MIBS-64算法Rectangle与Boomerang攻击的改进

MIBS算法是Izadi等人于2009年提出的一种轻量级分组密码,包含MIBS-64和MIBS-80两个版本.2019年,Chen等人对MIBS-64开展了基于13轮Rectangle区分器的15轮密钥恢复攻击,时间、数据和存储复杂度为(T,D,M)=(2⁵⁹,2⁴⁵,2⁴⁵).本文进一步研究MIBS-64算法抵抗Rectangle与Boomerang攻击的能力.利用差分在轮函数线性层确定性传播的特点,改进了Chen等人的15轮Rectangle密钥恢复攻击,将时间复杂度从2⁵⁹降低至2⁴⁷.引入Song等人提出的针对Boomerang攻击的新型密钥恢复算法,对MIBS-64开展了15、16轮的Boomerang密钥恢复攻击,所需的复杂度(T,D,M)为(2³⁸,2³⁷,2³⁶)和(2⁶⁰,2⁶⁰,2³⁰).给出了MIBS-64在Boomerang...     

11轮3D分组密码算法的中间相遇攻击

针对3D分组密码算法的安全性分析,对该算法抵抗中间相遇攻击的能力进行了评估。基于3D算法的基本结构及S盒的差分性质,减少了在构造多重集时所需的猜测字节数,从而构建了新的6轮3D算法中间相遇区分器。然后,将区分器向前扩展2轮,向后扩展3轮,得到11轮3D算法中间相遇攻击。实验结果表明:构建区分器时所需猜测的字节数为42 B,攻击时所需的数据复杂度约为2⁴⁹⁷个选择明文,时间复杂度约为2^325.3次11轮3D算法加密,存储复杂度约为2³⁴² B。新攻击表明11轮3D算法对中间相遇攻击是不免疫的。     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

8轮PRINCE的快速密钥恢复攻击

PRINCE算法是J.Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法,它模仿AES并采用α-反射结构设计,具有加解密相似的特点.2014年,设计者发起了针对PRINCE实际攻击的公开挑战,使得该算法的安全性成为研究的热点.目前对PRINCE攻击的最长轮数是10轮,其中P.Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积D×T=2¹²⁵,A.Canteaut等利用多重差分技术攻击的复杂度D×T=2^118.5,并且两种方法的时间复杂度都超过了257.本文将A.Canteaut等给出的多重差分技术稍作改变,通过考虑输入差分为固定值,输出差分为选定的集合,给出了目前轮数最长的7轮PRINCE区分器,并应用该区分器对8轮PRINCE进行了密钥恢复攻击.本文的7轮PRINCE差分区分器的概率为2^-56.89,8轮PRINCE的密钥恢复攻击所需的数据复杂度为2^61.89个选择明文,时间复杂度为219.68次8轮加密,存储复杂度为2^15.21个16比特计数器.相比目前已知的8轮PRINCE密钥恢复攻击的结果,包括将A.Canteaut等给出的10轮攻击方案减少到8轮,本文给出的攻击方案的时间复杂度和D×T复杂度都是最低的.     

轻量级分组密码MIBS-80算法的Biclique分析

提出了针对轻量级分组密码算法 MIBS-80 的 Biclique 分析.利用两条独立的相关密钥差分路径,构造了4轮维度为4 的 Biclique 结构,在此基础上对密钥空间进行了划分,结合预计算技术,对每一个密钥子空间进行筛选以降低中间相遇攻击所需的计算复杂度,实施了对12 轮 MIBS-80 的密钥恢复攻击.攻击的数据复杂度为2⁵²个选择明文,计算复杂度约为2^77.13次12 轮 MIBS-80 加密,存储复杂度约为2^8.17,成功实施攻击的概率为1.与已有攻击方法相比,在存储复杂度及成功率方面具有优势.     

对轻量级分组密码PICO算法的差分攻击

PICO算法是一个SP结构的迭代型轻量级密码算法,目前对该算法的差分分析和相关密钥分析研究尚未完善.本文借助自动化搜索技术,设计了一套基于SAT方法搜索SP结构算法差分路径和差分闭包的自动化工具,构建了搜索约减轮PICO算法差分路径以及差分闭包的SAT模型,评估了PICO算法抵抗差分攻击的能力,提供了比之前分析结果更准确的安全评估.给出了1–22轮PICO算法的最优差分路径及其概率;搜索到概率为2^-60.75的21轮差分闭包和概率为2^-62.39的22轮差分闭包;实现了26轮PICO算法的密钥恢复攻击,攻击的时间复杂度为2^101.106,数据复杂度为2⁶³,存储复杂度为2⁶³.研究了PICO算法抵抗相关密钥攻击的能力,发现PICO算法的密钥编排算法存在缺陷,构建了任意轮概率为1的相关密钥区分器,给出了全轮PICO算法的密钥恢复攻击.所提模型适用于其他轻量级密码算法,尤其是拥有更长的分组或者轮数更多的分组密码算法.     

