简化版Trivium算法的线性逼近研究

针对初始化轮数为288个时钟的简化版Trivium算法（又称2轮Trivium）进行了线性逼近研究,设计了搜索最佳线性近似式算法,并通过对第1轮关于密钥、初始化向量和密钥流比特的表达式做非线性逼近,结合该算法,在同等条件下给出了2轮Trivium 16个偏差为 的线性近似式,使通过多线性攻击去识别2轮Trivium的一个具有特定比特的密钥所需要的数据量降为 个选择IV,为Turan方案所需数据量的 ,且成功率保持不变。     

对288轮Trivium算法的线性分析

此前对288轮Trivium算法线性分析的文章中,均将密钥视为随机且变化的值,这样对算法进行分析是存在问题的,攻击者实际上无法将得到的线性偏差用于对算法实施攻击.本文在选择IV(Initialization Vector)攻击条件下,重新对288轮Trivium算法进行了线性分析.由于将密钥比特作为未知的定值,因而由密钥比特组成的非线性项是定值,不会产生线性偏差,在选取10个特殊IV后,得到一个线性偏差为1.9E-6的线性逼近式.     

非线性反馈移存器型序列密码的完全性通用算法

非线性反馈移存器型序列密码被使用于智能卡、射频识别标签（RFID）和无线传感器等硬件资源受限设备的信息加密中,其典型代表为Trivium算法、Grain v1算法和Mickey算法,然而现有的完全性算法在应用于此类序列密码时存在分析轮数较少及对依赖关系区分不清楚等问题.本文提出了一种考察此类序列密码完全性的通用算法,将算法内部状态表示成线性集合和非线性集合,将序列密码每轮更新转化为集合的运算,通过迭代计算可给出算法达到非线性完全性所需轮数的下界,克服了现有完全性算法的不足.应用此通用算法给出Trivium算法更优的1比特差分区分器并完成对Trivium-B算法的实时攻击.本方法可为此类序列密码的设计提供一定的理论依据.     

嵌套SP网络的New-Structure系列结构的零相关线性逼近与不可能差分性质研究

分组密码的安全性分析是密码学的重要研究内容,其中不可能差分分析和零相关线性分析是密码算法安全性分析的重要方法.本文利用中间相错方法,通过对扩散层进行限制,给出了嵌套SP网络的New-Structure 系列结构的零相关线性逼近.给出了New-Structure I和New-Structure IV结构中概率非零的差分传递链和相关优势非零的线性逼近传递链在结构上的一致性.此外也给出了嵌套SP网络New-Structure I、III的16/22轮不可能差分特征.最后给出在分组规模和密钥规模均为128比特时,对New-Structure I,III,IV进行21/28/22轮的不可能差分攻击和19/28/22轮的多维零相关线性逼近攻击所需要的时间复杂度和数据复杂度.本文的结果对基于New-Structure结构设计的密码算法的安全性分析提供了理论依据.     

2轮Trivium的多线性密码分析

作为欧洲流密码发展计划eSTREAM的7个最终获选算法之一,Trivium的安全性考察表明至今为止还没有出现有效的攻击算法。该文针对2轮Trivium,通过找出更多线性逼近方程,对其进行了多线性密码分析,提出了一种更有效的区分攻击算法。与现有的单线性密码分析算法相比,该算法攻击成功所需的数据量明显减少,即:若能找到n个线性近似方程,在达到相同攻击成功概率的前提下,多线性密码分析所需的数据量只有单线性密码分析的1/n。该研究结果表明,Trivium的设计还存在一定的缺陷,投入实用之前还需要实施进一步的安全性分析。     

Trivium流密码的基于自动推导的差分分析

Trivium是欧洲eSTREAM工程评选出的7个最终胜出的流密码算法之一.本文提出了针对Trivium的基于自动推导的差分分析技术,利用该技术可以得到任意轮Trivium算法的差分传递链.将该技术应用于轮数为288的简化版Trivium算法,提出了一个有效的区分攻击,仅需226个选择IV,区分优势为0.999665,攻击结果远优于已有的线性密码分析和多线性密码分析.将该技术应用于更多轮的Trivium算法和由Turan和Kara提出的修改Trivium算法,结果表明,初始化轮数低于359的Trivium算法不能抵抗差分分析,修改Trivium算法在抵抗差分分析方面优于原Trivium算法.     

