Piccolo缩减轮数的相关密钥不可能差分分析*

Sony在2011年提出的Piccolo算法密钥分为80bit(Piccolo-80)和128bit(Piccolo-128)。设计者使用包括相关密钥不可能差分在内的多种攻击方法对算法进行了安全分析,认为对于Piccolo的相关密钥不可能差分攻击分析只能实现11轮（80bit）和17轮（128bit）,但并未给出具体分析过程和实例。本文使用U-method方法对Piccolo算法进行了相关密钥不可能差分分析,并最终给出11轮和17轮的差分路径实例。     

DBlock密码算法差分故障分析

DBlock算法是于2015年提出的一种新型分组密码算法,算法分组长度与对应密钥长度为128bit、192bit和256bit,均迭代20轮。基于字节故障模型,并利用基于密钥扩展的差分故障分析方法,在密钥扩展算法运行至第17轮时导入随机故障,对DBlock算法进行差分故障分析。实验结果表明,仅需要4次故障密文便可恢复算法的128bit初始密钥。     

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击.实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥.因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护.     

Piccolo算法的相关密钥-不可能差分攻击

现有的对于Piccolo算法的安全性分析结果中,除Biclique分析外,以低于穷举搜索的复杂度最长仅攻击至14轮Piccolo-80和18轮Piccolo-128算法.通过分析Piccolo算法密钥扩展的信息泄漏规律,结合算法等效结构,利用相关密钥-不可能差分分析方法,基于分割攻击思想,分别给出了15轮Piccolo-80和21轮Piccolo-128含前向白化密钥的攻击结果.当选择相关密钥量为2⁸时,攻击所需的数据复杂度分别为2^58.6和2^62.3,存储复杂度分别为2^60.6和2^64.3,计算复杂度分别为2⁷⁸和2^82.5;在选择相关密钥量为2⁴时,攻击所需的数据复杂度均为2^62.6和2^62.3,存储复杂度分别为2^64.6和2^64.3,计算复杂度分别为2^77.93和2^124.45.分析结果表明,仅含前向白化密钥的15轮Piccolo-80算法和21轮Piccolo-128算法在相关密钥-不可能差分攻击下是不安全的.     

针对AES分组密码S盒的差分故障分析

研究了AES分组密码对差分故障攻击的安全性,攻击采用面向字节的随机故障模型,结合差分分析技术,通过在AES第8轮列混淆操作前导入随机单字节故障,一次故障导入可将AES密钥搜索空间由2128降低到232.3,在93.6%的概率下,两次故障导入无需暴力破解可直接恢复128位AES密钥.数学分析和实验结果表明:分组密码差分S盒取值的不完全覆盖性为差分故障分析提供了可能性,而AES密码列混淆操作良好的扩散特性极大的提高了密钥恢复效率,另外,本文提出的故障分析模型可适用于其它使用S盒的分组密码算法.     

轻量级分组密码算法ESF的不可能差分分析

新的轻量级密码算法ESF用于物联网环境下保护RFID标签以及智能卡等设备的通信安全.ESF算法是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数是SPN结构.分组长度为64比特,密钥长度为80比特.通过不可能差分分析方法来寻找ESF算法的不可能差分特征,给出ESF算法8轮不可能差分区分器来攻击11轮ESF算法.实验结果表明,ESF对不可能差分密码分析有足够的安全免疫力.     

LEX算法的相关密钥攻击

LEX算法是入选欧洲序列密码工程eSTREAM第三阶段的候选流密码算法之一,在分组密码算法AES的基础上进行设计。为此,针对LEX算法进行基于猜测决定方法的相关密钥攻击,在已知一对相关密钥各产生239.5个字节密钥流序列的条件下,借助差分分析的思想和分组密码算法AES轮变换的性质,通过穷举2个字节密钥值和中间状态的8个字节差分恢复出所有候选密钥,利用加密检验筛选出正确的密钥。分析结果表明,该密钥攻击的计算复杂度为2100.3轮AES加密、成功率为1。     

针对CLEFIA的多字节差分故障分析

研究CLEFIA分组密码对多字节差分故障分析的安全性,给出CLEFIA分组密码算法及故障分析原理。根据在第r轮、r-1轮、 r-2轮注入多字节故障的3种条件,提出一种新的针对CLEFIA的多字节故障模型及分析方法。通过仿真实验进行验证,结果表明,由于其Feistel结构和S盒特性,CLEFIA易遭受多字节故障攻击,6~8个错误密文可恢复128 bit的CLEFIA密钥。     

一种KLEIN密码的差分故障分析

针对KLEIN密码算法提出一种可行的差分故障分析方法,研究KLEIN密码对差分故障分析的安全性。经多次分析尝试,选择分别向16个字节处各导入1比特随机故障,相当于每次引入16个随机故障。通过在KLEIN密码第12轮S盒置换操作之前对各字节引入1比特随机故障,并构造了S盒差分区分器来搜索差分值,最终恢复64比特密钥。实验结果表明,平均2.73次诱导此类故障即可恢复主密钥,同时大大降低了搜索空间。     

