CIKS-128分组算法的相关密钥-差分攻击

分析研究了CIKS-128分组密码算法在相关密钥-差分攻击下的安全性.利用DDP结构和非线性函数的差分信息泄漏规律构造了一条高概率相关密钥-差分特征,并给出攻击算法,恢复出了192bit密钥;在此基础上,对剩余64bit密钥进行穷举攻击,恢复出了算法的全部256bit密钥.攻击所需的计算复杂度为2⁷⁷次CIKS-128算法加密,数据复杂度为2⁷⁷个相关密钥-选择明文,存储复杂度为2^25.4字节存储空间.分析结果表明,CIKS-128算法在相关密钥-差分攻击条件下是不安全的.     

Eagle-128算法的相关密钥-矩形攻击

该文利用高次DDO(Data Dependent Operations)结构的差分重量平衡性和SPN结构的高概率差分对构造了Eagle-128分组密码算法的两条5轮相关密钥-差分特征,通过连接两条5轮特征构造了完全轮相关密钥-矩形区分器,并对算法进行了相关密钥-矩形攻击,恢复出了Eagle-128算法的64 bit密钥。攻击所需的数据复杂度为281.5个相关密钥-选择明文,计算复杂度为2106.7次Eagle-128算法加密,存储复杂度为250 Byte存储空间,成功率约为0.954。分析结果表明,Eagle-128算法在相关密钥-矩形攻击条件下的有效密钥长度为192 bit。     

MD-64算法的相关密钥-矩形攻击

该文针对MD-64分组密码算法在相关密钥-矩形攻击下的安全性进行了研究。分析了算法中高次DDO (Data Dependent Operations)结构、SPN结构在输入差分重量为1时的差分转移规律,利用高次DDO结构的差分特性和SPN结构重量为1的差分路径构造了算法的两条相关密钥-差分路径,通过连接两条路径构造了算法的完全轮的相关密钥-矩形区分器,并对算法进行了相关密钥-矩形攻击,恢复出了32 bit密钥。攻击算法所需的数据复杂度为262相关密钥-选择明文,计算复杂度为291.6次MD-64算法加密,存储复杂度为266.6 Byte存储空间,成功率约为0.961。分析结果表明,MD-64算法在相关密钥-矩形攻击条件下的安全性无法达到设计目标。     

MIBS-80的13轮不可能差分分析

该文首次对13轮MIBS-80算法进行了不可能差分分析。首先基于MIBS-80中S盒的不可能差分筛选明文对,其次通过第1轮轮密钥与第2轮轮密钥、第1轮轮密钥与第13轮轮密钥之间的制约关系进一步筛选明文对。该文的攻击排除掉的明文对数量是已有的不可能差分攻击排除掉的明文对数量的218.2倍,因而同时降低了攻击的存储复杂度和时间复杂度。此外,该文多次利用查表的方法求出攻击中涉及的密钥,进一步降低了攻击所需的时间复杂度和存储复杂度。最后,该文利用独立的80 bit轮密钥来恢复主密钥,确保得到正确密钥。该文的攻击需要260.1个选择明文,269.5次13轮加密,存储量为271.2个64 bit,该结果优于已有的不可能差分攻击。     

数字视频广播通用加扰算法的不可能差分分析

数字视频广播通用加扰算法(DVB-CSA)是一种混合对称加密算法,由分组密码加密和流密码加密两部分组成。该算法通常用于保护视讯压缩标准(MPEG-2)中的信号流。主要研究DVB-CSA分组加密算法(DVB-CSA-Block Cipher, CSA-BC)的不可能差分性质。通过利用S盒的具体信息,该文构造了CSA-BC的22轮不可能差分区分器,该区分器的长度比已有最好结果长2轮。进一步,利用构造的22轮不可能差分区分器,攻击了缩减的25轮CSA-BC,该攻击可以恢复24 bit种子密钥。攻击的数据复杂度、时间复杂度和存储复杂度分别为253.3个选择明文、232.5次加密和224个存储单元。对于CSA-BC的不可能差分分析,目前已知最好结果能够攻击21轮的CSA-BC并恢复16 bit的种子密钥量。就攻击的长度和恢复的密钥量而言,该文的攻击结果大大改进了已有最好结果。     

LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^65.2和2^65.6个选择明文,计算复杂度分别为2^66.2次23轮LBlock算法加密和2^66.6次24轮LBlock算法加密,存储复杂度分别为2^61.2和2^77.2字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.     

轻量级分组密码算法ESF的相关密钥不可能差分分析

八阵图算法(ESF)是一种具有广义Feistel结构的轻量级分组密码算法,可用在物联网环境下保护射频识别(RFID)标签等资源受限的环境中,目前对该算法的安全性研究主要为不可能差分分析。该文通过深入研究S盒的特点并结合ESF密钥扩展算法的性质,研究了ESF抵抗相关密钥不可能差分攻击的能力。通过构造11轮相关密钥不可能差分区分器,在此基础上前后各扩展2轮,成功攻击15轮ESF算法。该攻击的时间复杂度为240.5次15轮加密,数据复杂度为261.5个选择明文,恢复密钥比特数为40 bit。与现有结果相比,攻击轮数提高的情况下,时间复杂度降低,数据复杂度也较为理想。     

