Zodiac密码算法的多维零相关线性分析

分组密码算法Zodiac支持3种密钥长度,分别为Zodiac-128、Zodiac-192、Zodiac-256。利用零相关线性分析方法评估了Zodiac算法的安全性,首先根据算法的结构特性,构造了一些关于Zodiac算法的10轮零相关线性逼近,然后对16轮Zodiac-192进行了多维零相关分析。分析结果显示：攻击过程中一共恢复了19个字节的密钥,其数据复杂度约为2^124.40个明密文对,计算复杂度为2^181.58次16轮加密。由此可得：16轮（即全轮）192 bit密钥的Zodiac算法（Zodiac-192）对于零相关线性分析方法是不安全的。     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

对低轮AES-256的相关密钥-不可能差分密码分析

研究AES-256抵抗相关密钥-不可能差分密码分析的能力.首先给出相关密钥的差分,该差分可以扩展到8轮(甚至更多轮)子密钥差分;然后构造出一个5.5轮的相关密钥不可能差分特征.最后,给出一个对7轮AES-256的攻击和4个对8轮AES-256的攻击.     

8轮PRINCE的快速密钥恢复攻击

PRINCE算法是J.Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法,它模仿AES并采用α-反射结构设计,具有加解密相似的特点.2014年,设计者发起了针对PRINCE实际攻击的公开挑战,使得该算法的安全性成为研究的热点.目前对PRINCE攻击的最长轮数是10轮,其中P.Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积D×T=2¹²⁵,A.Canteaut等利用多重差分技术攻击的复杂度D×T=2^118.5,并且两种方法的时间复杂度都超过了257.本文将A.Canteaut等给出的多重差分技术稍作改变,通过考虑输入差分为固定值,输出差分为选定的集合,给出了目前轮数最长的7轮PRINCE区分器,并应用该区分器对8轮PRINCE进行了密钥恢复攻击.本文的7轮PRINCE差分区分器的概率为2^-56.89,8轮PRINCE的密钥恢复攻击所需的数据复杂度为2^61.89个选择明文,时间复杂度为219.68次8轮加密,存储复杂度为2^15.21个16比特计数器.相比目前已知的8轮PRINCE密钥恢复攻击的结果,包括将A.Canteaut等给出的10轮攻击方案减少到8轮,本文给出的攻击方案的时间复杂度和D×T复杂度都是最低的.     

11轮3D分组密码算法的中间相遇攻击

针对3D分组密码算法的安全性分析,对该算法抵抗中间相遇攻击的能力进行了评估。基于3D算法的基本结构及S盒的差分性质,减少了在构造多重集时所需的猜测字节数,从而构建了新的6轮3D算法中间相遇区分器。然后,将区分器向前扩展2轮,向后扩展3轮,得到11轮3D算法中间相遇攻击。实验结果表明:构建区分器时所需猜测的字节数为42 B,攻击时所需的数据复杂度约为2⁴⁹⁷个选择明文,时间复杂度约为2^325.3次11轮3D算法加密,存储复杂度约为2³⁴² B。新攻击表明11轮3D算法对中间相遇攻击是不免疫的。     

7轮AES-192的飞去来器攻击

给出了7轮AES-192的飞去来器攻击。攻击需要239选择明文,2183自适应选择密文,时间复杂度为2183次加密操作,需要237字节的存储空间。这种攻击也可以用于其它SPN结构的没有足够混合的算法。     

基于交换等价的缩减轮AES-128的密钥恢复攻击

高级加密标准(advanced encryption standard,AES)是一种高安全性的密钥加密系统,在实际生活中受到了多方面认可及使用,自它诞生以来对于它的安全性问题的研究一直是密码学者最感兴趣的.目前对全轮的AES的攻击难度非常大,现有分析方法难以突破穷举搜索方法.朝着突破全轮AES的方向努力,近些年来研究人员十分关注对于缩减轮版本的AES攻击,并且已经涌现了许多优秀的分析方法,其中交换等价攻击——一种新的适合于类SPN分组密码设计的密码分析攻击技术广受关注.研究人员利用该技术得到了比以往更好的秘密密钥选择明文区分器和自适应选择密文区分器.使用了这一新技术,基于AES的5轮自适应选择密文区分器,在恢复密钥时利用了AES加密算法列混合变换系数矩阵的基本性质和0差分性质,提出了一种带有秘密S盒的6轮缩减轮AES-128的密钥恢复攻击,该攻击只要求251.5选择明文和257.42自适应选择密文的数据复杂度以及272时间复杂度.此外,一个小版本AES上的实验验证了提出的密钥恢复攻击.该版本AES块大小为64b,在状态中的每一个字是4b半字节,该实验结果也支持了该研究的理论.最后,当前的对6轮缩减轮AES-128密钥恢复攻击结果比已有的对缩减轮AES-128的密钥恢复攻击结果更优.     

