轻型分组密码LED代数故障攻击方法

针对CHES 2011会议上提出的轻型分组密码LED,给出了一种代数故障攻击方法。首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后基于单比特故障模型根据算法故障密文得到差分故障信息,并转换为额外的代数方程组;最后利用CryptoMiniSAT解析器求解密钥。实验结果表明,针对LED算法代数故障攻击优于传统的差分故障分析,第30轮一次故障注入即可在122 s内恢复LED 64 bit完整密钥。     

LiCi密码的差分故障攻击

LiCi轻量级分组密码算法是2017年提出的一种新型密码算法,其具有结构微小、消耗能量少等优点,适用于物联网等资源受限的环境。在 LiCi 的设计文档中,对该算法抵御差分攻击和线性攻击的能力进行了分析,但LiCi算法对于差分故障攻击的抵抗能力尚未得到讨论。针对LiCi算法每轮迭代的移位规律,在第31轮迭代时的左半侧多次注入单比特故障,结合其差分性质,可以恢复32 bit长度的轮密钥。根据LiCi算法的密钥编排方案,再对第 30、29、28、27、26 轮迭代进行同样的差分故障攻击,最终可以恢复全部原始密钥。该攻击共需要48个单比特故障,计算复杂度为2³²,说明LiCi算法难以抵抗差分故障攻击。     

改进的SMS4算法差分故障与暴力联合攻击

研究了SMS4对差分故障和暴力联合攻击的安全性.这种联合攻击利用传统的故障模型、采用一种简化的差分故障攻击与暴力攻击相结合的方法.在实验中,用该攻击方法不到1分钟就可以恢复出128位的SMS4种子密钥,实验结果表明,SMS4密码算法很难防范这种利用差分故障和暴力攻击的联合攻击.该类型攻击对SMS4具有很大威胁,所以使用SMS4密码算法时,必须对轮函数相关运算进行保护.     

针对AES分组密码S盒的差分故障分析

研究了AES分组密码对差分故障攻击的安全性,攻击采用面向字节的随机故障模型,结合差分分析技术,通过在AES第8轮列混淆操作前导入随机单字节故障,一次故障导入可将AES密钥搜索空间由2128降低到232.3,在93.6%的概率下,两次故障导入无需暴力破解可直接恢复128位AES密钥.数学分析和实验结果表明:分组密码差分S盒取值的不完全覆盖性为差分故障分析提供了可能性,而AES密码列混淆操作良好的扩散特性极大的提高了密钥恢复效率,另外,本文提出的故障分析模型可适用于其它使用S盒的分组密码算法.     

针对流密码LEX的差分故障攻击及算法改进分析

分析了针对LEX算法的差分故障攻击。为增强LEX抗差分故障攻击的能力,采取将每组轮密钥异或一个128比特随机序列的方法,对其进行了改进。在此基础上,分析了改进算法的安全性和运算速度,并用一个实例仿真检验了改进算法的密钥流随机性。结果表明,改进的LEX算法能够抵抗差分故障攻击,并具备与原LEX算法相同的运算速度和密钥流随机性,提高了LEX算法的密码性能。     

针对PRESENT分组密码算法的代数分析*

本文研究针对PRESENT分组密码的代数分析。通过使用S盒的表达式形式,构建出多轮PRESENT加密中的代数方程组。这种构建方程的方法被推广到具有小型S盒的典型SPN型分组密码算法的方程构建问题中。文中还对简化的PRESENT算法进行了攻击实验。采用MiniSAT作为攻击过程中的求解工具,对4轮、6轮PRESENT加密进行实际攻击。可以在一分钟之内恢复4轮加密的所有密钥,数小时内恢复6轮加密的密钥。并且通过引入了差分思想,首次将有效攻击轮数提高到8轮。     

