Midori64的相关密钥不可能差分分析*

Midori算法是由Banik等人在AISACRYPT2015上提出的一种具有SPN结构的轻量级的加密算法。Midori的分组长度有64bit和128bit两种,分别为Midori64和Midori128,本文主要研究的Midori64。目前攻击者已经使用了不可能差分分析、中间相遇攻击、相关密钥差分分析等方法对Midori进行了分析,却没有使用相关密钥不可能差分分析进行分析。为了验证Midori算法的安全性,本文使用了相关密钥不可能差分分析了Midori算法,构造了一个Midori算法的9轮区分器,进行了Midori算法的14轮攻击,总共猜测了84bit密钥。     

改进的10轮Kalyna-128/256中间相遇攻击

分组密码Kalyna在2015年6月被确立为乌克兰的加密标准,它的分组长度为128 bit、256 bit和512 bit,密钥长度与分组长度相等或者是分组长度的2倍,记为Kalyna-b/2b。为了保证该算法在实际环境中能安全使用,必须对其抵抗当下流行的攻击方法中的中间相遇攻击的能力进行评估。通过研究Kalyna-128/256轮密钥之间的线性关系,再结合多重集、差分枚举和相关密钥筛选等技巧构造了四条6轮中间相遇区分器链,在此区分器前端接1轮后端接3轮,再利用时空折中实现了对10轮Kalyna-128/256的中间相遇攻击,攻击所需的数据、时间和存储复杂度分别为2111△个选择明文、2238.63△次10轮加密和2222△个128 bit块。将之前10轮Kalyna-128/256中间相遇攻击最优结果的数据、时间和存储复杂度分别降低了24△倍、214.67△倍和226.8△倍。     

QARMA算法的相关密钥不可能差分攻击

QARMA算法是一种代替置换网络结构的轻量级可调分组密码算法。研究QARMA算法抵抗相关密钥不可能差分攻击的能力,根据QARMA-64密钥编排的特点搜索到一个7轮相关密钥不可能差分区分器,在该差分区分器的前、后各添加3轮构成13轮相关密钥不可能差分攻击。分析结果表明,在猜测52 bit密钥时,与现有中间相遇攻击相比,该相关密钥不可能差分攻击具有攻击轮数较多、时间复杂度和空间复杂度较低的优点。     

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2⁴⁰个明密文对,时间复杂度为2^67.85次10轮加密运算,11轮积分攻击的数据复杂度为2^40.09个明密文对,时间复杂度为2^117.37次11轮加密运算。     

基于轮密钥分步猜测方法的Midori64算法11轮不可能差分分析

本文提出了一个Midori64算法的7轮不可能差分区分器,并研究了Midori64算法所用S盒的一些差分性质。在密钥恢复过程中,提出将分组的部分单元数据寄存,分步猜测轮密钥的方法,使时间复杂度大幅下降。利用这个区分器和轮密钥分步猜测的方法,给出了Midori64算法的11轮不可能差分攻击,最终时间复杂度为 次11轮加密,数据复杂度为 个64比特分组。这个结果是目前为止对Midori64算法不可能差分分析中最好的。     

MIBS-64算法的三子集中间相遇攻击

MIBS算法于2009年在CANS会议上提出,是一个32轮Feistel结构、64比特分组长度以及包含64比特、80比特两种主密钥长度的轻量级分组密码.针对该算法密钥编排中第1轮到第11轮子密钥之间存在部分重复和等价关系,本文首次完成了MIBS-64的11轮三子集中间相遇攻击,数据复杂度为2^[47],存储复杂度为2^[47]64-bit,时间复杂度为2^[62.25]次11轮加密.与目前已有的对MIBS-64算法的中间相遇攻击相比,将攻击轮数由10轮扩展至11轮,刷新了该算法在中间相遇攻击下的安全性评估结果.     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

对5轮Square的中间相遇攻击

Square分组密码算法是美国数据加密标准AES算法的前身,它的分组长度、主密钥长度和轮密钥长度都是128比特.文中给出了一个4轮的Square区分器.通过这个区分器找到Square第三轮的密文可以在某些条件下用比较少的参数来表示,减少攻击的运算量.运用这个区分器成功地实现了对5轮Square的中间相遇攻击.这个攻击比其他的攻击的准备阶段和空间复杂度在花费上都少,攻击的先前准备阶段的时间复杂度为234,空间复杂度为272,攻击的时间复杂度为272.     

Khudra算法的相关密钥差分分析

Khudra算法是一种总轮数为18的轻量级分组密码算法。现有分析方法使用相关密钥差分分析Khudra算法,通过在2个密钥上引入差分,构造14轮区分器攻击16轮Khudra算法,区分器的攻击概率为2~(-56.85)。基于此,同样使用相关密钥差分分析Khudra算法,仅在1个密钥上引入差分构造10轮区分器,共攻击16轮Khudra算法。分析结果表明,该10轮区分器与现有相关密钥差分分析的14轮区分器相比攻击概率提高了2~(28.425),整个分析过程的数据复杂度为2~(33),时间复杂度为2~(95)。     

FOX密码的中间相遇攻击

FOX是基于Mediacrypt公司的需求而设计的系列分组密码。为进一步评估FOX密码的安全性,主要研究FOX密码抗中间相遇攻击的能力,根据其加密算法的结构,给出FOX64的3轮和4轮中间相遇区分器,以及FOX128的3轮中间相遇区分器。通过分别在以上区分器后加适当的轮数,对4到8轮的FOX64和4、5轮的FOX128进行中间相遇攻击,并给出攻击结果。结果证明了8轮FOX64/256是不安全的。同时表明,5轮FOX64/128、7轮FOX64/192、8轮FOX64/256和5轮FOX128/256均不能抵抗中间相遇攻击。     

