基于比特可分性的PRIDE和RoadRunneR积分区分器搜索

PRIDE和RoadRunneR是近几年提出的两种轻量级分组密码算法,在2016 亚密会上,向泽军等人提出利用基于比特可分性的MILP（混合整数线性规划）模型搜索积分区分器。利用该思想,针对两种不同类型的轻量级分组密码算法,为了评估该算法积分性质,验证新方法的实用性,根据其不同密码算法结构分别建立MILP模型,利用Gurobi优化器求解此模型,搜索可用的积分区分器。结果分别得到9轮和5轮的积分区分器,是PRIDE和RoadRunneR目前已知最长的积分区分器,利用该区分器可进行更多轮的积分攻击。     

基于比特可分性的BORON和Khudra积分区分器搜索

分别针对近年来提出的SPN结构的BORON密码算法和Feistel结构的Khudra密码算法进行积分性质的评估。根据各自算法线性层和非线性层的结构,建立基于比特可分性的混合整数线性规划（MILP）模型。根据最终搜索的目标轮数生成相应的目标函数,利用Gurobi优化器进行求解,并进行积分区分器的搜索,分别得到了BORON算法的6轮积分区分器和Khudra算法的7轮积分区分器,均是目前已知的最长区分器。利用积分区分器,可以对密码算法进行更多轮数的积分性质的评估。     

CRAFT算法基于比特可分性的积分区分器搜索

CRAFT算法是一种新型SPN结构的类AES型轻量级可调分组密码算法,可以有效地抵抗差分故障攻击.为了对CRAFT算法抵抗积分攻击的能力进行评估,采用基于混合整数线性规划(MILP)的方法自动化搜索比特可分性的工具,对CRAFT算法的积分区分器进行搜索,搜索到了最长为12轮的积分区分器,同时得到一条平衡比特数最多的9轮积分区分器.这是目前为止对该算法获得的最长区分器,同时利用这些积分区分器可以对算法进行更多轮的密钥恢复攻击.     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先,研究了PICO密码算法的结构,并结合可分性质的思想构造其混合整数线性规划（MILP）模型;然后,根据设置的约束条件生成用于描述可分性质传播规则的线性不等式,并借助数学软件求解MILP问题,从目标函数值判断构建积分区分器成功与否;最终,实现对PICO算法积分区分器的自动化搜索。实验结果表明,搜索到了PICO算法目前为止最长的10轮积分区分器,但由于可利用的明文数太少,不利于密钥恢复。为了取得更好的攻击效果,选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥,攻击的数据复杂度为2^63.46,时间复杂度为2⁷⁶次11轮算法加密,存储复杂度为2²⁰。     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先，研究了PICO密码算法的结构，并结合可分性质的思想构造其混合整数线性规划（MILP）模型；然后，根据设置的约束条件生成用于描述可分性质传播规则的线性不等式，并借助数学软件求解MILP问题，从目标函数值判断构建积分区分器成功与否；最终，实现对PICO算法积分区分器的自动化搜索。实验结果表明，搜索到了PICO算法目前为止最长的10轮积分区分器，但由于可利用的明文数太少，不利于密钥恢复。为了取得更好的攻击效果，选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥，攻击的数据复杂度为2^63.46，时间复杂度为2⁷⁶次11轮算法加密，存储复杂度为2²⁰。     

一类SP结构的不可能差分区分器证明

针对分组密码SP结构的不可能差分区分器轮数的下界进行证明,提出的方法使用线性代数的理论,对系数矩阵P及P-1进行分析,提出了系数矩阵部分子空间存在两个行向量线性相关时,可证明至少存在四轮不可能差分区分器。uBlock算法是SPN结构,提出的方法对uBlock算法进行了分析验证,说明了结论的正确性,进一步,使用该算法搜索到比uBlock算法设计文档更多的不可能差分区分器。针对SPN结构线性扩散层P,使用了本原指数的概念,使用线性扩散层P的本原指数对SPN结构不可能差分的轮数进行论证。分析结果表明,分组密码SP结构至少存在四轮不可能差分区分器。     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

基于MILP的PICO算法差分和线性区分器的搜索

PICO算法是由Bansod等人在2016年提出的一种基于替换和排列的SPN网络的轻量级分组密码.目前针对PICO算法抵抗差分和线性分析的能力还有待进一步评估.本文基于MILP模型,首先利用不等式组对各组件的差分特征和线性掩码的传播规律进行了精细的刻画,其次针对密码算法的结构特点及S盒特性,对该模型进行了优化,缩小了搜索空间,并提出了针对PICO算法有效的两步搜索算法.最后利用该算法,搜索到了3条新的概率为2^-63的21轮差分区分器,并首次搜索到了3条相关度为2^-30的20轮线性区分器,为当前公开发表的最长线性区分器.     