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2⁴⁰个明密文对,时间复杂度为2^67.85次10轮加密运算,11轮积分攻击的数据复杂度为2^40.09个明密文对,时间复杂度为2^117.37次11轮加密运算。     

7轮ARIA-256的不可能差分新攻击

如何针对分组密码标准ARIA给出新的安全性分析是当前的研究热点。基于ARIA的算法结构,利用中间相遇的思想设计了一个新的4轮不可能差分区分器。基于该区分器,结合ARIA算法特点,在前面加2轮,后面加1轮,构成7轮ARIA-256的新攻击。研究结果表明：攻击7轮ARIA-256所需的数据复杂度约为2120选择明文数据量,所需的时间复杂度约为2219次7轮ARIA-256加密。与已有的7轮ARIA-256不可能差分攻击结果相比较,新攻击进一步地降低了所需的数据复杂度和时间复杂度。     

CLEFIA-128/192/256的不可能差分分析

对分组密码算法CLEFIA进行不可能差分分析.CLEFIA算法是索尼公司在2007年快速软件加密大会(FSE)上提出来的.结合新发现和新技巧,可有效过滤错误密钥,从而将算法设计者在评估报告中给出的对11圈CLEFIA-192/256的攻击扩展到11圈CLEFIA-128/192/256,复杂度为2103.1次加密和2103.1个明文.通过对明文附加更多限制条件,给出对12圈CLEFIA-128/192/256的攻击,复杂度为2119.1次加密和2119.1个明文.而且,引入一种新的生日筛法以降低预计算的时间复杂度.此外,指出并改正了Tsunoo等人对12圈CLEFIA的攻击中复杂度计算方面的错误.     

PRINCE密码算法的差分-线性分析

PRINCE是一个低时延轻量级分组密码算法,广泛应用于各种资源受限设备。PRINCE使用FX结构,其核心部件是 PRINCE_core。差分-线性分析是一种经典分析方法,它将差分分析和线性分析结合起来,使用短的高概率差分特征和线性特征来攻击密码算法。研究了 PRINCE_core的差分-线性分析,使用2轮差分-线性区分器攻击4轮PRINCE_core,需要2⁶个选择明文,时间复杂度为2^14.58次4轮加密。对于 6轮和 7轮 PRINCE_core的差分-线性分析,数据复杂度分别为 2^12.84和 2^29.02个选择明文,时间复杂度分别为2^25.58和2^41.53。     

轻量级分组密码MIBS-80算法的Biclique分析

提出了针对轻量级分组密码算法 MIBS-80 的 Biclique 分析.利用两条独立的相关密钥差分路径,构造了4轮维度为4 的 Biclique 结构,在此基础上对密钥空间进行了划分,结合预计算技术,对每一个密钥子空间进行筛选以降低中间相遇攻击所需的计算复杂度,实施了对12 轮 MIBS-80 的密钥恢复攻击.攻击的数据复杂度为2⁵²个选择明文,计算复杂度约为2^77.13次12 轮 MIBS-80 加密,存储复杂度约为2^8.17,成功实施攻击的概率为1.与已有攻击方法相比,在存储复杂度及成功率方面具有优势.     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先,研究了PICO密码算法的结构,并结合可分性质的思想构造其混合整数线性规划（MILP）模型;然后,根据设置的约束条件生成用于描述可分性质传播规则的线性不等式,并借助数学软件求解MILP问题,从目标函数值判断构建积分区分器成功与否;最终,实现对PICO算法积分区分器的自动化搜索。实验结果表明,搜索到了PICO算法目前为止最长的10轮积分区分器,但由于可利用的明文数太少,不利于密钥恢复。为了取得更好的攻击效果,选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥,攻击的数据复杂度为2^63.46,时间复杂度为2⁷⁶次11轮算法加密,存储复杂度为2²⁰。     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先，研究了PICO密码算法的结构，并结合可分性质的思想构造其混合整数线性规划（MILP）模型；然后，根据设置的约束条件生成用于描述可分性质传播规则的线性不等式，并借助数学软件求解MILP问题，从目标函数值判断构建积分区分器成功与否；最终，实现对PICO算法积分区分器的自动化搜索。实验结果表明，搜索到了PICO算法目前为止最长的10轮积分区分器，但由于可利用的明文数太少，不利于密钥恢复。为了取得更好的攻击效果，选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥，攻击的数据复杂度为2^63.46，时间复杂度为2⁷⁶次11轮算法加密，存储复杂度为2²⁰。     

分组密码FBC的差分分析

FBC是一种轻量级分组密码算法,由于结构简单、软硬件实现灵活等优点成为2018年中国密码学会(CACR)举办的全国密码算法设计竞赛中晋级到第2轮的10个算法之一.FBC密码包含3个版本支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥,本文主要对分组长度128位的两个版本进行分析.我们基于SAT (Boolean satisfiability problem)模型对FBC的差分特征进行自动化搜索,得到了新的14轮差分路线,概率为2^-102.25.基于此路线我们给出了18轮FBC128-128和20轮FBC128-256差分分析,并且在分析过程中给出了复杂度估计.对于18轮FBC128-128差分分析,时间复杂度和存储复杂度分别为2^101.5和2⁵².对于20轮FBC128-256差分分析时间复杂度和存储复杂度分别为2¹⁸⁴和2⁹⁶.     

