PRESENT代数故障攻击的改进与评估

提出了一种基于代数分析的PRESENT故障攻击改进方法,将代数分析用于密码和故障方程构建,通过逆向构建加密方程来加快求解速度;提出了一种故障注入后的密钥剩余熵评估方法,可评估不同故障模型下的PRESENT抗故障攻击安全性;最后对智能卡上的8位智能卡上的PRESENT实现进行了时钟毛刺故障注入,最好情况下1次故障注入即可恢复主密钥,这是PRESENT故障攻击在数据复杂度上的最好结果。     

FOX算法的差分故障攻击

FOX算法是用于欧洲有线电视的分组密码算法,该算法整体采用Lai-Massey结构,其中的圈函数使用SPS结构。FOX算法的设计结构比较典型,实际应用的范围很广,目前对于该算法的分析却并不多见。研究了FOX算法对于差分故障攻击的安全性。提出一种采用面向字节的随机故障模型,并结合差分分析技术的攻击方法。结果显示,差分故障攻击对于FOX算法是有效的;实验结果也验证了这一事实。该攻击方法恢复出全部密钥信息平均需要128个错误密文,计算穷举量为O（215）。     

基于密钥编排故障的SMS4算法的差分故障分析

提出并讨论了一种针对SMS4密钥编排方案的差分故障攻击方法.该方法采用面向字节的随机故障模型,通过在SMS4算法的密钥编排方案中导入故障,仅需要8个错误密文即可恢复SMS4算法的128bit原始密钥.数学分析和实验结果表明,该方法不仅扩展了故障诱导的攻击范围,而且提高了故障诱导的攻击成功率,减少了错误密文数,为故障攻击其他分组密码提供了一种通用的分析手段.     

SHACAL-2算法的差分故障攻击

该文采用面向字的随机故障模型,结合差分分析技术,评估了SHACAL-2算法对差分故障攻击的安全性。结果显示:SHACAL-2算法对差分故障攻击是不免疫的。恢复出32 bit子密钥的平均复杂度为8个错误密文,完全恢复出512 bit密钥的复杂度为128个错误密文。     

MIBS深度差分故障分析研究

给出了MIBS算法及故障分析原理,基于不同深度的故障模型,提出了3种针对MIBS差分故障分析方法,并进行实验验证.实验结果表明,由于其Feistel结构和S盒差分特性,MIBS易遭受深度差分故障攻击,最好的结果为在第30轮左寄存器导入1次4bit故障,故障位置和故障差分值未知,可将64bit主密钥搜索空间降低到224,经1min暴力破解恢复完整主密钥.此外,该故障分析方法也可为其他使用S盒的分组密码差分故障分析提供一定思路.     

针对滑动窗口算法的椭圆曲线密码故障分析

基于符号变换故障攻击原理,针对采用滑动窗口算法实现点乘运算的椭圆曲线密码,当故障位于倍点运算时,给出一种能够解决"零块失效"问题的改进故障分析方法,实验结果表明15次故障注入即可恢复192bit完整密钥;当故障位于加法运算时,提出一种新的故障分析方法,实验结果表明1次故障注入可将密钥搜索空间降低27~215。该方法对其他使用滑动窗口算法的密码算法故障攻击具有借鉴意义。     

基于微控制器的AES激光注入攻击研究

密码设备面临故障攻击的威胁,针对密码芯片的故障攻击手段研究是密码学和硬件安全领域的重要研究方向。脉冲激光具有较好的时空分辨性,是一种准确度较高的故障攻击手段。该文详细描述了激光注入攻击的原理和方法,以集成AES-128算法的微控制器(MCU)为例实施了激光注入攻击实验。实验以微控制器的SRAM为攻击目标,分别成功实现了差分故障攻击和子密钥编排攻击,恢复了其16 Byte的完整密钥,其中后一种攻击是目前首次以激光的手段实现。研究表明,激光注入攻击能准确定位关键数据存放的物理位置,并能在任意的操作中引入错误,实现单比特的数据翻转,满足故障攻击模型的需求。激光注入攻击能在较短时间内完成自动攻击和密文收集,攻击过程贴近真实场景,对密码芯片具有极大的威胁。     

