SAFER++的差分分析

SAFER++是欧洲信息工程的参选算法,并且是进入第2轮的7个候选算法之一。算法的设计者称5轮SAFER++算法可以抵抗差分分析。本文利用异或差分与模减差分串连得到3.75轮的高概率特征,对4轮SAFER++进行选择明文攻击。攻击过程的计算复杂度约为298.2次加密运算,数据复杂度是296,可以恢复出12字节的密钥。而且如果存在4轮特征(设计者称已经通过搜索的方法找到),可以利用本文提出的方法得到更高轮数的特征,用于攻击5轮以上的SAFER++算法。     

低轮ARIA的不可能差分

不可能差分是对分组密码的一种有效攻击方法.它是寻找不可能出现的差分关系,并排除满足这种关系的密钥,最终恢复出秘密密钥.分析了韩国新型分组密码算法ARIA的不可能差分.首先分析了ARIA混淆层的特性,构造了ARIA的4轮不可能差分,选择225.5个明文对,使其密文异或具有低64b为零的形式,利用4轮不可能差分特性对5轮的ARIA进行了分析.选择230个明文对对6轮ARIA进行分析.     

SMS4密码算法的差分功耗分析攻击研究

SMS4算法是用于无线局域网产品的分组密码算法,本文研究对SMS4密码算法的差分功耗分析攻击方法. 通过对算法结构的分析,结合差分功耗分析技术的原理,提出一种面向轮密钥字节的攻击方法. 在利用该方法获取最后四轮轮密钥的基础上,即可进一步推算出128bit加密密钥. 仿真实验结果证明,该攻击方法对SMS4轮运算有效可行,SMS4算法对差分功耗分析攻击是脆弱的,密码硬件设备需要对此类攻击进行防护.     

对低轮AES-256的相关密钥-不可能差分密码分析

研究AES-256抵抗相关密钥-不可能差分密码分析的能力.首先给出相关密钥的差分,该差分可以扩展到8轮(甚至更多轮)子密钥差分;然后构造出一个5.5轮的相关密钥不可能差分特征.最后,给出一个对7轮AES-256的攻击和4个对8轮AES-256的攻击.     

PRINCE密码算法的差分-线性分析

PRINCE是一个低时延轻量级分组密码算法,广泛应用于各种资源受限设备。PRINCE使用FX结构,其核心部件是 PRINCE_core。差分-线性分析是一种经典分析方法,它将差分分析和线性分析结合起来,使用短的高概率差分特征和线性特征来攻击密码算法。研究了 PRINCE_core的差分-线性分析,使用2轮差分-线性区分器攻击4轮PRINCE_core,需要2⁶个选择明文,时间复杂度为2^14.58次4轮加密。对于 6轮和 7轮 PRINCE_core的差分-线性分析,数据复杂度分别为 2^12.84和 2^29.02个选择明文,时间复杂度分别为2^25.58和2^41.53。     

对SMS4密码算法改进的差分攻击

差分分析和线性分析是重要的密码算法分析工具.多年来,很多研究者致力于改善这两种攻击方法.Achiya Bar-On等人提出了一种方法,能够使攻击者对部分状态参与非线性变换的SPN结构的密码算法进行更多轮数的差分分析和线性分析.这种方法使用了两个辅助矩阵,其目的就是更多地利用密码算法中线性层的约束,从而能攻击更多轮数.将这种方法应用到中国密码算法SMS4的多差分攻击中,获得了一个比现有攻击存储复杂度更低和数据复杂度更少的攻击结果.在成功概率为0.9时,实施23轮的SMS4密钥恢复攻击需要2^113.5个明文,时间复杂度为2^126.7轮等价的23轮加密.这是目前为止存储复杂度最低的攻击,存储复杂度为2¹⁷个字节.     