对不同种子密钥长度的RC4算法的明文恢复攻击

针对不同种子密钥长度的RC4算法的明文恢复问题,提出了对经过不同种子密钥长度（8字节、16字节、22字节）的RC4算法加密的明文的明文恢复攻击。首先利用统计算法在2³²个不同种子密钥的条件下统计了RC4算法每个密钥流输出字节的t值分布,发现了RC4算法密钥流输出序列存在偏差;然后,利用单字节偏差规律和双字节偏差规律给出了对经RC4算法加密的明文的前256字节的攻击算法。实验结果表明,在密文量为2³¹的条件下,除了第4字节外,攻击算法能够以100%的成功率恢复明文的前196字节。对于种子密钥长度为8字节的RC4算法,前256字节的恢复成功率都超过了91%;相应的,种子密钥长度为16字节的RC4算法,前256字节的恢复成功率都超过87%;种子密钥长度为22字节的RC4算法,前256字节的恢复成功率都超过了81%。所提攻击算法拓展了原有攻击密钥长度为16字节的RC4算法的范围,且在实际应用中能够更好地恢复经RC4算法加密的明文。     

改进的10轮Kalyna-128/256中间相遇攻击

分组密码Kalyna在2015年6月被确立为乌克兰的加密标准,它的分组长度为128 bit、256 bit和512 bit,密钥长度与分组长度相等或者是分组长度的2倍,记为Kalyna-b/2b。为了保证该算法在实际环境中能安全使用,必须对其抵抗当下流行的攻击方法中的中间相遇攻击的能力进行评估。通过研究Kalyna-128/256轮密钥之间的线性关系,再结合多重集、差分枚举和相关密钥筛选等技巧构造了四条6轮中间相遇区分器链,在此区分器前端接1轮后端接3轮,再利用时空折中实现了对10轮Kalyna-128/256的中间相遇攻击,攻击所需的数据、时间和存储复杂度分别为2111△个选择明文、2238.63△次10轮加密和2222△个128 bit块。将之前10轮Kalyna-128/256中间相遇攻击最优结果的数据、时间和存储复杂度分别降低了24△倍、214.67△倍和226.8△倍。     

Rijndael-256算法的中间相遇攻击

根据Rijndael密码的算法结构,构造一个新的5轮相遇区分器：若输入状态的第一个字节可变动,而余下字节固定不变,则通过5轮加密后,算法输出的每个字节差分值均可由输入状态的第一个字节值及25个常量字节以概率2-96确定。基于该区分器,给出一种针对9轮Rijndael-256的中间相遇攻击。分析结果表明,该攻击的数据复杂度约为2128个选择明文数据量,时间复杂度约为2211.6次9轮Rijndael- 256加密。     

基于差分表的Blow-CAST-Fish算法的密钥恢复攻击

针对Blow-CAST-Fish算法攻击轮数有限和复杂度高等问题,提出一种基于差分表的Blow-CAST-Fish算法的密钥恢复攻击。首先,对S盒的碰撞性进行分析,分别基于两个S盒和单个S盒的碰撞,构造6轮和12轮差分特征;然后,计算轮函数f₃的差分表,并在特定差分特征的基础上扩充3轮,从而确定密文差分与f₃的输入、输出差分的关系;最后,选取符合条件的明文进行加密,根据密文差分计算f₃的输入、输出差分值,并查寻差分表找到对应的输入、输出对,从而获取子密钥。在两个S盒碰撞的情况下,所提攻击实现了9轮Blow-CAST-Fish算法的差分攻击,比对比攻击多1轮,时间复杂度由2^107.9降低到2⁷⁴;而在单个S盒碰撞的情况下,所提攻击实现了15轮Blow-CAST-Fish算法的差分攻击,与对比攻击相比,虽然攻击轮数减少了1轮,但弱密钥比例由{\mathrm{2}}^{-\mathrm{52.4}}提高到{\mathrm{2}}^{-\mathrm{42}},数据复杂度由2⁵⁴降低到2⁴⁷。测试结果表明,在相同差分特征基础上,基于差分表的攻击的攻击效率更高。     

分组密码SHACAL2的Biclique攻击

分组密码算法SHACAL2是由Handschuh等人于2002年基于标准散列函数SHA2设计的,具有较高的安全性.利用SHACAL2算法密钥生成策略与扩散层的特点,构造了SHACAL2的首18轮32维Biclique.基于构造的Biclique对完整64轮SHACAL2算法应用Biclique攻击.分析结果表明,Biclique攻击恢复64轮SHACAL2密钥的数据复杂度不超过2224已知明文,时间复杂度约为2511.18次全轮加密.与已知分析结果相比,Biclique攻击所需的数据复杂度明显降低,且计算复杂度优于穷举攻击.对全轮的SHACAL2算法,Biclique攻击是一种相对有效的攻击方法.这是首次对SHACAL2算法的单密钥全轮攻击.