基于最优区分器的多差分密码分析方法

如何利用多个差分特征对分组密码算法进行差分攻击,从而精确地估计出分组密码算法抵抗差分攻击的能力,是一个重要的研究课题.文中基于最优区分器的思想,提出了一种多差分密码分析方法.针对每个实验密钥,构造出基于多个差分特征的统计量,根据统计量的大小判决实验密钥是否为正确密钥.给出了多差分分析方法的计算复杂度,分析了正确密钥、错误密钥对应统计量的概率分布规律,并在此基础上给出了多差分分析方法的成功率和数据复杂度之间的关系.通过具体实例表明,在成功率相同的条件下,基于的差分特征越多,需要的数据复杂度越小.     

CRAFT算法基于比特可分性的积分区分器搜索

CRAFT算法是一种新型SPN结构的类AES型轻量级可调分组密码算法,可以有效地抵抗差分故障攻击.为了对CRAFT算法抵抗积分攻击的能力进行评估,采用基于混合整数线性规划(MILP)的方法自动化搜索比特可分性的工具,对CRAFT算法的积分区分器进行搜索,搜索到了最长为12轮的积分区分器,同时得到一条平衡比特数最多的9轮...     

典型密码结构的不可能差分区分器研究

20世纪40年代Shannon提出了对称密码设计的两个重要原则“混淆”和“扩散”,之后密码学者们基于这两个原则构造了Feistel、SP、广义Feistel、MISTY等主要整体结构,目前这些结构被广泛运用于各种标准密码算法和新型认证加密算法。对这几种主要密码算法的整体结构进行了介绍和研究,并基于具体结构的特点,系统地对广义Feistel结构中TYPE-I、TYPE-II、TYPE-Ⅲ型结构构建了不可能差分区分器,对区分器轮数下界进行了推导和证明,为网络安全领域分组密码、序列密码、认证加密、Hash函数等对称密码的设计和分析提供了参考。     

基于MILP的PICO算法差分和线性区分器的搜索

PICO算法是由Bansod等人在2016年提出的一种基于替换和排列的SPN网络的轻量级分组密码.目前针对PICO算法抵抗差分和线性分析的能力还有待进一步评估.本文基于MILP模型,首先利用不等式组对各组件的差分特征和线性掩码的传播规律进行了精细的刻画,其次针对密码算法的结构特点及S盒特性,对该模型进行了优化,缩小了搜索空间,并提出了针对PICO算法有效的两步搜索算法.最后利用该算法,搜索到了3条新的概率为2^-63的21轮差分区分器,并首次搜索到了3条相关度为2^-30的20轮线性区分器,为当前公开发表的最长线性区分器.     

基于深度学习的差分神经区分器求解方法

针对差分神经区分器中准确率随着密码算法轮数增加而快速降低的问题,提出一种差分神经区分器求解方法。将深度学习技术与多差分密码分析相结合,通过采用神经网络拟合密码算法的多输入及多输出差分,设计多差分神经区分器通用模型。该模型中所使用的输入参数被设置为多个明文差分、相应的密文及密文差分。将其应用于分析Speck32/64及Simon32/64密码算法,结果表明,Speck32/64的5至7轮区分器准确率均有显著提升;Simon32/64的密码区分器轮数从9轮提升至10轮,说明该方法的有效性。     

深度学习在分组密码差分区分器上的研究应用

差分分析在分组密码分析领域是一种重要的研究方法, 针对分组密码的差分分析的重点在于找到一个轮数或者概率更大的差分区分器. 首先描述了通过深度学习技术构造差分区分器时所需要的数据集的构造方法, 并且分别基于卷积神经网络(convolutional neural networks, CNN)和残差神经网络(residual...     

Midori-64算法的截断不可能差分分析

分析了Midori-64算法在截断不可能差分攻击下的安全性.首先,通过分析Midori算法加、解密过程差分路径规律,证明了Midori算法在单密钥条件下的截断不可能差分区分器至多6轮,并对6轮截断不可能差分区分器进行了分类;其次,根据分类结果,构造了一个6轮区分器,并给出11轮Midori-64算法的不可能差分分析,恢复了128比特主密钥,其时间复杂度为2^121.4,数据复杂度为2^60.8,存储复杂度为2^96.5.     

SPECK算法的不可能差分分析

分析了SPECK2n(2n=64,96,128)算法在不可能差分分析下的安全性。首先利用模加法差分的扩散性质,找到了SPECK2n(2n=64,96,128)算法的7轮不可能差分区分器。其次,基于找到的7轮不可能差分区分器,给出了SPECK64/128算法和SPECK128/256算法的11轮不可能差分分析,以及SPECK 96/144算法的10轮不可能差分分析,恢复了全部主密钥。这是SPECK2n/4n(2n=64,96,128)算法的首个不可能差分分析结果。     