SMS4密码算法的差分故障攻击

SMS4是用于WAPI的分组密码算法，是国内官方公布的第一个商用密码算法．由于公布时间不长，关于它的安全性研究尚没有公开结果发表．该文研究SMS4密码算法对差分故障攻击的安全性．攻击采用面向字节的随机故障模型，并且结合了差分分析技术．该攻击方法理论上仅需要32个错误密文就可以完全恢复出SMS4的128比特种子密钥．因为实际中故障发生的字节位置是不可能完全平均的，所以实际攻击所需错误密文数将略大于理论值；文中的实验结果也验证了这一事实，恢复SMS4的128bit种子密钥平均大约需要47个错误密文．文章结果显示SMS4对差分故障攻击是脆弱的．为了避免这类攻击，建议用户对加密设备进行保护，阻止攻击者对其进行故障诱导．     

AES差分故障攻击的建模与分析

研究高级加密标准(AES)密码算法对差分故障攻击的安全性。攻击采用针对密钥扩展算法的单字节随机故障模型,通过对比正确和错误密文的差异恢复种子密钥。该攻击方法理论上仅需104个错误密文和2个末轮子密钥字节的穷举搜索就可完全恢复AES的128比特种子密钥。故障位置的不均匀分布使实际攻击所需错误密文数与理论值略有不同。     

分组密码FBC的差分分析

FBC是一种轻量级分组密码算法,由于结构简单、软硬件实现灵活等优点成为2018年中国密码学会(CACR)举办的全国密码算法设计竞赛中晋级到第2轮的10个算法之一.FBC密码包含3个版本支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥,本文主要对分组长度128位的两个版本进行分析.我们基于SAT (Boolean satisfiability problem)模型对FBC的差分特征进行自动化搜索,得到了新的14轮差分路线,概率为2^-102.25.基于此路线我们给出了18轮FBC128-128和20轮FBC128-256差分分析,并且在分析过程中给出了复杂度估计.对于18轮FBC128-128差分分析,时间复杂度和存储复杂度分别为2^101.5和2⁵².对于20轮FBC128-256差分分析时间复杂度和存储复杂度分别为2¹⁸⁴和2⁹⁶.     

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击.实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥.因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护.     

Improved differential fault analysis on PRESENT-80/128

PRESENT is a hardware-optimized 64-bit lightweight block cipher which supports 80- and 128-bit secret keys. In this paper, we propose a differential fault analysis (DFA) on PRESENT-80/128. The proposed attack is based on a 2-byte random fault model. In detail, by inducing several 2-byte random faults in input registers after 28 rounds, our attack recovers the secret key of the target algorithm. From simulation results, our attacks on PRESENT-80/128 can recover the secret key by inducing only two and three 2-byte random faults, respectively. These are superior to known DFA results on them.     

物联网环境下LED轻量级密码算法的安全性分析

LED算法是于2011年CHES会议中提出的一种新型轻量级密码算法,用于在物联网环境下保护RFID标签以及智能卡等设备的通信安全.文中提出并讨论了一种针对LED算法的差分故障攻击方法.该方法采用面向半字节的随机故障模型,通过在LED算法中导入故障,分别仅需要3个错误密文和6个错误密文,即可恢复LED算法的64bit和128bit原始密钥.实验结果表明,针对LED算法的差分故障攻击方法不仅扩展了故障诱导的攻击范围,而且提高了故障诱导的效率,减少了错误密文数,从而为故障攻击其它轻量级密码算法提供了一种通用的分析手段.     

Differential fault analysis on Camellia

Camellia is a 128-bit block cipher published by NTT and Mitsubishi in 2000. On the basis of the byte-oriented model and the differential analysis principle, we propose a differential fault attack on the Camellia algorithm. Mathematical analysis and simulating experiments show that our attack can recover its 128-bit, 192-bit or 256-bit secret key by introducing 30 faulty ciphertexts. Thus our result in this study describes that Camellia is vulnerable to differential fault analysis. This work provides a new reference to the fault analysis of other block ciphers.     