LiCi密码的差分故障攻击

LiCi轻量级分组密码算法是2017年提出的一种新型密码算法,其具有结构微小、消耗能量少等优点,适用于物联网等资源受限的环境。在 LiCi 的设计文档中,对该算法抵御差分攻击和线性攻击的能力进行了分析,但LiCi算法对于差分故障攻击的抵抗能力尚未得到讨论。针对LiCi算法每轮迭代的移位规律,在第31轮迭代时的左半侧多次注入单比特故障,结合其差分性质,可以恢复32 bit长度的轮密钥。根据LiCi算法的密钥编排方案,再对第 30、29、28、27、26 轮迭代进行同样的差分故障攻击,最终可以恢复全部原始密钥。该攻击共需要48个单比特故障,计算复杂度为2³²,说明LiCi算法难以抵抗差分故障攻击。     

Security analysis of block cipher Piccolo suitable for wireless sensor networks

Piccolo is a 64-bit block cipher suitable for the constrained environments such as wireless sensor network environments. In this paper, we propose differential fault analysis on Piccolo. Based on a random byte fault model, our attack can recover the secret key of Piccolo-80 by using an exhaustive search of \(2^{24}\) and six random byte fault injections on average. It can be simulated on a general PC within a few seconds. In the case of Piccolo-128, we require an exhaustive search of \(2^{40}\) and eight random byte fault injections on average. This attack can be simulated on a general PC within 1 day. These results are the first known side-channel attack results on them.     

针对MIBS的宽度差分故障分析

MIBS分组密码主要用于RFIv轻量级密码设备实现,对其安全性研究尚无公开结果发表。首先给出了MIBS算法及故障分析原理,提出了一种针对MIBS的宽度差分故障分析方法,并通过仿真实验进行了验证。实验结果表明,由于其Feistel结构和S盒特性,MII3S易遭受宽度故障攻击,通过在第32轮和第31轮分别导入1次32位故障即可将64位主密钥降低到21. 70位,经1秒钟暴力破解恢复完整密钥。该故障分析方法也可为其它分组密码差分故障分析提供一定思路。     

Differential fault analysis on Camellia

Camellia is a 128-bit block cipher published by NTT and Mitsubishi in 2000. On the basis of the byte-oriented model and the differential analysis principle, we propose a differential fault attack on the Camellia algorithm. Mathematical analysis and simulating experiments show that our attack can recover its 128-bit, 192-bit or 256-bit secret key by introducing 30 faulty ciphertexts. Thus our result in this study describes that Camellia is vulnerable to differential fault analysis. This work provides a new reference to the fault analysis of other block ciphers.     

Improved differential fault analysis on PRESENT-80/128

PRESENT is a hardware-optimized 64-bit lightweight block cipher which supports 80- and 128-bit secret keys. In this paper, we propose a differential fault analysis (DFA) on PRESENT-80/128. The proposed attack is based on a 2-byte random fault model. In detail, by inducing several 2-byte random faults in input registers after 28 rounds, our attack recovers the secret key of the target algorithm. From simulation results, our attacks on PRESENT-80/128 can recover the secret key by inducing only two and three 2-byte random faults, respectively. These are superior to known DFA results on them.     

Differential Fault Analysis on SMS4 using a single fault

Differential Fault Analysis (DFA) attack is a powerful cryptanalytic technique that could be used to retrieve the secret key by exploiting computational errors in the encryption (decryption) procedure. In this paper, we propose a new DFA attack on SMS4 using a single fault. We show that if a random byte fault is induced into either the second, third, or fourth word register at the input of the 28-th round, the 128-bit key could be recovered with an exhaustive search of 22.11 bits on average. The proposed attack makes use of the characteristic of the cipher's structure and its round function. Furthermore, it can be tailored to any block cipher employing a similar structure and an SPN-style round function as that of SMS4.     

基于ESF密码算法改进的差分故障攻击

利用置换层结构的特点及差分故障的基本思想, 提出一种针对ESF算法的差分故障攻击方法. 在第30轮多次注入1比特故障, 根据S盒的差分特性, 由不同的输入输出差分对, 得到不同的S盒的输入值集合, 取其交集可快速确定唯一的S盒的可能输入值, 分析得出最后一轮轮密钥. 采用同样的方法, 多次在第29轮、28轮注入1比特故障, 结合最后一轮轮密钥, 同样利用S盒的差分特性分析得出倒数第2轮、第3轮轮密钥. 共需约10个故障密文, 恢复3轮轮密钥后将恢复主密钥的计算复杂度降为2²².     

对MIBS算法的Integral攻击

MIBS是M.Izadi等人在2009开发研制的轻量级分组密码算法,它广泛用于电子标签和传感器网络等环境.本文给出了对MIBS算法Integral攻击的4.5轮区分器,利用该区分器对MIBS算法进行了8轮和9轮的Integral攻击,并利用密钥编排算法中轮密钥之间的关系,结合“部分和”技术降低了攻击的时间复杂度.攻击结果如下:攻击8轮MIBS-64的数据复杂度和时间复杂度分别为238.6和224.2;攻击9轮MIBS-80的数据复杂度和时间复杂度分别为239.6和268.4.本文攻击的数据复杂度和时间复杂度都优于穷举攻击.这是对MIBS算法第一个公开的Integral攻击.