基于微控制器的AES激光注入攻击研究

密码设备面临故障攻击的威胁,针对密码芯片的故障攻击手段研究是密码学和硬件安全领域的重要研究方向.脉冲激光具有较好的时空分辨性,是一种准确度较高的故障攻击手段.该文详细描述了激光注入攻击的原理和方法,以集成AES-128算法的微控制器(MCU)为例实施了激光注入攻击实验.实验以微控制器的SRAM为攻击目标,分别成功实现了差分故障攻击和子密钥编排攻击,恢复了其16 Byte的完整密钥,其中后一种攻击是目前首次以激光的手段实现.研究表明,激光注入攻击能准确定位关键数据存放的物理位置,并能在任意的操作中引入错误,实现单比特的数据翻转,满足故障攻击模型的需求.激光注入攻击能在较短时间内完成自动攻击和密文收集,攻击过程贴近真实场景,对密码芯片具有极大的威胁.     

基于汉明重的LED代数旁路攻击研究

对CHES 2011会议提出的LED轻型分组密码抗代数旁路攻击能力进行了评估。给出了密码算法代数旁路攻击模型及LED密码代数方程表示方法;利用示波器采集微控制器ATMEGA324P上的LED实现功耗泄露,选取功耗特征较为明显的部分泄露点,基于 Pearson 相关系数方法推断加密中间状态汉明重;分别基于可满足性问题、伪布尔优化问题、线性编程问题给出了LED密码和汉明重泄露的3种代数方程表示方法;使用CryptoMinisat和SCIP 2种解析器对建立的代数方程求解恢复密钥,在已知明文、未知明密文、容错等场景下进行了大量的攻击实验。结果表明,LED易遭受代数旁路攻击,一条功耗曲线的1轮汉明重泄露分析即可恢复64 bit完整密钥。     

轻量级分组密码PUFFIN的差分故障攻击

基于代换–置换网络结构的轻量级分组密码算法PUFFIN在资源受限的硬件环境中使用较广泛,差分故障攻击是针对硬件密码算法较为有效的攻击手段。该文针对PUFFIN算法,改进多比特故障模型,通过构建输出差分和可能输入值之间的关系,注入5次故障即可确定单个S盒唯一输入值;在最后一轮加密过程中注入10次故障,成功恢复轮密钥的概率为78.64%,进而可恢复初始密钥。     

扩展的代数侧信道攻击及其应用

Renauld等人提出的代数侧信道攻击是将代数攻击和侧信道攻击结合起来的一种对分组密码的攻击方法.目前的研究主要针对算法的8-bit实现平台,对于更大的如64-bit实现平台,未见文献讨论.为此,本文提出一种扩展的代数侧信道攻击,直接将侧信道信息表示为密钥的显式函数.相比于通常的代数侧信道攻击,所需泄露信息更少.作为应用,给出了对LBlock轻量级分组密码的扩展的代数侧信道攻击,结果如下:对于64-bit平台实现的LBlock,假设其1-3轮输出的Hamming重量可以准确获得,则利用35个已知明文,便可建立关于LBlock 80-bit主密钥的非线性方程组;在普通的PC机上,利用Magma数学软件v2.12-16求Groebner基,1分钟内可以求得80-bit主密钥.这是对LBlock的首个代数侧信道攻击,同时说明Renauld等人给出的对代数侧信道攻击的其中一个防范方法:"将实现方法从8-bit平台转移到更大的设备"是不够的.     

Differential Fault Attack on GIFT

GIFT,a lightweight block cipher proposed at CHES2017,has been widely cryptanalyzed this years.This paper studies the differential diffusion characteristics of round function of GIFT at first,and proposes a random nibble-based differential fault attack.The key recovery scheme is developed on the statistical properties we found for the differential distribution table of the S-box.A lot of experiments had been done and experimental results show that one round key can be retrieved with an average of 20.24 and 44.96 fault injections for GIFT-64 and GIFT-128 respectively.Further analysis shows that a certain number of fault injections recover most key bits.So we demonstrate an improved fault attack combined with the method of exhaustive search,which shows that the master key can be recovered by performing 216 and 217 computations and injecting 31 and 32 faults on an average for GIFT-64 and GIFT-128 respectively.     