分组密码TWINE的中间相遇攻击

将Biclique初始结构与标准的三子集中间相遇攻击相结合,给出了一种普遍的中间相遇攻击模式.与Biclique分析相比,该模式下的攻击作为算法抗中间相遇攻击的结果更为合理.进一步地,评估了算法TWINE抗中间相遇攻击的能力,通过合理选择中立比特位置以及部分匹配位置,给出了18轮TWINE-80以及22轮TWINE-128算法的中间相遇攻击结果.到目前为止,这是TWINE算法分析中数据复杂度最小的攻击结果.     

Midori-64算法的截断不可能差分分析

分析了Midori-64算法在截断不可能差分攻击下的安全性.首先,通过分析Midori算法加、解密过程差分路径规律,证明了Midori算法在单密钥条件下的截断不可能差分区分器至多6轮,并对6轮截断不可能差分区分器进行了分类;其次,根据分类结果,构造了一个6轮区分器,并给出11轮Midori-64算法的不可能差分分析,恢复了128比特主密钥,其时间复杂度为2^121.4,数据复杂度为2^60.8,存储复杂度为2^96.5.     

E2算法的中间相遇攻击

作为AES的候选算法,E2算法由于其特殊的两层SP结构一直是人们研究的热点。研究了E2算法抵抗中间相遇攻击的能力。基于E2算法的结构,利用中间相遇的思想设计了一个4轮区分器,利用该区分器,对E2算法进行了5轮、6轮中间相遇攻击。研究结果表明,E2-128算法对于5轮中间相遇攻击以及E2-256算法对于6轮中间相遇攻击是不抵抗的。这是首次用中间相遇的攻击方法对E2算法进行的分析,相对于已有的结果,该方法降低了所用数据复杂度。     

8轮PRINCE的快速密钥恢复攻击

PRINCE算法是J.Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法,它模仿AES并采用α-反射结构设计,具有加解密相似的特点.2014年,设计者发起了针对PRINCE实际攻击的公开挑战,使得该算法的安全性成为研究的热点.目前对PRINCE攻击的最长轮数是10轮,其中P.Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积D×T=2¹²⁵,A.Canteaut等利用多重差分技术攻击的复杂度D×T=2^118.5,并且两种方法的时间复杂度都超过了257.本文将A.Canteaut等给出的多重差分技术稍作改变,通过考虑输入差分为固定值,输出差分为选定的集合,给出了目前轮数最长的7轮PRINCE区分器,并应用该区分器对8轮PRINCE进行了密钥恢复攻击.本文的7轮PRINCE差分区分器的概率为2^-56.89,8轮PRINCE的密钥恢复攻击所需的数据复杂度为2^61.89个选择明文,时间复杂度为219.68次8轮加密,存储复杂度为2^15.21个16比特计数器.相比目前已知的8轮PRINCE密钥恢复攻击的结果,包括将A.Canteaut等给出的10轮攻击方案减少到8轮,本文给出的攻击方案的时间复杂度和D×T复杂度都是最低的.     

对MIBS算法的Integral攻击

MIBS是M.Izadi等人在2009开发研制的轻量级分组密码算法,它广泛用于电子标签和传感器网络等环境.本文给出了对MIBS算法Integral攻击的4.5轮区分器,利用该区分器对MIBS算法进行了8轮和9轮的Integral攻击,并利用密钥编排算法中轮密钥之间的关系,结合“部分和”技术降低了攻击的时间复杂度.攻击结果如下:攻击8轮MIBS-64的数据复杂度和时间复杂度分别为238.6和224.2;攻击9轮MIBS-80的数据复杂度和时间复杂度分别为239.6和268.4.本文攻击的数据复杂度和时间复杂度都优于穷举攻击.这是对MIBS算法第一个公开的Integral攻击.     

11轮3D分组密码算法的中间相遇攻击

针对3D分组密码算法的安全性分析,对该算法抵抗中间相遇攻击的能力进行了评估。基于3D算法的基本结构及S盒的差分性质,减少了在构造多重集时所需的猜测字节数,从而构建了新的6轮3D算法中间相遇区分器。然后,将区分器向前扩展2轮,向后扩展3轮,得到11轮3D算法中间相遇攻击。实验结果表明:构建区分器时所需猜测的字节数为42 B,攻击时所需的数据复杂度约为2⁴⁹⁷个选择明文,时间复杂度约为2^325.3次11轮3D算法加密,存储复杂度约为2³⁴² B。新攻击表明11轮3D算法对中间相遇攻击是不免疫的。     

7轮ARIA-256的不可能差分新攻击

如何针对分组密码标准ARIA给出新的安全性分析是当前的研究热点。基于ARIA的算法结构,利用中间相遇的思想设计了一个新的4轮不可能差分区分器。基于该区分器,结合ARIA算法特点,在前面加2轮,后面加1轮,构成7轮ARIA-256的新攻击。研究结果表明：攻击7轮ARIA-256所需的数据复杂度约为2120选择明文数据量,所需的时间复杂度约为2219次7轮ARIA-256加密。与已有的7轮ARIA-256不可能差分攻击结果相比较,新攻击进一步地降低了所需的数据复杂度和时间复杂度。