SMS4密码算法的差分故障攻击

SMS4是用于WAPI的分组密码算法，是国内官方公布的第一个商用密码算法．由于公布时间不长，关于它的安全性研究尚没有公开结果发表．该文研究SMS4密码算法对差分故障攻击的安全性．攻击采用面向字节的随机故障模型，并且结合了差分分析技术．该攻击方法理论上仅需要32个错误密文就可以完全恢复出SMS4的128比特种子密钥．因为实际中故障发生的字节位置是不可能完全平均的，所以实际攻击所需错误密文数将略大于理论值；文中的实验结果也验证了这一事实，恢复SMS4的128bit种子密钥平均大约需要47个错误密文．文章结果显示SMS4对差分故障攻击是脆弱的．为了避免这类攻击，建议用户对加密设备进行保护，阻止攻击者对其进行故障诱导．     

用不可能差分法分析12轮ESF算法

轻量级分组密码算法ESF是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数具有SPN结构,分组长度为64比特,密钥长度为80比特。为了研究ESF算法抵抗不可能差分攻击的能力,基于一条8轮不可能差分路径,根据轮密钥之间的关系,通过向前增加2轮、向后增加2轮的方式,对12轮ESF算法进行了攻击。计算结果表明,攻击12轮ESF算法所需的数据复杂度为O(2⁵³),时间复杂度为O(260.43),由此说明12轮的ESF算法对不可能差分密码分析是不免疫的。     

轻量级分组密码Pyjamask的不可能差分分析

Pyjamask是美国国家技术标准研究院征选后量子时代轻量级密码算法中进入第二轮的候选分组密码,对其抵抗现在流行的不可能差分分析分析为未来在实际系统中使用起到重要的作用.提出一些2.5轮不可能差分链并分析它们的结构特点和攻击效率,在一些最有效的不可能差分链的前后各接1轮和半轮,形成4轮Py-jamask多重不可能差分攻击路径.攻击结果表明Pyjamask的行混淆运算扩散性比较强,能较好地抵抗不可能差分分析,此结果是对Pyjamask安全性分析的一个重要补充.     

改进的SMS4算法差分故障与暴力联合攻击

研究了SMS4对差分故障和暴力联合攻击的安全性.这种联合攻击利用传统的故障模型、采用一种简化的差分故障攻击与暴力攻击相结合的方法.在实验中,用该攻击方法不到1分钟就可以恢复出128位的SMS4种子密钥,实验结果表明,SMS4密码算法很难防范这种利用差分故障和暴力攻击的联合攻击.该类型攻击对SMS4具有很大威胁,所以使用SMS4密码算法时,必须对轮函数相关运算进行保护.     

AES的差分－代数攻击

差分－代数攻击是一种新的攻击方法,此方法结合了差分分析和代数攻击的思想。差分分析和代数攻击都是对高级加密标准（AES）最有效的攻击算法之一。对差分－代数如何在AES中应用进行了分析,并成功地应用此方法对5轮AES-256进行了攻击,使之比穷尽攻击更有效。     

8轮PRINCE的快速密钥恢复攻击

PRINCE算法是J.Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法,它模仿AES并采用α-反射结构设计,具有加解密相似的特点.2014年,设计者发起了针对PRINCE实际攻击的公开挑战,使得该算法的安全性成为研究的热点.目前对PRINCE攻击的最长轮数是10轮,其中P.Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积D×T=2¹²⁵,A.Canteaut等利用多重差分技术攻击的复杂度D×T=2^118.5,并且两种方法的时间复杂度都超过了257.本文将A.Canteaut等给出的多重差分技术稍作改变,通过考虑输入差分为固定值,输出差分为选定的集合,给出了目前轮数最长的7轮PRINCE区分器,并应用该区分器对8轮PRINCE进行了密钥恢复攻击.本文的7轮PRINCE差分区分器的概率为2^-56.89,8轮PRINCE的密钥恢复攻击所需的数据复杂度为2^61.89个选择明文,时间复杂度为219.68次8轮加密,存储复杂度为2^15.21个16比特计数器.相比目前已知的8轮PRINCE密钥恢复攻击的结果,包括将A.Canteaut等给出的10轮攻击方案减少到8轮,本文给出的攻击方案的时间复杂度和D×T复杂度都是最低的.     

