自动化搜索ARX分组密码不可能差分与零相关线性闭包

首先,构造了ARX分组密码差分特征及线性掩码的传播方程;然后,利用SAT求解器求解传播方程并且判定该传播系统是否为有效传播;最后,遍历差分特征及线性掩码自动化搜索不可能差分及零相关线性闭包。利用该算法搜索TEA、XTEA和SIMON的不可能差分与零相关线性闭包,并得到TEA、XTEA及SIMON 族分组密码的最优不可能差分与零相关线性闭包。此外,利用差分以及线性分布表,该算法能有效搜索基于S盒分组密码的不可能差分及零相关线性闭包。     

CHAM算法的安全性分析

本文主要研究基于ARX结构的轻量级分组密码CHAM算法,利用不可能差分分析、零相关线性分析对其进行安全性分析.首先,利用线性不等式组对算法的每个组件进行等价刻画,描述了差分特征和线性掩码的传播规律,建立了基于MILP(混合整数规划问题)的不可能差分和零相关线性自动化搜索模型.其次,根据CHAM算法四分支广义Feistel结构的特点,得到CHAM算法特定形式(输入或者输出差分(掩码)仅含有一个非零块)下的最长不可能差分路径和零相关线性路径具有的性质,优化了搜索策略,缩小了搜索空间.最后,利用搜索算法,遍历特定的输入输出集合,共得到CHAM-64的5条19轮不可能差分区分器,CHAM-128的1条18轮不可能差分区分器和15条19轮零相关线性区分器,均为目前公开发表的最长同类型区分器.     

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.     

SIMECK32/64算法的不可能差分分析

对分组密码SIMECK32/64算法抗不可能差分分析的能力进行研究,利用中间相遇技术,构造该算法的11轮不可能差分路径。采用向前解密4轮以及向后加密4轮进行19轮不可能差分分析攻击。分析结果表明,该路径只需要猜测29 bit子密钥,并且与零相关线性分析相比,针对SIMECK32/64算法的不可能差分攻击的分析复杂度大幅减小。     

SHA-1差分路径搜索算法和连接策略研究

Hash函数SHA-1的攻击技术研究一直受到密码分析者的广泛关注,其中,差分路径构造是影响攻击复杂度大小的重要环节.提出了带比特条件的全轮差分路径构造方法,统一了第1轮差分路径构造和后3轮的差分路径构造.该方法既与原有第1轮路径构造相容,又能省去后3轮路径约简、消息约简等繁琐技术环节,具有良好的兼容性.此外,综合考虑状态差分、布尔函数差分与比特条件之间的制约关系,提出了带比特条件的前向扩展、后向扩展和中间连接这3个子算法,并提出3个指标——比特条件的更新次数、扩展结果的相容性和候选集合的正确率对中间连接的成功率进行评价,结合提前终止策略,提出了最优的中间连接算法.理论分析结果表明,该方法有助于提高SHA-1差分路径构造的成功率.最后,采用该算法进行路径搜索,可以得到正确的可用于碰撞搜索的差分路径.     

Piccolo缩减轮数的相关密钥不可能差分分析*

Sony在2011年提出的Piccolo算法密钥分为80bit(Piccolo-80)和128bit(Piccolo-128)。设计者使用包括相关密钥不可能差分在内的多种攻击方法对算法进行了安全分析,认为对于Piccolo的相关密钥不可能差分攻击分析只能实现11轮（80bit）和17轮（128bit）,但并未给出具体分析过程和实例。本文使用U-method方法对Piccolo算法进行了相关密钥不可能差分分析,并最终给出11轮和17轮的差分路径实例。     

