Camellia访问驱动Cache计时攻击研究

Camellia是NESSIE计划中128位分组密码的最终获胜者.现有的针对Camellia的Cache计时攻击大多基于时序驱动模型,需百万计的样本在几十分钟内完成.文中研究表明,由于频繁的查找表操作,Camellia对访问驱动Cache计时攻击也是脆弱的,攻击所需样本量比时序驱动要小.首先,基于访问驱动方式,给出了一种通用的针对对称密码S盒的分析模型,指出Camellia加密过程中的轮函数易泄露初始密钥和轮密钥的异或结果值,密钥扩展中的左移函数使得Camellia安全性大大降低.然后,给出了多例针对Camellia-128/192/256的访问驱动Cache计时攻击,实验结果表明:500和900个随机明文样本可恢复Camellia-128、Camellia-192/256密钥,文中的攻击可被扩展到针对已知密文条件下的解密过程或远程环境中进行实施,3000个随机明文可在局域网和校园网环境下恢复Camellia-128/192/256密钥.最后,分析了Camellia易遭受Cache计时攻击的原因,并为密码设计者提出了防御该攻击的一些有效措施.     

针对RSA算法的踪迹驱动数据Cache计时攻击研究

Cache计时攻击是旁路攻击领域的研究热点.针对滑动窗口算法实现模幂运算的RSA算法,分析了RSA算法访问驱动Cache计时攻击的难点,建立了踪迹驱动数据Cache计时攻击模型.在攻击模型与原有踪迹驱动计时攻击算法的基础上,利用幂指数与操作序列的相关性、窗口大小特征和预计算表索引值与窗口值的映射关系,提出了一种改进的幂指数分析算法,并给出了利用幂指数dp和dq的部分离散位恢复出私钥d的格攻击过程.利用处理器的同步多线程能力实现了间谍进程与密码进程的同步执行,针对OpenSSL v0.9.8b中的RSA算法,在真实环境下执行攻击实验.实验结果表明:新的分析算法大约能够获取512位幂指数中的340位,比原有算法进一步降低了密钥恢复的复杂度;同时对实际攻击中的关键技术以及可能遇到的困难进行分析,给出相应的解决方案,进一步提高了攻击的可行性.     

针对AES的Cache计时模板攻击研究

受微处理器硬件架构和操作系统的影响,分组密码查找S盒不同索引执行时间存在差异,构成了S盒索引的天然泄漏源.该文采用“面向字节、分而治之”的旁路攻击思想,对AES抗Cache计时模板攻击能力进行了研究.首先分析了分组密码访问Cache时间差异泄漏机理,直观地给出了基于碰撞和模板的两种Cache计时攻击方法;其次给出了Cache计时外部模板攻击模型,提出了基于Pearson相关性的模板匹配算法,对128位AES加密第一轮和最后一轮分别进行了攻击应用;为克服外部模板攻击需要一个模板密码服务器的限制,提出了Cache计时内部模板攻击模型,并对AES进行了攻击应用;最后,在不同环境、操作系统、加密Cache初始状态、密码库中,分别进行攻击实验,同前人工作进行了比较分析,并给出了攻击的有效防御措施.     

基于Cache行为的旁路攻击

分析新型高速缓冲存储器(Cache)旁路攻击技术,给出一种Cache旁路攻击方法。针对S盒操作使用查找表处理的数据加密标准(DES)算法实现,通过获取DES加密过程中前2轮加密运算对应的Cache命中信息,结合数学分析方法,可以有效地缩小DES密钥搜索空间。对Cache存储器行为和数学分析攻击进行仿真实现的结果显示,通过26个选择明文,大约耗费230次离线DES加密时间成功地恢复了DES密钥。给出了防御Cache攻击的基本对策。     

针对AES加密前两轮的访问驱动Cache攻击方法

高速缓存Cache具有数据访问时间不确定和多进程资源共享两大特征,AES加密快速实现中使用了大量查表操作进行Cache访问,查表索引值会影响Cache命中与否,而查表的索引值和密钥存在密切关系。针对128位AES加密算法,利用间谍进程采集AES进程加密时Cache访问特征信息,通过对AES前两轮加密过程中查表索引值、明文和初始密钥之间关系进行分析,第一轮分析可获取64位密钥,第二轮分析可获取剩余密钥,最终成功获取AES全部密钥。     

