用于大状态分组密码的深度学习辅助密钥恢复框架

深度学习辅助密钥恢复攻击是2019年International Cryptology Conference (CRYPTO)上提出的一项全新密码分析技术.针对该技术至今无法应用于大状态分组密码的缺陷,本文提出了一种深度学习辅助的多阶段密钥恢复框架.该框架的核心是找到一个神经区分器组合,分阶段进行密钥恢复攻击.本文首先针对Speck的大状态成员分别训练了一组神经区分器,通过在该框架下利用区分器组合,设计并执行了实际密钥恢复攻击,证实了该框架的有效性.然后,提出了一种在低概率差分中寻找中性比特的方法,来把实际攻击扩展成覆盖更长轮数的理论攻击.最终,针对缩减轮Speck的最大状态成员取得了更好的密钥恢复攻击.这项工作为使用深度学习对更多分组密码进行密码分析铺平了道路.本文的验证代码已开源至https://github.com/AI-Lab-Y/NAAF.     

对轻量级分组密码PICO算法的差分攻击

PICO算法是一个SP结构的迭代型轻量级密码算法,目前对该算法的差分分析和相关密钥分析研究尚未完善.本文借助自动化搜索技术,设计了一套基于SAT方法搜索SP结构算法差分路径和差分闭包的自动化工具,构建了搜索约减轮PICO算法差分路径以及差分闭包的SAT模型,评估了PICO算法抵抗差分攻击的能力,提供了比之前分析结果更准确的安全评估.给出了1–22轮PICO算法的最优差分路径及其概率;搜索到概率为2^-60.75的21轮差分闭包和概率为2^-62.39的22轮差分闭包;实现了26轮PICO算法的密钥恢复攻击,攻击的时间复杂度为2^101.106,数据复杂度为2⁶³,存储复杂度为2⁶³.研究了PICO算法抵抗相关密钥攻击的能力,发现PICO算法的密钥编排算法存在缺陷,构建了任意轮概率为1的相关密钥区分器,给出了全轮PICO算法的密钥恢复攻击.所提模型适用于其他轻量级密码算法,尤其是拥有更长的分组或者轮数更多的分组密码算法.     

流密码Grain-128密钥恢复攻击及改进

流密码Grain-128是Grain v1算法的密钥增长版本。为探讨流密码Grain-128的安全性,指出Grain-128密钥流生成器的3个布尔函数的设计缺陷,在此基础上给出流密码Grain-128一种基于密钥流生成器中间内部状态的密钥恢复攻击。该攻击的计算复杂度和空间复杂度都为O(256)。为了抵抗该攻击,对Grain-128密钥流生成器的设计进行了改进。安全性分析表明,改进后的流密码Grain-128能够抵抗所提出的密钥恢复攻击。     

多轮EM结构的量子差分碰撞密钥恢复攻击

量子算法的发展和应用对密码算法的设计和分析产生了深远的影响,其中Grover量子算法和Simon量子算法在密码安全性评估中应用较多,但作为生日碰撞攻击量子化的BHT(Brassard,Hyer,Tapp)量子算法,还没有得到具体应用,研究BHT量子算法对密码算法的分析具有重要意义.通过对多轮EM(Even,Mansour)结构进行分析,研究了经典条件和量子条件下的碰撞搜索算法与差分密钥恢复攻击的结合,对多轮EM结构进行了差分碰撞密钥恢复攻击,并从BHT量子算法的角度进行量子化.结果表明,经典条件下,当差分传递概率2-p≥2-n/2时,r轮EM结构的差分密钥恢复攻击时间复杂度从O(2p+n)降到O(2p+n/2),速度快了2n/2倍.量子条件下,当差分传递概率2-p>2-n/3时,结合BHT量子算法的差分碰撞密钥恢复攻击时间复杂度要优于基于Grover量子算法的差分密钥恢复攻击,显示了BHT量子算法在具体密码分析中的有效性.     