Impossible differential cryptanalysis of advanced encryption standard

Impossible differential cryptanalysis is a method recovering secret key, which gets rid of the keys that satisfy impossible differential relations. This paper concentrates on the impossible differential cryptanalysis of Advanced Encryption Standard (AES) and presents two methods for impossible differential cryptanalysis of 7-round AES-192 and 8-round AES-256 combined with time-memory trade-off by exploiting weaknesses in their key schedule. This attack on the reduced to 7-round AES-192 requires about 294.5 chosen plaintexts, demands 2129 words of memory, and performs 2157 7-round AES-192 encryptions. Furthermore, this attack on the reduced to 8-round AES-256 requires about 2101 chosen plaintexts, demands 2201 words of memory, and performs 2228 8-round AES-256 encryptions.     

概率积分及其在PUFFIN算法中的应用

积分分析是一种针对分组密码十分有效的分析方法,其通常利用密文某些位置的零和性质构造积分区分器.基于高阶差分理论,可通过研究密文与明文之间多项式的代数次数来确定密文某些位置是否平衡.从传统的积分分析出发,首次考虑常数对多项式首项系数的影响,提出了概率积分分析方法,并将其应用于PUFFIN算法的安全性分析.针对PUFFIN算法,构造了7轮概率积分区分器,比已有最好的积分区分器轮数长1轮.进一步,利用构造的概率积分区分器,对9轮PUFFIN算法进行密钥恢复攻击.该攻击可恢复92比特轮密钥,攻击的数据复杂度为2^24.8个选择明文,时间复杂度为2^35.48次9轮算法加密,存储复杂度为2²⁰个存储单元.     

A new impossible differential attack on SAFER ciphers

This paper presents an improved impossible differential cryptanalysis of SAFER ciphers, which uses the miss-in-the-middle technique developed by Biham et al. We analyze 3.75-round SAFER SK-64,¹ using 2⁴⁵ chosen plaintexts, 2³⁸ bytes memory and 2⁴² half round computations. Furthermore, the new impossible differential attack on 3.75-round SAFER+/128 uses 2⁷⁸ chosen plaintexts, 2⁷⁵ half round computations and 2⁶⁸ bytes memory. And attack on 3.75-round SAFER++/128 uses 2⁷⁸ data, 2⁶⁶ time, and 2⁶² memory.     

Impossible Differential Cryptanalysis of Reduced-Round ARIA and Camellia

This paper studies the security of the block ciphers ARIA and Camellia against impossible differential cryptanalysis. Our work improves the best impossible differential cryptanalysis of ARIA and Camellia known so far. The designers of ARIA expected no impossible differentials exist for 4-round ARIA. However, we found some nontrivial 4-round impossible differentials, which may lead to a possible attack on 6-round ARIA. Moreover, we found some nontrivial 8-round impossible differentials for Camellia, whereas only 7-round impossible differentials were previously known. By using the 8-round impossible differentials, we presented an attack on 12-round Camellia without FL/FL^-1 layers.     

Biclique cryptanalysis on lightweight block cipher: HIGHT and Piccolo

Biclique cryptanalysis is an attack that improves the computational complexity by finding a biclique which is a kind of bipartite graph. We present a single-key full-round attack of lightweight block ciphers, HIGHT and Piccolo by using biclique cryptanalysis. In this paper, a 9-round biclique is constructed for HIGHT and a 4-round biclique for Piccolo. These new bicliques are used to recover secret keys for the full rounds of HIGHT, Piccolo-80 and Piccolo-128, the computational complexity of 2^125.93, 2^79.34 and 2^127.36, respectively. The computational complexity of attacking HIGHT by a biclique cryptanalysis is reduced from 2^126.4. This is the first full-round attack on both Piccolo-80 and Piccolo-128.     

Midori-64算法的截断不可能差分分析

分析了Midori-64算法在截断不可能差分攻击下的安全性.首先,通过分析Midori算法加、解密过程差分路径规律,证明了Midori算法在单密钥条件下的截断不可能差分区分器至多6轮,并对6轮截断不可能差分区分器进行了分类;其次,根据分类结果,构造了一个6轮区分器,并给出11轮Midori-64算法的不可能差分分析,恢复了128比特主密钥,其时间复杂度为2^121.4,数据复杂度为2^60.8,存储复杂度为2^96.5.