基于AES算法的Cache Hit旁路攻击

AES加密快速实现中利用了查表操作,查表的索引值会影响Cache命中率和加密时间,而查表的索引值和密钥存在密切关系。通过分析AES最后一轮加密过程中查表索引值与密文和最后一轮子密钥的关系,以及它们对Cache命中与否和加密时间长短的影响,提出一种利用Cache hit信息作为旁路信息对AES进行旁路攻击的技术,在Intel Celeron 1.99 GHz和Pentium4 3.6 GHz CPU的环境中,分别在221和225个随机明文样本的条件下,在5 min内恢复了OpenSSL v.0.9.8(a)库中AES的128 bit密钥,并介绍防御这种攻击途径的手段。     

针对LBlock算法的踪迹驱动Cache攻击

LBlock是一种轻量级分组密码算法,其由于优秀的软硬件实现性能而备受关注。目前针对LBlock的安全性研究多侧重于抵御传统的数学攻击。缓存( Cache)攻击作为一种旁路攻击技术,已经被证实对密码算法的工程实现具有实际威胁,其中踪迹驱动Cache攻击分析所需样本少、分析效率高。为此,根据LBlock的算法结构及密钥输入特点,利用访问Cache过程中密码泄露的旁路信息,给出针对LBlock算法的踪迹驱动Cache攻击。分析结果表明,该攻击选择106个明文,经过约27.71次离线加密时间即可成功恢复LBlock的全部密钥。与LBlock侧信道立方攻击和具有Feistel结构的DES算法踪迹驱动Cache攻击相比,其攻击效果更明显。     

一种新的针对AES的访问驱动Cache攻击

Cache访问"命中"和"失效"会产生时间和能量消耗差异,这些差异信息已经成为加密系统的一种信息隐通道,密码界相继提出了计时Cache攻击、踪迹Cache攻击等Cache攻击方法.针对AES加密算法,提出一种新的Cache攻击一访问驱动Cache攻击,攻击从更细的粒度对Cache行为特征进行观察,利用间谍进程采集AES进程加密中所访问Cache行信息,通过直接分析和排除分析两种方法对采集信息进行分析,在大约20次加密样本条件下就可成功推断出128位完整密钥信息.     

针对RSA滑动窗口算法的Cache计时攻击

研究RSA签名算法和Cache计时攻击原理,分析OpenSSL0.9.8a中的RSA实现过程,针对RSA滑动窗口算法中的访问初始化表操作,提出一种Cache计时攻击方法.实验结果表明,该方法在1次攻击中可获得1 024 bit密钥中700 bit以上的密钥,与传统基于统计方法的计时攻击相比,所需样本更少.     

AES访问驱动Cache计时攻击

首先给出了访问驱动Cache计时攻击的模型,提出了该模型下直接分析、排除分析两种通用的AES加密泄漏Cache信息分析方法;然后建立了AES加密Cache信息泄露模型,并在此基础上对排除分析攻击所需样本量进行了定量分析,给出了攻击中可能遇到问题的解决方案;最后结合OpenSSL v.0.9.8a,v.0.9.8j中两种...     

基于字的流密码Dragon的分析

研究一种新型的流密码——Dragon。Dragon使用了非线性反馈移位寄存器(NLFSR)和S盒,密钥长度是可变的128 bit或256 bit。探讨了Dragon的设计原理,从内部结构角度分析讨论其安全性,指出Dragon对暴力攻击和TMD攻击是安全的,同时构造了Dragon的线性逼近式,给算法提了2点建议。     

混沌映射和流密码结合的图像加密算法仿真

为了有效改进彩色图像加密的效果和安全性,在对采用混沌映射的图像加密算法研究的基础上,提出一种结合混沌映射和流密码的彩色图像加密算法。加密过程采用置乱-扩散结构:在置乱阶段首先根据输入图像初始化Kent混沌系统,再利用Kent混沌系统生成ZUC-256流密码算法的初始密钥和初始向量,ZUC-256算法随后生成随机序列对彩色图像进行R、G、B三轮像素值置乱。在扩散阶段同时使用Kent混沌系统和ZUC-256流密码算法生成的随机序列对输入图像的像素值进行扩散。仿真结果显示,提出的算法具有加密算法简单、密钥空间大等特点,能较好地抵抗差分分析攻击、统计特性攻击。     

A practical distinguisher for the Shannon cipher

In this paper, we present a practical linear distinguisher on the Shannon stream cipher. Shannon is a synchronous stream cipher that uses at most 256-bit secret key. In the specification for Shannon, designers state that the intention of the design is to make sure that there are no distinguishing attacks on Shannon requiring less than 2⁸⁰ keystream words and less than 2¹²⁸ computations. In this work we use the Crossword Puzzle attack technique to construct a distinguisher which requires a keystream of length about 2³¹ words with workload about 2³¹.     