CHAM算法的安全性分析

本文主要研究基于ARX结构的轻量级分组密码CHAM算法,利用不可能差分分析、零相关线性分析对其进行安全性分析.首先,利用线性不等式组对算法的每个组件进行等价刻画,描述了差分特征和线性掩码的传播规律,建立了基于MILP(混合整数规划问题)的不可能差分和零相关线性自动化搜索模型.其次,根据CHAM算法四分支广义Feistel结构的特点,得到CHAM算法特定形式(输入或者输出差分(掩码)仅含有一个非零块)下的最长不可能差分路径和零相关线性路径具有的性质,优化了搜索策略,缩小了搜索空间.最后,利用搜索算法,遍历特定的输入输出集合,共得到CHAM-64的5条19轮不可能差分区分器,CHAM-128的1条18轮不可能差分区分器和15条19轮零相关线性区分器,均为目前公开发表的最长同类型区分器.     

基于代数结构视角对轻量分组密码WARP的积分分析

在融合了物联网、5G网络等新一代信息技术的工业互联网中，底层终端设备产生海量数据.数据安全传输的需求使得针对资源受限环境所设计的轻量级密码得到广泛应用.对新提出的轻量级密码进行安全性评估对于保障工业互联网的安全运行至关重要.发现了某种特定结构加密算法基于多变量多项式的积分性质，利用该性质得到了更长积分区分器，改进了基于代数结构的分析方法.提出了基于代数结构构造SPN(substitution permutation network)和Feistel-SP结构分组密码积分区分器的框架，并将其应用于SAC 2020会议上提出的轻量分组密码WARP的分析上，构造了2个复杂度为2¹¹⁶的22轮积分区分器，比设计者给出的区分器多了2轮，并且复杂度更低.利用该积分区分器，实现26轮密钥恢复攻击，比设计者给出的密钥恢复攻击增加了5轮，这是目前在单密钥情境下对WARP最好的攻击结果.此外，还对18轮积分区分器进行了实验验证，运算复杂度为2³².     

Known-key distinguishers on type-1 Feistel scheme and near-collision attacks on its hashing modes

We present some known-key distinguishers for a type-1 Feistel scheme with a permutation as the round function. To be more specific, the 29-round known-key truncated differential distinguishers are given for the 256-bit type-1 Feistel scheme with an SP (substitution-permutation) round function by using the rebound attack, where the S -boxes have perfect differential and linear properties and the linear diffusion layer has a maximum branch number. For two 128-bit versions, the distinguishers can be applied on 25-round structures. Based on these distinguishers, we construct near-collision attacks on these schemes with MMO (Matyas-Meyer-Oseas) and MP (Miyaguchi-Preneel) hashing modes, and propose the 26-round and 22-round near-collision attacks for two 256-bit schemes and two 128-bit schemes, respectively. We apply the near-collision attack on MAME and obtain a 26-round near-collision attack. Using the algebraic degree and some integral properties, we prove the correctness of the 31-round known-key integral distinguisher proposed by Sasaki et al. We show that if the round function is a permutation, the integral distinguisher is suitable for a type-1 Feistel scheme of any size.     

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2⁴⁰个明密文对,时间复杂度为2^67.85次10轮加密运算,11轮积分攻击的数据复杂度为2^40.09个明密文对,时间复杂度为2^117.37次11轮加密运算。     

新的低轮Keccak线性结构设计

针对Keccak算法S盒层线性分解的问题,提出一种新的线性结构构造方法,该方法主要基于Keccak算法S盒代数性质。首先,S盒层的输入比特需要固定部分约束条件,以确保状态数据经过这种线性结构仍具有线性关系;然后再结合中间相遇攻击的思想给出新的低轮Keccak算法零和区分器的构造方法。实验结果表明：新的顺1轮、逆1轮零和区分器可以完成目前理论上最好的15轮Keccak的区分攻击,且复杂度降低至2²⁵⁷;新的顺1轮、逆2轮零和区分器具有自由变量更多、区分攻击的组合方式更丰富等优点。     

Zodiac算法的零相关-积分攻击

Zodiac算法是一种由一批韩国学者设计的分组密码算法,它是16轮平衡Feistel型的分组密码。首次从零相关-积分分析的角度评价了Zodiac算法的安全性,构造出算法的两类13轮零相关线性逼近,并据此给出了13轮零相关-积分区分器,对全轮Zodiac算法进行了零相关-积分分析,成功恢复出了144bit轮子密钥信息。结果显示:完整16 轮Zodiac-128/192/256算法的零相关-积分攻击的数据复杂度为2¹²⁰个选择明文,时间复杂度大约为2⁸²次16轮Zodiac算法加密,时间复杂度明显优于已有的积分攻击结果。