对MIBS算法的Integral攻击

MIBS是M.Izadi等人在2009开发研制的轻量级分组密码算法,它广泛用于电子标签和传感器网络等环境.本文给出了对MIBS算法Integral攻击的4.5轮区分器,利用该区分器对MIBS算法进行了8轮和9轮的Integral攻击,并利用密钥编排算法中轮密钥之间的关系,结合“部分和”技术降低了攻击的时间复杂度.攻击结果如下:攻击8轮MIBS-64的数据复杂度和时间复杂度分别为238.6和224.2;攻击9轮MIBS-80的数据复杂度和时间复杂度分别为239.6和268.4.本文攻击的数据复杂度和时间复杂度都优于穷举攻击.这是对MIBS算法第一个公开的Integral攻击.     

10轮Midori128的中间相遇攻击

轻量级分组密码由于软硬件实现代价小且功耗低,被广泛地运用资源受限的智能设备中保护数据的安全。Midori是在2015年亚密会议上发布的轻量级分组密码算法,分组长度分为64 bit和128 bit两种,分别记为Midori64和Midori128,目前仍没有Midori128抵抗中间相遇攻击的结果。通过研究Midori128算法基本结构和密钥编排计划特点,结合差分枚举和相关密钥筛选技巧构造了一条7轮中间相遇区分器。再在此区分器前端增加一轮,后端增加两轮,利用时空折中的方法,提出对10轮的Midori128算法的第一个中间相遇攻击,整个攻击需要的时间复杂度为2126.5次10轮Midori128加密,数据复杂度为2125选择明文,存储复杂度2105 128-bit块,这是首次对Midori128进行了中间相遇攻击。     

SHACAL-2算法的研究与改进

SHACAL-2是2003年当选的四个欧洲分组密码标准算法中分组长度和密钥长度均为最长的算法。为了加快SHACAL-2扩散和混乱, 对其算法进行两方面的修改：一方面修改密钥扩展函数, 可以避免初始密钥在全为0而扩展后依旧全为0, 并且提高了加密的效率; 另一方面修改迭代函数, 使得上一轮的所有消息分组能同时影响到下一轮的两个消息分组。依赖性测试表明, 改进后算法比改进前提前1轮开始满足完备性、雪崩效应和严格雪崩准则; 模差分攻击分析表明, 该算法的18步差分攻击的时间复杂度由O(2¹⁴)提高到O(2²⁷)。改进方案提高了算法的效率和安全性。     

改进的10轮Kalyna-128/256中间相遇攻击

分组密码Kalyna在2015年6月被确立为乌克兰的加密标准,它的分组长度为128 bit、256 bit和512 bit,密钥长度与分组长度相等或者是分组长度的2倍,记为Kalyna-b/2b。为了保证该算法在实际环境中能安全使用,必须对其抵抗当下流行的攻击方法中的中间相遇攻击的能力进行评估。通过研究Kalyna-128/256轮密钥之间的线性关系,再结合多重集、差分枚举和相关密钥筛选等技巧构造了四条6轮中间相遇区分器链,在此区分器前端接1轮后端接3轮,再利用时空折中实现了对10轮Kalyna-128/256的中间相遇攻击,攻击所需的数据、时间和存储复杂度分别为2111△个选择明文、2238.63△次10轮加密和2222△个128 bit块。将之前10轮Kalyna-128/256中间相遇攻击最优结果的数据、时间和存储复杂度分别降低了24△倍、214.67△倍和226.8△倍。     