THERE AND THERE

A modification of the cage of the Hagelin (M-209) cipher machine is shown to make the modified cipher secure against the Morris Known Plaintext Attack.     

抵抗滑动攻击的LEX算法改进

ECRYPT项目中的流密码LEX算法中每组AES加密过程使用相同的加密密钥,这导致其易受到滑动攻击。利用AES的密钥扩展算法改进了流密码LEX算法的密钥采用方案,改进后算法能够有效地抵抗滑动攻击。     

基于混沌反控制的流密码算法设计

应用混沌反控制思想产生超混沌,根据超混沌系统的伪随机特性进行流密码设计。通过对离散线性时不变系统施加非线性状态反馈控制构造一个超混沌发生系统。证明了反馈增益矩阵的存在性,给出选择增益矩阵及系数矩阵元素的约束关系,在此基础上设计基于三维超混沌系统的流密码算法。仿真结果表明该算法具有良好的统计特性。     

Immunity against Correlation Attack on Quantum Stream Cipher by Yuen 2000 Protocol

This paper presents the security analysis on the quantum stream cipher so called Yuen-2000 protocol (or αη scheme) against the fast correlation attack, the typical attack on stream ciphers. Although the security of a very simple experimental model of the quantum stream cipher without a randomization may be reduced to a complexity based security against the correlation attacks under a large number of known plaintexts, it is not a basic feature of Yuen 2000 protocol. In fact, we clarify that there exists a randomization scheme which attains the perfect correlation immunity against such attacks under an approximation. And in this scheme, the running key correlation from the second randomization that determines the mapping patterns is broken off also by quantum noise. In such a case, any fast correlation attack does not work on the quantum stream cipher.      

基于混沌细胞自动机的图像加密算法

提出了基于耦合混沌和触发细胞自动机的图像加密算法。首先用耦合混沌系统对图像进行加密,然后用耦合二维细胞自动机再次加密,最后用混沌序列对图像进行置乱。加密过程中同时运用了分组加密和流加密方法。仿真实验结果表明,该加密算法实现简单,扩散和混淆效果比较理想,有较强的抗攻击能力,具有良好的加密效果。     

PAPERS DISCLOSE ALLIES' EDGE IN KNOWING GERMAN CODES

Pless has proposed a stream cipher based on J-K flip-flops that uses 8 linear shift registers with feedback, having a combined length of 97 bits, 4 J-K flip-flops, and a 4-stage cycling counter. The cipher has 2.54×10⁵¹ initial states (keys), and generates a presumably pseudorandom stream whose period is 1.52×10²⁹ bits. Despite these impressive statistics, it is computationally feasible to solve such a cipher with a known-plaintext attack, using as few as 15 characters.     

PFC-CTR,PFC-OCB: Efficient stream cipher modes of authencryption

Authencryption is a cryptographic process of providing confidentiality and integrity protection of messages in a single pass, simultaneously, without any support of conventional checksum, MAC, or hash function. This article encompasses the process to construct the stream cipher-based authencryption environment, where the keystream is generated from any secure block algorithm like AES. Accordingly, in order to demonstrate the working principle of authencryption in the stream cipher environment, the authors introduce two stream cipher modes of authencryption, namely, PFC-CTR and PFC-OCB. PFC-CTR denotes the counter-based authencryption environment, and PFC-OCB specifies the authencryption environment built upon the underlying foundation of OCB. They argue that both of the proposed stream cipher modes of authencryption are quite robust against several active attacks (e.g., message stream modification attacks, known-plain-text attacks, and chosen-plain-text attacks). At the same time, they can efficiently deal with other issues like “limited error propagation,” and so on, existing in several conventional stream cipher modes of operation like CFB, OFB, and CTR.