Piccolo算法的相关密钥-不可能差分攻击

现有的对于Piccolo算法的安全性分析结果中,除Biclique分析外,以低于穷举搜索的复杂度最长仅攻击至14轮Piccolo-80和18轮Piccolo-128算法.通过分析Piccolo算法密钥扩展的信息泄漏规律,结合算法等效结构,利用相关密钥-不可能差分分析方法,基于分割攻击思想,分别给出了15轮Piccolo-80和21轮Piccolo-128含前向白化密钥的攻击结果.当选择相关密钥量为2⁸时,攻击所需的数据复杂度分别为2^58.6和2^62.3,存储复杂度分别为2^60.6和2^64.3,计算复杂度分别为2⁷⁸和2^82.5;在选择相关密钥量为2⁴时,攻击所需的数据复杂度均为2^62.6和2^62.3,存储复杂度分别为2^64.6和2^64.3,计算复杂度分别为2^77.93和2^124.45.分析结果表明,仅含前向白化密钥的15轮Piccolo-80算法和21轮Piccolo-128算法在相关密钥-不可能差分攻击下是不安全的.     

Midori64的相关密钥不可能差分分析*

Midori算法是由Banik等人在AISACRYPT2015上提出的一种具有SPN结构的轻量级的加密算法。Midori的分组长度有64bit和128bit两种,分别为Midori64和Midori128,本文主要研究的Midori64。目前攻击者已经使用了不可能差分分析、中间相遇攻击、相关密钥差分分析等方法对Midori进行了分析,却没有使用相关密钥不可能差分分析进行分析。为了验证Midori算法的安全性,本文使用了相关密钥不可能差分分析了Midori算法,构造了一个Midori算法的9轮区分器,进行了Midori算法的14轮攻击,总共猜测了84bit密钥。     

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.     

对低轮AES-256的相关密钥-不可能差分密码分析

研究AES-256抵抗相关密钥-不可能差分密码分析的能力.首先给出相关密钥的差分,该差分可以扩展到8轮(甚至更多轮)子密钥差分;然后构造出一个5.5轮的相关密钥不可能差分特征.最后,给出一个对7轮AES-256的攻击和4个对8轮AES-256的攻击.     

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18 bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37 bit密钥。     

缩减轮数的CAST-256积分分析*

CAST-256是在CAST-128基础上改进的Feistel结构分组密码,作为首轮AES候选算法,该算法的分析成果已有不少。目前,已知的攻击方法分析中,多维零相关线性分析和积分分析能实现28轮的密钥恢复攻击。本文详细分析如何利用积分分析与零相关分析两种方法之间联系,实现28轮CAST-256算法积分分析,并且密钥恢复算法的复杂度达到2₂₄₇Enc。     

ESF算法的不可能差分密码分析

分析研究了分组密码算法ESF抵抗不可能差分的能力,使用8轮不可能差分路径,给出了相关攻击结果。基于一条8轮的不可能差分路径,根据轮密钥之间的关系,通过改变原有轮数扩展和密钥猜测的顺序,攻击了11轮的ESF,改善了关于11轮的ESF的不可能差分攻击的结果。计算结果表明:攻击11轮的ESF所需要的数据复杂度为O(2⁵³),时间复杂度为O(2³²),同时也说明了11轮的ESF对不可能差分是不免疫的。     

CLEFIA-128/192/256的不可能差分分析

对分组密码算法CLEFIA进行不可能差分分析.CLEFIA算法是索尼公司在2007年快速软件加密大会(FSE)上提出来的.结合新发现和新技巧,可有效过滤错误密钥,从而将算法设计者在评估报告中给出的对11圈CLEFIA-192/256的攻击扩展到11圈CLEFIA-128/192/256,复杂度为2103.1次加密和2103.1个明文.通过对明文附加更多限制条件,给出对12圈CLEFIA-128/192/256的攻击,复杂度为2119.1次加密和2119.1个明文.而且,引入一种新的生日筛法以降低预计算的时间复杂度.此外,指出并改正了Tsunoo等人对12圈CLEFIA的攻击中复杂度计算方面的错误.     