Differential fault attack on FeW

In order to evaluate the security of the lightweight block cipher FeW,a differential fault attack method was proposed and discussed using a single byte random fault model.In this method,a single byte random fault was introduced on the right side of the last round of FeW to recover the key based on the statistical characteristics of S-box difference distribution,and the difference information was obtained using the characteristics of the linear diffusion function.The experiment results show that the complete key recovery can be achieved with an average of 47.73 and 79.55 fault injections for FeW-64-80 and FeW-64-128 respectively.If 2¹⁰exhaustive calculations are added to the key recovery process,the number of average fault injections required can be reduced to 24.90 and 41.50.This attack is effective on FeW.     

Round reduction-based fault attack on SM4 algorithm

A novel method of fault attack based on round reduction against SM4 algorithm was proposed.Faults were in-jected into the last four rounds of the SM4 encryption algorithm,so that the number of the algorithm's rounds can be re-duced.In known-ciphertext scenario,four traces are enough to recover the total 128 bit master key by screening these faults easily.The proposed attack is made to an unprotected SM4 smart card.Experiment shows that this attack method is efficient,and which not only simplifies the existing differential fault attack,but also improves the feasibility of the attack.     

Trivium序列密码的线性性质和代数性质

Trivium是C.De Cannière和B.Preneel在2005年为欧洲eSTREAM项目设计的序列密码,Trivium被选为最终的7个算法之一.Trivium的内部状态为288比特,密钥长度为80比特.文中给出Trivium的分组密码迭代模型,在这个模型下,利用计算程序得出了Trivium各轮输出关于内部状态的线性逼近及其线性逼近概率,当初始化轮数超过246时,其输出关于输入的线性逼近概率不大于1/2＋2-41.利用计算机搜索程序,给出Trivi-um在轮的代数方程规模,利用l 152个输出比特,得到的二次方程组包含6 788个变量、11 232个方程,从实验上证明了Trivium算法能抗线性攻击和代数攻击.     

分组密码算法CTC的立方分析

立方攻击是在2009年欧洲密码年会上由Dinur和Shamir提出的一种新型密码分析方法,该方法旨在寻找密钥比特之间的线性关系。CTC(Courtois Toy Cipher)是N.Courtois设计的一种用于密码分析研究的分组密码算法,该算法的密钥长度、明文长度和迭代轮数都是可变的。文中利用立方攻击方法针对密钥长度为60bit的4轮CTC进行了分析,在选择明文攻击条件下,结合二次测试可恢复全部密钥,密钥恢复阶段仅需要不到2~10次加密算法。     

对基于NLFSR分组密码KTANTAN32的相关密钥中间相遇代数攻击

 本文分析了KTANTAN32的代数学弱点.使用相关密钥中间相遇攻击,用代数推导的方法得到了在240轮之后所使用某些密钥的一元线性方程,解这些方程便可迅速逐比特恢复相应密钥.因只须一对相关密钥和2个明密文,即可恢复部分密钥比特,攻击的时间复杂度和空间复杂度都可以忽略不计.分析表明KTANTAN32是一个很弱的算法.同时也说明使用NLFSR和线性密钥编排是KTANTAN32的致命弱点,为抵抗相关密钥中间相遇攻击,设计者应在密钥编排中加入非线性因素.     

An Effective Differential Fault Analysis on the Serpent Cryptosystem in the Internet of Things

Due to the strong attacking ability, fast speed, simple implementation and other characteristics, differential fault analysis has become an important method to evaluate the security of cryptosystem in the Internet of Things. As one of the AES finalists, the Serpent is a 128-bit Substitution-Permutation Network （SPN） cryptosystem. It has 32 rounds with the variable key length between 0 and 256 bits, which is flexible to provide security in the Internet of Things. On the basis of the byte-oriented model and the differential analysis, we propose an effective differential fault attack on the Serpent cryptosystem. Mathematical analysis and simulating experiment show that the attack could recover its secret key by introducing 48 faulty ciphertexts. The result in this study describes that the Serpent is vulnerable to differential fault analysis in detail. It will be beneficial to the analysis of the same type of other iterated cryptosystems.