基于深度学习的SIMON3264安全性分析

轻量级分组密码的安全性分析越来越倾于向自动化和智能化的方向发展.目前基于深度学习对轻量级分组密码进行安全性分析正在成为一个全新的研究热点.针对由美国国家安全局在2013年发布的一款轻量级分组密码SIMON算法,将深度学习技术应用于SIMON3264的安全性分析.分别采用前馈神经网络和卷积神经网络模拟多差分密码分析当中的单输入差分多输出差分情形,设计了应用于SIMON3264的6~9轮深度学习区分器,并比较了2种神经网络结构在不同条件下的优劣.通过对前馈神经网络和卷积神经网络的7轮深度学习区分器向前向后各扩展1轮,提出了针对9轮SIMON3264的候选密钥筛选方法.实验结果证实:采用128个选择明文对,可以成功地将65535个候选密钥筛选在675个以内.这说明基于深度学习的差分区分器相比传统差分区分器需要更少的时间复杂度和数据复杂度.     

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18 bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37 bit密钥。     

轻量级分组密码算法ESF的不可能差分分析

新的轻量级密码算法ESF用于物联网环境下保护RFID标签以及智能卡等设备的通信安全.ESF算法是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数是SPN结构.分组长度为64比特,密钥长度为80比特.通过不可能差分分析方法来寻找ESF算法的不可能差分特征,给出ESF算法8轮不可能差分区分器来攻击11轮ESF算法.实验结果表明,ESF对不可能差分密码分析有足够的安全免疫力.     

轻量级分组密码LED的相关密钥差分分析

在CHES2011国际会议上,轻量级分组密码算法LED被郭等人提出,该密码算法具有硬件实现规模小,加解密速度快等优点,因而备受业界关注。目前设计者给出了单密钥攻击模型下LED算法活跃S盒个数的下界,以评估其抵御经典差分密码分析的能力。然而,相关密钥攻击模型下LED算法抵御差分密码分析的能力仍有待进一步解决。本文基于LED密码算法的结构及密钥编排特点,结合面向字节的自动化搜索方法,构建了适用于相关密钥差分分析的混合整形规划（MILP）搜索模型。研究结果表明：全轮LED-64至少存在100个活跃S盒,全轮LED-128至少存在150个活跃S盒;15轮简化LED算法足以抵抗相关密钥差分分析。此外,针对多种变体的LED密钥编排方法进行了测试,找到了一些新的密钥编排方案,并使LED算法具有最佳能力抵御相关密钥差分分析。     

Zodiac密码算法的多维零相关线性分析

分组密码算法Zodiac支持3种密钥长度,分别为Zodiac-128、Zodiac-192、Zodiac-256。利用零相关线性分析方法评估了Zodiac算法的安全性,首先根据算法的结构特性,构造了一些关于Zodiac算法的10轮零相关线性逼近,然后对16轮Zodiac-192进行了多维零相关分析。分析结果显示：攻击过程中一共恢复了19个字节的密钥,其数据复杂度约为2^124.40个明密文对,计算复杂度为2^181.58次16轮加密。由此可得：16轮（即全轮）192 bit密钥的Zodiac算法（Zodiac-192）对于零相关线性分析方法是不安全的。     

Zodiac算法的零相关-积分攻击

Zodiac算法是一种由一批韩国学者设计的分组密码算法,它是16轮平衡Feistel型的分组密码。首次从零相关-积分分析的角度评价了Zodiac算法的安全性,构造出算法的两类13轮零相关线性逼近,并据此给出了13轮零相关-积分区分器,对全轮Zodiac算法进行了零相关-积分分析,成功恢复出了144bit轮子密钥信息。结果显示:完整16 轮Zodiac-128/192/256算法的零相关-积分攻击的数据复杂度为2¹²⁰个选择明文,时间复杂度大约为2⁸²次16轮Zodiac算法加密,时间复杂度明显优于已有的积分攻击结果。     

Impossible Differential Cryptanalysis of Reduced-Round ARIA and Camellia

This paper studies the security of the block ciphers ARIA and Camellia against impossible differential cryptanalysis. Our work improves the best impossible differential cryptanalysis of ARIA and Camellia known so far. The designers of ARIA expected no impossible differentials exist for 4-round ARIA. However, we found some nontrivial 4-round impossible differentials, which may lead to a possible attack on 6-round ARIA. Moreover, we found some nontrivial 8-round impossible differentials for Camellia, whereas only 7-round impossible differentials were previously known. By using the 8-round impossible differentials, we presented an attack on 12-round Camellia without FL/FL^-1 layers.     