特洛依木马攻击下的量子密码安全性

研究了特洛伊木马对量子密码算法的攻击.首先分析了以EPR纠缠量子比特为密钥的量子密码算法在特洛伊木马攻击下的脆弱性.在此基础上,基于非正交纠缠量子比特提出了一个改进方案.该方案能有效地防止特洛伊木马的攻击.     

对全轮3D分组密码算法的Biclique攻击

3D算法是CANS 2008会议上提出的一种代替-置换网络型分组密码算法.该文通过构造3D算法的Biclique结构,提出了对全轮3D算法的Biclique攻击.该攻击可以扩展为对r轮3D算法的一般化Biclique攻击(r10).结果表明,Biclique攻击数据复杂度为232个选择密文,在时间复杂度上优于穷举.     

Rijndael分组密码与差分攻击

深入研究了Rijndael分组密码,将字节代替变换中的有限域GF(28)上模乘求逆运算和仿射变换归并成了一个8×8的S盒,将圈中以字节为单位进行的行移位、列混合、密钥加三种运算归并成了一个广义仿射变换.基于归并将Rijndael密码算法了进行简化,结果表明Rijndael密码实质上是一个形如仿射变换Y=A(?)S(X)(?)K的非线性迭代算法,并以分组长度128比特、密钥长度128比特作为特例,给出了二轮Rijndael密码的差分攻击.文中还给出了Rijndael密码算法的精简描述,并指出了算法通过预计算快速实现的有效方法.     

基于周期性质的新型密钥恢复攻击方法

针对Feistel, Misty与Type-1/2型广义Feistel等结构, 创新性地将Simon算法的周期性质与生日攻击思想相结合, 提出一种新型传统密钥恢复攻击. 与Simon算法可以在多项式时间内恢复周期值不同, 在传统计算环境下至少需要生日攻击界才能恢复出对应的周期值. 利用所提方法, 可以在${\rm{O}}({2^{n/4}})$的选择明文和密文条件下, 以${\rm{O}}({2^{3n/4}})$的时间复杂度恢复出5轮Feistel-F结构的密钥, 对应的存储复杂度为${\rm{O}}({2^{n/4}})$. 上述结果比Isobe和Shibutani的工作结果多扩展1轮, 并且所需的存储复杂度也更少. 对于Feistel-FK结构, 构造7轮密钥恢复攻击. 此外, 还将上述方法应用于构造Misty结构和Type-1/2型广义Feistel结构的密钥恢复攻击. 对于不同的Misty密码方案, 分别给出5轮Misty L-F和Misty R-F结构的密钥恢复攻击, 以及6轮Misty L-KF/FK和Misty R-KF/FK结构的密钥恢复攻击. 对于$d$分支Type-1型广义Feistel结构, 给出${d^2}$轮的密钥恢复攻击. 当d≥6时, 对于d分支Type-2型广义Feistel结构的新型密钥恢复攻击轮数会优于现有密钥恢复攻击轮数.     

流密码算法Grain 的立方攻击

Dinur和Shamir在2009年欧洲密码年会上提出了立方攻击的密码分析方法.Grain算法是欧洲序列密码工程eSTREAM最终入选的3个面向硬件实现的流密码算法之一,该算法密钥长度为80比特,初始向量(initial vector,简称IV)长度为64比特,算法分为初始化过程和密钥流产生过程,初始化过程空跑160拍.利用立方攻击方法对Grain算法进行了分析,在选择Ⅳ攻击条件下,若算法初始化过程空跑70拍,则可恢复15比特密钥,并找到了关于另外23比特密钥的4个线性表达式;若算法初始化过程空跑75拍,则可恢复1比特密钥.     