基于MILP寻找SM4算法的差分特征

基于混合整数线性规划(mixed integer linear programming, MILP)的自动化搜索方法被广泛用于搜索密码算法的差分特征,已形成一套完整的框架.该框架采用的基本原理是用线性不等式来刻画密码算法的各个操作,该框架适用于搜索采用4-bit S盒的密码算法的差分特征.对于采用8-bit S盒的密码算法,基于该框架的搜索模型计算量很大,以致无法高效地找到差分特征.SM4算法于2006年由中国政府发布,于2012年成为国家密码行业标准,于2016年成为国家标准的迭代分组密码算法,其分组状态为128 b,每轮包含4个8-bit的S盒.为了高效地搜索SM4算法的差分特征,研究了对8-bit S盒进行MILP建模的问题,对于采用8-bit S盒的密码算法,改进了搜索高概率差分特征的方法.对于19轮SM4算法,不仅找到了概率为2\\+\\{-124\\}的差分特征,而且找到了概率为2\\+\\{-124\\}的差分特征,这是目前基于MILP建模找到的SM4算法轮数最多、概率最高的差分特征.     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先，研究了PICO密码算法的结构，并结合可分性质的思想构造其混合整数线性规划（MILP）模型；然后，根据设置的约束条件生成用于描述可分性质传播规则的线性不等式，并借助数学软件求解MILP问题，从目标函数值判断构建积分区分器成功与否；最终，实现对PICO算法积分区分器的自动化搜索。实验结果表明，搜索到了PICO算法目前为止最长的10轮积分区分器，但由于可利用的明文数太少，不利于密钥恢复。为了取得更好的攻击效果，选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥，攻击的数据复杂度为2^63.46，时间复杂度为2⁷⁶次11轮算法加密，存储复杂度为2²⁰。     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

Camellia-128的截断差分攻击改进

基于2001年ASIACRYPT（亚密会）会议上Sugita等人提出的9轮截断差分区分器, 提出了Camellia算法的10轮截断差分区分器。进一步地利用这个区分器和密钥恢复中的提前抛弃技术, 给出了12轮Camellia-128的攻击, 恢复出所有密钥的数据复杂度和时间复杂度分别为2⁹⁷和2¹²⁴。这个结果是目前针对Camellia算法的截断差分攻击中最好的。     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先,研究了PICO密码算法的结构,并结合可分性质的思想构造其混合整数线性规划（MILP）模型;然后,根据设置的约束条件生成用于描述可分性质传播规则的线性不等式,并借助数学软件求解MILP问题,从目标函数值判断构建积分区分器成功与否;最终,实现对PICO算法积分区分器的自动化搜索。实验结果表明,搜索到了PICO算法目前为止最长的10轮积分区分器,但由于可利用的明文数太少,不利于密钥恢复。为了取得更好的攻击效果,选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥,攻击的数据复杂度为2^63.46,时间复杂度为2⁷⁶次11轮算法加密,存储复杂度为2²⁰。     

QARMA算法的相关密钥不可能差分攻击

QARMA算法是一种代替置换网络结构的轻量级可调分组密码算法。研究QARMA算法抵抗相关密钥不可能差分攻击的能力,根据QARMA-64密钥编排的特点搜索到一个7轮相关密钥不可能差分区分器,在该差分区分器的前、后各添加3轮构成13轮相关密钥不可能差分攻击。分析结果表明,在猜测52 bit密钥时,与现有中间相遇攻击相比,该相关密钥不可能差分攻击具有攻击轮数较多、时间复杂度和空间复杂度较低的优点。     

DES算法差分电磁攻击及区分函数的选择

为了解决DEMA攻击时由于假峰现象而误判密钥的问题,在分析COMS电路电磁泄漏机理的基础上,针对DES算法的DEMA攻击构造了3种不同的区分函数并对其进行对比分析,给出了DES算法合适的区分函数构造方法。实验结果表明,选择该区分函数进行攻击时可以有效地避免假峰现象,提高了攻击的成功率。     

改进的SMBA算法不可能差分分析

SMBA是2019年全国密码算法设计竞赛胜出算法之一,软硬件实现效率高且具有较强的安全性.本文对该算法抗不可能差分分析的能力进行了新的鉴定,进行了6轮SMBA-128算法不可能差分区分器的推导和证明,比设计者给出的区分器多了1轮;基于其中1个区分器首次给出了9轮密钥恢复攻击,数据复杂度和时间复杂度分别为2^104.2和2¹²¹;基于找到的SMBA-256算法的8轮不可能差分区分器,进行了12轮密钥恢复攻击过程,数据复杂度和时间复杂度分别为2^248.2和2^227.6.由此说明SMBA算法仍然具有足够的安全冗余.     

GRANULE算法的不可能差分分析

GRANULE算法是一个超轻量分组密码算法,有着较好的软硬件实现性能,但目前尚没有该算法在不可能差分分析下的安全性评估结果。为此,利用中间相错技术,找到GRANULE64算法多条5轮不可能差分区分器,并基于得到的区分器,向上、下分别扩展3轮,给出对GRANULE64/80算法的11轮不可能差分分析。通过该算法可以恢复80-bit主密钥,时间复杂度为2~(73.3)次11轮GRANULE64算法加密,数据复杂度为2~(64)个选择明文。