分和积分攻击

重新评估了Zodiac算法抗不可能差分攻击和积分攻击的能力.已有结果显示,Zodiac算法存在15轮不可能差分和8轮积分区分器.首先得到了算法概率为1的8轮截断差分,以此构造了Zodiac算法完整16轮不可能差分和9轮积分区分器.利用9轮积分区分器,对不同轮数Zodiac算法实施了积分攻击,对12轮、13轮、14轮、15轮和16轮Zodiac的攻击复杂度分别为234,259,293,2133和2190次加密运算,选择明文数均不超过216.结果表明,完整16轮192比特密钥的Zodiac算法也是不抗积分攻击的.     

Robin算法改进的6轮不可能差分攻击

Robin算法是Grosso等人在2014年提出的一个分组密码算法。研究该算法抵抗不可能差分攻击的能力。利用中间相错技术构造一条新的4轮不可能差分区分器,该区分器在密钥恢复阶段涉及到的轮密钥之间存在线性关系,在构造的区分器首尾各加一轮,对6轮Robin算法进行不可能差分攻击。攻击的数据复杂度为2118.8个选择明文,时间复杂度为293.97次6轮算法加密。与已有最好结果相比,在攻击轮数相同的情况下,通过挖掘轮密钥的信息,减少轮密钥的猜测量,进而降低攻击所需的时间复杂度,该攻击的时间复杂度约为原来的2?8。     

基于差分表的Blow-CAST-Fish算法的密钥恢复攻击

针对Blow-CAST-Fish算法攻击轮数有限和复杂度高等问题,提出一种基于差分表的Blow-CAST-Fish算法的密钥恢复攻击。首先,对S盒的碰撞性进行分析,分别基于两个S盒和单个S盒的碰撞,构造6轮和12轮差分特征;然后,计算轮函数f₃的差分表,并在特定差分特征的基础上扩充3轮,从而确定密文差分与f₃的输入、输出差分的关系;最后,选取符合条件的明文进行加密,根据密文差分计算f₃的输入、输出差分值,并查寻差分表找到对应的输入、输出对,从而获取子密钥。在两个S盒碰撞的情况下,所提攻击实现了9轮Blow-CAST-Fish算法的差分攻击,比对比攻击多1轮,时间复杂度由2^107.9降低到2⁷⁴;而在单个S盒碰撞的情况下,所提攻击实现了15轮Blow-CAST-Fish算法的差分攻击,与对比攻击相比,虽然攻击轮数减少了1轮,但弱密钥比例由{\mathrm{2}}^{-\mathrm{52.4}}提高到{\mathrm{2}}^{-\mathrm{42}},数据复杂度由2⁵⁴降低到2⁴⁷。测试结果表明,在相同差分特征基础上,基于差分表的攻击的攻击效率更高。     

分组密码FBC的差分分析

FBC是一种轻量级分组密码算法,由于结构简单、软硬件实现灵活等优点成为2018年中国密码学会(CACR)举办的全国密码算法设计竞赛中晋级到第2轮的10个算法之一.FBC密码包含3个版本支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥,本文主要对分组长度128位的两个版本进行分析.我们基于SAT (Boolean satisfiability problem)模型对FBC的差分特征进行自动化搜索,得到了新的14轮差分路线,概率为2^-102.25.基于此路线我们给出了18轮FBC128-128和20轮FBC128-256差分分析,并且在分析过程中给出了复杂度估计.对于18轮FBC128-128差分分析,时间复杂度和存储复杂度分别为2^101.5和2⁵².对于20轮FBC128-256差分分析时间复杂度和存储复杂度分别为2¹⁸⁴和2⁹⁶.     

概率积分及其在PUFFIN算法中的应用

积分分析是一种针对分组密码十分有效的分析方法,其通常利用密文某些位置的零和性质构造积分区分器.基于高阶差分理论,可通过研究密文与明文之间多项式的代数次数来确定密文某些位置是否平衡.从传统的积分分析出发,首次考虑常数对多项式首项系数的影响,提出了概率积分分析方法,并将其应用于PUFFIN算法的安全性分析.针对PUFFIN算法,构造了7轮概率积分区分器,比已有最好的积分区分器轮数长1轮.进一步,利用构造的概率积分区分器,对9轮PUFFIN算法进行密钥恢复攻击.该攻击可恢复92比特轮密钥,攻击的数据复杂度为2^24.8个选择明文,时间复杂度为2^35.48次9轮算法加密,存储复杂度为2²⁰个存储单元.     

基于轮密钥分步猜测方法的Midori64算法11轮不可能差分分析

本文提出了一个Midori64算法的7轮不可能差分区分器,并研究了Midori64算法所用S盒的一些差分性质。在密钥恢复过程中,提出将分组的部分单元数据寄存,分步猜测轮密钥的方法,使时间复杂度大幅下降。利用这个区分器和轮密钥分步猜测的方法,给出了Midori64算法的11轮不可能差分攻击,最终时间复杂度为 次11轮加密,数据复杂度为 个64比特分组。这个结果是目前为止对Midori64算法不可能差分分析中最好的。     

缩减轮的超轻量级分组密码算法PFP的不可能差分分析

基于Feistel结构的轻量级分组密码算法PFP适用于物联网终端设备等资源极端受限环境。目前对PFP算法不可能差分分析的最好结果是利用7轮不可能差分区分器攻击9轮PFP算法，这样可恢复36 b的种子密钥。为了更准确地评估PFP算法抵抗不可能差分分析的能力，对PFP算法结构进行研究。首先，通过分析轮函数中S盒的差分分布特性，找到了概率为1的两组差分；其次，结合置换层特点，构造出一组包含16条不可能差分的7轮不可能差分区分器；最后，基于构建的7轮不可能差分区分器，对9轮PFP算法进行不可能差分分析以恢复40 b种子密钥，并提出对10轮PFP算法的不可能差分分析方法来恢复52 b种子密钥。结果表明，所提方法在区分器数量、分析轮数、恢复密钥比特数等方面均有较大改善。     

Midori-64算法的截断不可能差分分析

分析了Midori-64算法在截断不可能差分攻击下的安全性.首先,通过分析Midori算法加、解密过程差分路径规律,证明了Midori算法在单密钥条件下的截断不可能差分区分器至多6轮,并对6轮截断不可能差分区分器进行了分类;其次,根据分类结果,构造了一个6轮区分器,并给出11轮Midori-64算法的不可能差分分析,恢复了128比特主密钥,其时间复杂度为2^121.4,数据复杂度为2^60.8,存储复杂度为2^96.5.     

基于代数结构视角对轻量分组密码WARP的积分分析

在融合了物联网、5G网络等新一代信息技术的工业互联网中，底层终端设备产生海量数据.数据安全传输的需求使得针对资源受限环境所设计的轻量级密码得到广泛应用.对新提出的轻量级密码进行安全性评估对于保障工业互联网的安全运行至关重要.发现了某种特定结构加密算法基于多变量多项式的积分性质，利用该性质得到了更长积分区分器，改进了基于代数结构的分析方法.提出了基于代数结构构造SPN(substitution permutation network)和Feistel-SP结构分组密码积分区分器的框架，并将其应用于SAC 2020会议上提出的轻量分组密码WARP的分析上，构造了2个复杂度为2¹¹⁶的22轮积分区分器，比设计者给出的区分器多了2轮，并且复杂度更低.利用该积分区分器，实现26轮密钥恢复攻击，比设计者给出的密钥恢复攻击增加了5轮，这是目前在单密钥情境下对WARP最好的攻击结果.此外，还对18轮积分区分器进行了实验验证，运算复杂度为2³².