简化SIMON类算法的立方测试与分析*

针对轻量级分组密码算法SIMON的安全性分析,对SIMON32/64算法抵抗立方攻击的能力和算法内部结构对密钥比特的混淆和扩散性能力进行了评估。基于SIMON类算法的密钥编排特点和轮函数结构,结合立方分析的基本思想,利用FPGA测试平台设计了一个SIMON32/64的立方攻击和密钥中比特检测算法。测试结果表明：在立方变元取6维至24维时,对于7轮SIMON32/64算法,通过立方攻击能够直接恢复47比特密钥,攻击时间复杂度约为218.08;对于8轮SIMON32/64算法,能够直接恢复39比特密钥,攻击时间复杂度约为225.00。对于10轮,11轮SIMON32/64算法,通过立方测试均能够捕获到密钥中比特。     

A related key impossible differential attack against 22 rounds of the lightweight block cipher LBlock

LBlock is a new lightweight block cipher proposed by Wu and Zhang (2011) [12] at ACNS 2011. It is based on a modified 32-round Feistel structure. It uses keys of length 80 bits and message blocks of length 64 bits.In this letter, we examine the security arguments given in the original article and we show that we can improve the impossible differential attack given in the original article on 20 rounds by constructing a 22-round related key impossible differential attack that relies on intrinsic weaknesses of the key schedule. This attack has a complexity of 2⁷⁰ cipher operations using 2⁴⁷ plaintexts. This result was already published in Minier and Naya-Plasencia (2011) [9].     

Differential Attack on Five Rounds of the SC2000 Block Cipher<Superscript>*</Superscript>

The SC2000 block cipher has a 128-bit block size and a user key of 128,192 or 256 bits,which employs a total of 6.5 rounds if a 128-bit user key is used.It is a CRYPTREC recommended e-government cipher in Japan.In this paper we address how to recover the user key from a few subkey bits of SC2000,and describe two 4.75-round differential characteristics with probability 2-126 of SC2000 and seventy-six 4.75-round differential characteristics with probability 2-127.Finally,we present a differential cryptanalysis attack on a 5-round reduced version of SC2000 when used with a 128-bit key;the attack requires 2-125.68 chosen plaintexts and has a time complexity of 2 125.75 5-round SC2000 encryptions.The attack does not threat the security of the full SC2000 cipher,but it suggests for the first time that the safety margin of SC2000 with a 128-bit key decreases below one and a half rounds.     

针对MIBS的宽度差分故障分析

MIBS分组密码主要用于RFIv轻量级密码设备实现,对其安全性研究尚无公开结果发表。首先给出了MIBS算法及故障分析原理,提出了一种针对MIBS的宽度差分故障分析方法,并通过仿真实验进行了验证。实验结果表明,由于其Feistel结构和S盒特性,MII3S易遭受宽度故障攻击,通过在第32轮和第31轮分别导入1次32位故障即可将64位主密钥降低到21. 70位,经1秒钟暴力破解恢复完整密钥。该故障分析方法也可为其它分组密码差分故障分析提供一定思路。     

Midori-64算法的截断不可能差分分析

分析了Midori-64算法在截断不可能差分攻击下的安全性.首先,通过分析Midori算法加、解密过程差分路径规律,证明了Midori算法在单密钥条件下的截断不可能差分区分器至多6轮,并对6轮截断不可能差分区分器进行了分类;其次,根据分类结果,构造了一个6轮区分器,并给出11轮Midori-64算法的不可能差分分析,恢复了128比特主密钥,其时间复杂度为2^121.4,数据复杂度为2^60.8,存储复杂度为2^96.5.     

对MIBS算法的碰撞攻击

MIBS算法是Izadi等于2009年提出的一种轻量级分组密码算法。为进一步评估MIBS算法的安全性,针对MIBS算法抵抗碰撞攻击的能力进行了研究。根据算法的等价结构,构造了MIBS算法的一个6轮区分器,通过依次在此区分器后面增加2轮、在前面增加2轮的方法,对8/9/10轮的MIBS算法进行了碰撞攻击,并给出了相应的攻击过程及复杂度分析。结果表明,8/9/10轮的MIBS算法是不能抵抗碰撞攻击的。     

Related-Key Impossible Diferential Attack on Reduced-Round LBlock简

LBlock is a 32-round lightweight block cipher with 64-bit block size and 80-bit key. This paper identifies 16- round related-key impossible differentials of LBlock, which are better than the 15-round related-key impossible differentials used in the previous attack. Based on these 16-round related-key impossible differentials, we can attack 23 rounds of LBlock while the previous related-key impossible differential attacks could only work on 22-round LBlock. This makes our attack on LBlock the best attack in terms of the number of attacked rounds.