针对CLEFIA的多字节差分故障分析

研究CLEFIA分组密码对多字节差分故障分析的安全性,给出CLEFIA分组密码算法及故障分析原理。根据在第r轮、r-1轮、 r-2轮注入多字节故障的3种条件,提出一种新的针对CLEFIA的多字节故障模型及分析方法。通过仿真实验进行验证,结果表明,由于其Feistel结构和S盒特性,CLEFIA易遭受多字节故障攻击,6~8个错误密文可恢复128 bit的CLEFIA密钥。     

分组密码AES-128的差分故障攻击

AES是美国数据加密标准的简称,又称Rijndael加密算法。它是当今最著名且在商业和政府部门应用最广泛的算法之一。AES有三个版本,分别是AES-128,AES-19和AES-AES的分析是当今密码界的一个热点,文中使用差分故障攻击方法对AES进行分析。差分故障攻击假设攻击者可以给密码系统植入错误并获得正确密文和植入故障后密文,通过对两个密文分析比对从而得到密钥。文中提出了对AES-128的两种故障攻击方法,分别是在第8轮和第7轮的开始注入故障。两个分析方法分别需要2个和4个故障对。数据复杂度分别为2^34（2^112）次猜测密钥。     

Differential fault analysis on the ARIA algorithm

The ARIA algorithm is a Korean Standard block cipher, which is optimized for lightweight environments. On the basis of the byte-oriented model and the differential analysis principle, we propose a differential fault attack on the ARIA algorithm. Mathematical analysis and simulating experiment show that our attack can recover its 128-bit secret key by introducing 45 faulty ciphertexts. Simultaneously, we also present a fault detection technique for protecting ARIA against this proposed analysis. We believe that our results in this study will also be beneficial to the analysis and protection of the same type of other iterated block ciphers.     

A fast correlation attack on LILI-128

In this paper we demonstrate a fast correlation attack on the recently proposed stream cipher LILI-128. The attack has complexity around 2⁷¹ bit operations assuming a received sequence of length around 2³⁰ bits and a precomputation phase of complexity 2⁷⁹ table lookups. This complexity is significantly lower than 2¹¹², which was conjectured by the inventors of LILI-128 to be a lower bound on the complexity of any attack.     

Differential Fault Analysis on SMS4 using a single fault

Differential Fault Analysis (DFA) attack is a powerful cryptanalytic technique that could be used to retrieve the secret key by exploiting computational errors in the encryption (decryption) procedure. In this paper, we propose a new DFA attack on SMS4 using a single fault. We show that if a random byte fault is induced into either the second, third, or fourth word register at the input of the 28-th round, the 128-bit key could be recovered with an exhaustive search of 22.11 bits on average. The proposed attack makes use of the characteristic of the cipher's structure and its round function. Furthermore, it can be tailored to any block cipher employing a similar structure and an SPN-style round function as that of SMS4.     

对一个混沌伪随机序列发生器的已知明文攻击

伪随机序列发生器和基于它设计的混沌流密码的安全性都具有明显的信息泄漏规律，据此提出对二者的已知明文攻击和相关密钥攻击，证明了它们都是不安全的。在主频为2.5GHz的Pentium 4 PC机上，对密钥规模为64bits伪随机数发生器的已知明文攻击，平均攻击时间为48s，成功率为0.75；而应用相关密钥攻击方法，实现对具有64bits密钥的伪随机数发生器的攻击，平均需要39s，成功率为0.99，实现对密钥规模为128bits的混沌流密码的攻击，平均需要为2min7s，成功率为0.95。     

Differential Attack on Five Rounds of the SC2000 Block Cipher<Superscript>*</Superscript>

The SC2000 block cipher has a 128-bit block size and a user key of 128,192 or 256 bits,which employs a total of 6.5 rounds if a 128-bit user key is used.It is a CRYPTREC recommended e-government cipher in Japan.In this paper we address how to recover the user key from a few subkey bits of SC2000,and describe two 4.75-round differential characteristics with probability 2-126 of SC2000 and seventy-six 4.75-round differential characteristics with probability 2-127.Finally,we present a differential cryptanalysis attack on a 5-round reduced version of SC2000 when used with a 128-bit key;the attack requires 2-125.68 chosen plaintexts and has a time complexity of 2 125.75 5-round SC2000 encryptions.The attack does not threat the security of the full SC2000 cipher,but it suggests for the first time that the safety margin of SC2000 with a 128-bit key decreases below one and a half rounds.