对TweAES的相关调柄多重不可能差分攻击

TweAES算法是在NIST轻量级密码标准竞赛中,进入到第2轮的认证加密候选算法。该文提出了对8轮TweAES算法的相关调柄多重不可能差分攻击。首先,利用两类不可能差分区分器,构造了两条攻击路径,每条攻击路径需要攻击16 Byte子密钥。值得注意的是,两条攻击路径有相同的明文结构和14 Byte的公共子密钥,攻击者可以利用同一个明文结构下的明文对,筛选两次错误子密钥,且因为有大量的公共子密钥,可以提高子密钥筛选的效率。此外,利用密钥生成算法的不完全性,有针对性地选择子密钥字节。利用子密钥之间的相关性,提高主密钥恢复效率,从而改进整体攻击方案的结果。与前人的分析结果相比较,该文对8轮TweAES的攻击方案在时间、数据、存储3项复杂度结果上均有所改进。     

SHACAL-2算法的差分故障攻击

该文采用面向字的随机故障模型,结合差分分析技术,评估了SHACAL-2算法对差分故障攻击的安全性。结果显示:SHACAL-2算法对差分故障攻击是不免疫的。恢复出32 bit子密钥的平均复杂度为8个错误密文,完全恢复出512 bit密钥的复杂度为128个错误密文。     

轻量级加密算法mCrypton的不可能差分分析

物联网和RFID等设备的普及给密码学提出了新的要求,为了能够在资源受限的传感节点上实施通信保护和隐私保护,大量轻量级加密算法被提出.mCrypton是明文分组长度为64 bit的轻量级分组密码算法,共有3种可用密钥长度:64 bit、96 bit和128 bit.本文提出了针对mCrypton-96的4轮mCrypton不可能差分路径和7轮mCrypton的不可能差分分析,同时利用了mCryption 的S盒性质和密钥生成算法的弱点对不可能差分分析进行了改进,实验结果表明和传统的差分分析相比,本文提出的不可能差分分析方法降低了攻击的时间复杂度和数据复杂度.     

Multiple Related-Key Diff erential Attacks on Pure DDP-Based Cipher

By constructing three types of related-key differential characteristics, we present three corresponding related-key differential attacks on the cipher. As the inde-pendence of the characteristics, we could recover 64 bits of the cipher’s m aster key with 258.6 chosen plain-texts, 258.8 full-round DDP-64 encryptions and 212.8 bits of storage re-sources. To break the cipher, we only need to implement an exhaustive search for the rest 64 bits of the m aster key.     

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为O(270.0),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为O(271.5),数据量为263。     

Cryptanalysis of mCrypton—A lightweight block cipher for security of RFID tags and sensors

mCrypton is a 64‐bit lightweight block cipher designed for use in low‐cost and resource‐constrained applications such as RFID tags and sensors in wireless sensor networks. In this paper, we investigate the strength of this cipher against related‐key impossible differential cryptanalysis. First, we construct two 6‐round related‐key impossible differentials for mCrypton‐96 and mCrypton‐128. Then, using these distinguishers, we present 9‐round related‐key impossible differential attacks on these two versions. The attack on mCrypton‐96 requires 2^59.9 chosen plaintexts, and has a time complexity of about 2^74.9 encryptions. The data and time complexities for the attack on mCrypton‐128 are 2^59.7 chosen plaintexts and 2^66.7 encryptions, respectively. Copyright © 2011 John Wiley & Sons, Ltd.     

Biclique cryptanalysis on lightweight block ciphers I-PRESENT-80 and I-PRESENT-128

I-PRESENT was a lightweight SPN block cipher for resource-constraint environments such as RFID tags and sensor networks.The biclique structures of I-PRESENT with sieve-in-the-middle technique was an constracted.The biclique cryptanalysis schemes on full-round I-PRESENT-80 and I-PRESENT-128 were proposed for the first time.The results show that the data complexity of the biclique cryptanalysis on I-PRESENT-80 and I-PRESENT-128 is 2 ²⁶ and 2³⁶ chosen ciphertexts respectively，and the time complexity on them is 2 ^79.48 and 2 ^127.33 encryptions respectively.The time and data complexity are better than that of the exhaustive attack.In addition,the time complexity on them can be reduced to 2 ^78.61 and 2^126.48 encryptions by using related-key technology of I-PRESENT.     

High Speed Networking Security: Design and Implementation of Two New DDP-Based Ciphers

Using Data-Dependent (DD) Permutations (DDP) as main cryptographic primitive two new ciphers are presented: ten-round Cobra-H64, and twelve-round Cobra-H128. The designed ciphers operate efficiently with different plaintext lengths, 64 and 128-bit, for Cobra-H64 and Cobra-H128, respectively. Both of them use very simple key scheduling that defines high performance, especially in the case of frequent key refreshing. A novel feature of Cobra-H64 and Cobra-H128 is the use of the Switchable Operations which prevent the weak keys. The offered high-level security strength does not sacrifice the implementation performance, of both ciphers. Architecture, design and hardware implementation of the two ciphers are presented. The synthesis results for both FPGA and ASIC implementations prove that Cobra-H64 and Cobra-H128 are very flexible and powerful new ciphers, especially for high-speed networks. The achieved hardware performance and the implementation area cost of Cobra-H64 and Cobra-H128 are compared with other ciphers, used in security layers of wireless protocols (Bluetooth, WAP, OMA, UMTS and IEEE 802.11). From these comparisons it is proven that the two proposed are flexible new ciphers with better performance in most of the cases, suitable for wireless communications networks of present and future.