缩减轮的超轻量级分组密码算法PFP的不可能差分分析

基于Feistel结构的轻量级分组密码算法PFP适用于物联网终端设备等资源极端受限环境。目前对PFP算法不可能差分分析的最好结果是利用7轮不可能差分区分器攻击9轮PFP算法,这样可恢复36 b的种子密钥。为了更准确地评估PFP算法抵抗不可能差分分析的能力,对PFP算法结构进行研究。首先,通过分析轮函数中S盒的差分分布特性,找到了概率为1的两组差分;其次,结合置换层特点,构造出一组包含16条不可能差分的7轮不可能差分区分器;最后,基于构建的7轮不可能差分区分器,对9轮PFP算法进行不可能差分分析以恢复40 b种子密钥,并提出对10轮PFP算法的不可能差分分析方法来恢复52 b种子密钥。结果表明,所提方法在区分器数量、分析轮数、恢复密钥比特数等方面均有较大改善。     

用不可能差分法分析12轮ESF算法

轻量级分组密码算法ESF是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数具有SPN结构,分组长度为64比特,密钥长度为80比特。为了研究ESF算法抵抗不可能差分攻击的能力,基于一条8轮不可能差分路径,根据轮密钥之间的关系,通过向前增加2轮、向后增加2轮的方式,对12轮ESF算法进行了攻击。计算结果表明,攻击12轮ESF算法所需的数据复杂度为O(2⁵³),时间复杂度为O(260.43),由此说明12轮的ESF算法对不可能差分密码分析是不免疫的。     

PFP算法改进的不可能差分分析

目前资源受限环境的应用场景越来越多,该场景下的数据加密需求也随之增加。以国际标准PRESENT算法为代表的一大批轻量级分组密码应运而生。PFP算法是一种基于Feistel结构的超轻量级分组密码算法,它的轮函数设计借鉴了国际标准PRESENT算法的设计思想。PFP算法的分组长度为64比特,密钥长度为80比特,迭代轮数为34轮。针对PFP算法,研究了其抵抗不可能差分分析的能力。在该算法的设计文档中,设计者利用5轮不可能差分区分器攻击6轮的PFP算法,能够恢复32比特的种子密钥。与该结果相比,文中通过研究轮函数的具体设计细节,利用S盒的差分性质构造出7轮不可能差分区分器,并攻击9轮的PFP算法,能够恢复36比特的种子密钥。该结果无论在攻击轮数还是恢复的密钥量方面,均优于已有结果,是目前PFP算法最好的不可能差分分析结果。     

Piccolo算法的差分故障分析

Piccolo算法是CHES 2011上提出的一个轻量级分组密码算法,它的分组长度为64- bit,密钥长度为80/128-bit,对应迭代轮数为25/31轮.Piccolo算法采用一种广义Feistel结构的变种,轮变换包括轮函数S-P-S和轮置换RP,能够较好地抵抗差分分析、线性分析等传统密码攻击方法.该文将Piccolo算法的S-P-S函数视为超级S盒(Super Sbox),采用面向半字节的随机故障模型,提出了一种针对Piccolo-80算法的差分故障分析方法.理论分析和实验结果表明:通过在算法第24轮输入的第1个和第3个寄存器各诱导1次随机半字节故障,能够将Piccolo-80算法的密钥空间缩小至约22-bit.因此,为安全使用Piccolo算法,在其实现时必须做一定的防护措施.     

SMS4算法的不可能差分攻击研究

为研究分组加密算法SMS4抵抗不可能差分攻击的能力,使用了14轮不可能差分路径,给出了相关攻击结果。基于1条14轮不可能差分路径,对16轮和18轮的SMS4算法进行了攻击,改进了关于17轮的SMS4的不可能差分攻击的结果,将数据复杂度降低到O(269.47)。计算结果表明:攻击16轮SMS4算法所需的数据复杂度为O(2¹⁰³),时间复杂度为O(2⁹²);攻击18轮的SMS4算法所需的数据复杂度为O(2¹⁰⁴),时间复杂度为O(2123.84)。     

CLEFIA-128算法的不可能差分密码分析

为研究分组密码CLEFIA-128抵抗不可能差分攻击的能力,基于一条9轮不可能差分路径,分析了13轮不带白化密钥的CLEFIA-128算法。利用轮函数中S盒差分分布表恢复部分密钥,利用轮密钥之间的关系减少密钥猜测量,并使用部分密钥分别猜测(Early Abort)技术有效地降低了复杂度。计算结果表明,该方法的数据复杂度和时间复杂度分别为O(2103.2)和O(2124.1)。