一个混沌分组密码算法的分析*

研究了一个基于混沌设计的分组密码算法的安全性,发现该算法所产生的混沌序列具有前几个值对混沌初态和参数的低位比特变化不够敏感的性质,在选择明文攻击条件下,提出了攻击加密算法等效密钥的分割攻击方法。分组密码算法的密钥长度为106 bit,分割攻击方法的计算复杂性约为260,存储复杂性约为250,成功率为0.928 4。     

Simon量子算法攻击下的可调加密方案研究

随着量子计算机和量子计算技术的迅速发展,量子算法对密码系统安全性的威胁迫在眉睫。之前的研究表明,许多经典安全的对称密码结构或方案在基于Simon算法的量子攻击下不安全,例如3轮Feistel结构、Even-Mansour结构、CBC-MAC、GCM和OCB等方案。可调加密方案通常设计为分组密码工作模式,用于磁盘扇区加密,其结构可以分为Encrypt-MaskEncrypt (CMC、EME、EME^*等)、Hash-CTR-Hash (XCB、HCTR、HCH等)和Hash-ECB-Hash (PEP、TET、HEH等)三种类型。本文利用Simon算法,对HCTR、HCH、PEP和HEH四种可调加密方案进行了分析,研究结果表明这四种可调加密方案在选择明文量子攻击下是不安全的,使用多项式次的量子问询即可得到与方案秘密值有关的周期函数的周期,进而将其和可调随机置换区分开来。对于利用Simon算法对可调加密方案的攻击,构造周期函数是关键。一般基于两种特殊形式的可调加密方案构造周期函数:一种是固定调柄,一种是变化调柄。本文用变化调柄的方法给出了对CMC和TET两种可调加密方案更简洁的量子攻击方法。通过对比分析,固定调柄和变化调柄两种不同的Simon量子攻击方式得到的周期不同,可结合得到进一步的结果。最后本文从固定调柄和变化调柄的角度对可调加密方案的一般量子攻击方法进行了总结,并给出了对基于泛哈希函数可调加密方案(Hash-CTR-Hash和Hash-ECB-Hash)的通用攻击。     

LEX算法的相关密钥攻击

LEX算法是入选欧洲序列密码工程eSTREAM第三阶段的候选流密码算法之一,在分组密码算法AES的基础上进行设计。为此,针对LEX算法进行基于猜测决定方法的相关密钥攻击,在已知一对相关密钥各产生239.5个字节密钥流序列的条件下,借助差分分析的思想和分组密码算法AES轮变换的性质,通过穷举2个字节密钥值和中间状态的8个字节差分恢复出所有候选密钥,利用加密检验筛选出正确的密钥。分析结果表明,该密钥攻击的计算复杂度为2100.3轮AES加密、成功率为1。     

轻量级分组密码算法DoT的模板攻击

模板攻击是一种重要的侧信道分析方法,其在实际密码算法破译中具有较强的区分能力.轻量级分组密码算法DoT在硬件和软件实现中都表现出优秀的性能,尽管目前针对DoT算法的传统数学攻击已经取得了一定效果,但是该算法在具体实现中是否足以抵御侧信道攻击仍有待研究.基于DoT算法结构及其S盒特点,提出一种针对DoT算法的模板攻击方法...     

从DES算法论分组密码的设计原则

分组密码一直是解决信息系统安全问题的常用技术方法。尽管作为分组密码典型代表的DES算法目前已被更为安全的Rijndael算法取代,但其中所体现的设计思想和设计原则依然值得研究和借鉴。文中以DES加密算法为例,在分析DES加密过程、密钥计算、加密函数和解密过程的基础上,探讨分组密码的设计原则。指出组件结构标准化原则、算法和密钥分离原则、扩散和混淆原则以及均匀性和随机性原则是现代分组密码设计的基本原则。这些原则是现代分组密码设计的出发点。     

从DES算法论分组密码的设计原则

分组密码一直是鹪决信息系统安全问题的常用技术方法.尽管作为分组密码典型代表的DES算法目前已被更为安全的Rijndael算法取代,但其中所体现的设计思想和设计原则依然值得研究和借鉴.文中以DES加密算法为例,在分析DES加密过程、密钥计算、加密函数和解密过程的基础上,探讨分组密码的设计原则.指出组件结构标准化原则、算法和密钥分离原则、扩散和混淆原则以及均匀性和随机性原则是现代分组密码设计的基本原则.这些原则是现代分组密码设计的出发点.