轻量级分组密码Pyjamask的不可能差分分析

Pyjamask是美国国家技术标准研究院征选后量子时代轻量级密码算法中进入第二轮的候选分组密码,对其抵抗现在流行的不可能差分分析分析为未来在实际系统中使用起到重要的作用.提出一些2.5轮不可能差分链并分析它们的结构特点和攻击效率,在一些最有效的不可能差分链的前后各接1轮和半轮,形成4轮Py-jamask多重不可能差分攻击路径.攻击结果表明Pyjamask的行混淆运算扩散性比较强,能较好地抵抗不可能差分分析,此结果是对Pyjamask安全性分析的一个重要补充.     

Multidimensional zero-correlation attacks on lightweight block cipher HIGHT: Improved cryptanalysis of an ISO standard

HIGHT is a block cipher designed in Korea with the involvement of Korea Information Security Agency. It was proposed at CHES 2006 for usage in lightweight applications such as sensor networks and RFID tags. Lately, it has been adopted as ISO standard. Though there is a great deal of cryptanalytic results on HIGHT, its security evaluation against the recent zero-correlation linear attacks is still lacking. At the same time, the Feistel-type structure of HIGHT suggests that it might be susceptible to this type of cryptanalysis. In this paper, we aim to bridge this gap.We identify zero-correlation linear approximations over 16 rounds of HIGHT. Based upon those, we attack 27-round HIGHT (round 4 to round 30) with improved time complexity and practical memory requirements. This attack of ours is the best result on HIGHT to date in the classical single-key setting. We also provide the first attack on 26-round HIGHT (round 4 to round 29) with the full whitening key.     

一类SP结构的不可能差分区分器证明

针对分组密码SP结构的不可能差分区分器轮数的下界进行证明,提出的方法使用线性代数的理论,对系数矩阵P及P-1进行分析,提出了系数矩阵部分子空间存在两个行向量线性相关时,可证明至少存在四轮不可能差分区分器。uBlock算法是SPN结构,提出的方法对uBlock算法进行了分析验证,说明了结论的正确性,进一步,使用该算法搜索到比uBlock算法设计文档更多的不可能差分区分器。针对SPN结构线性扩散层P,使用了本原指数的概念,使用线性扩散层P的本原指数对SPN结构不可能差分的轮数进行论证。分析结果表明,分组密码SP结构至少存在四轮不可能差分区分器。     

AC分组密码的差分和线性密码分析

讨论AC分组密码对差分和线性密码分析的安全性,通过估计3轮AC的差分活动盒子的个数下界和12轮AC的线性活动盒子的个数下界,本文得到AC的12轮差分特征概率不大于2-128和线性逼近优势不大于2-67.因此,AC分组密码对差分和线性密码分析是安全的.     

概率积分密码分析

在传统的积分密码分析中,积分区分器都是以概率1成立的.虽然Knudsen等学者提到过:“就像差分一样,积分也可以是概率的”,但是,没有文献报道过进一步的研究.文中对此问题进行了探讨,提出了概率积分密码分析方法,并从理论和实验两方面验证了概率积分分析方法的有效性.对于采用S盒设计的分组密码,文中证明了如果S盒的差分均匀性越接近随机概率,则分组密码抵抗概率积分密码分析的能力就越强.同时,文中指出高阶积分分析的某些技巧对于概率积分分析是行不通的,主要原因是随着求和变量个数的增加,积分特征概率趋近于随机概率.最后,文中通过对AES和LBlock这两个算法的概率积分分析实例,说明目前广泛使用的分组密码算法对于概率积分密码分析方法都是免疫的.