减缩轮PRIDE算法的线性分析

PRIDE是Albrecht等人在2014美密会上提出的轻量级分组密码算法.PRIDE采用典型SPN密码结构,共迭代20轮.其设计主要关注于线性层,兼顾了算法的效率和安全.该文探讨了S盒和线性层矩阵的线性性质,构造了16条优势为2^-5的2轮线性逼近和8条优势为2^-3的1轮线性逼近.利用合适的线性逼近,结合密钥扩展算法、S盒的线性性质和部分和技术,我们对18轮和19轮PRIDE算法进行了线性分析.该分析分别需要2⁶⁰个已知明文,2^74.9次18轮加密和2⁶²个已知明文,2^74.9次19轮加密.另外,我们给出了一些关于S盒差分性质和线性性质之间联系的结论,有助于减少攻击过程中的计算量.本文是已知明文攻击.本文是关于PRIDE算法的第一个线性分析.     

积分攻击改进——随机线性区分与密钥恢复攻击

在4轮AES的积分攻击和碰撞攻击的基础上，提出了一种利用明文和中间状态的某些分组之间线性偏差分布的不均匀性的针对4轮SP结构分组密码的随机线性区分攻击。进一步结合预计算，提出了对4轮AES类分组密码的密钥恢复攻击。对LED-64算法给出了具体区分攻击和密钥恢复攻击的结果。其中，对于1-Step的LED-64算法，在数据复杂度为2⁸，计算复杂度为2¹⁶次基本运算的条件下，区分成功的概率是85%；对于2-Step的LED-64算法，相关密钥条件下的密钥恢复攻击的计算复杂度为2¹⁴次基本运算，数据复杂度为2⁸，预计算存储复杂度为2³⁸个半字节。     

轻量级分组密码PUFFIN的差分故障攻击

基于代换–置换网络结构的轻量级分组密码算法PUFFIN在资源受限的硬件环境中使用较广泛,差分故障攻击是针对硬件密码算法较为有效的攻击手段。该文针对PUFFIN算法,改进多比特故障模型,通过构建输出差分和可能输入值之间的关系,注入5次故障即可确定单个S盒唯一输入值;在最后一轮加密过程中注入10次故障,成功恢复轮密钥的概率为78.64%,进而可恢复初始密钥。     

基于混沌的双模块Feistel结构高安全性高速分组密码算法安全性分析

该文对基于混沌的双模块Feistel结构(CFE)高安全性高速分组算法的安全性进行了分析。分析结果表明,算法不适合用积分攻击、中间相遇攻击、不变量攻击、插值攻击和循环移位攻击分析其安全性;可以抵抗相关密钥攻击;更进一步地构造出了5轮不可能差分特征链,并利用其进行区分攻击;求得算法的活性S盒下界为6,概率约为2–21;算法存在5轮零相关线性特征。     

流密码典型分析方法及实例

流密码的设计与分析在现代密码学中占有重要地位。简要介绍了流密码分析的基本原理和模型,主要包括：折中攻击、猜测和决定攻击、相关攻击、最佳仿射攻击、代数攻击和边信道攻击。然后基于Mathematica平台,使用简易密钥流发生器为测试对象,对其中的折中攻击、猜测和决定攻击及相关攻击进行了仿真实现。通过实验,揭示了流密码算法的一个重要设计原则：避免内部状态演变的线性性以及输出序列统计性质的偏向性。最后对流密码分析方法给予了总结和展望。     

对混沌序列密码的相关密钥攻击

该文首次提出了对混沌序列密码的相关密钥攻击方法。该方法将线性密码分析的思想与对混沌密码的分割攻击方法相结合, 利用多个相关密钥产生的乱数序列对混沌密码实施分割攻击, 从而大大提高了分割攻击方法的效率, 克服了当混沌密码吻合度分布泄漏的信息较小或密钥规模较大时, 分割攻击方法难以将攻击方案的计算复杂性降低在可实现范围内的局限。作为例子, 该文实现了对具有64bit密钥的ZLL混沌密码的相关密钥攻击, 在主频为2.5GHz的Pentium 4-PC机上, 整个攻击时间平均为154s, 成功率为0.96。     

对基于NLFSR分组密码KTANTAN32的相关密钥中间相遇代数攻击

 本文分析了KTANTAN32的代数学弱点.使用相关密钥中间相遇攻击,用代数推导的方法得到了在240轮之后所使用某些密钥的一元线性方程,解这些方程便可迅速逐比特恢复相应密钥.因只须一对相关密钥和2个明密文,即可恢复部分密钥比特,攻击的时间复杂度和空间复杂度都可以忽略不计.分析表明KTANTAN32是一个很弱的算法.同时也说明使用NLFSR和线性密钥编排是KTANTAN32的致命弱点,为抵抗相关密钥中间相遇攻击,设计者应在密钥编排中加入非线性因素.     

Differential Fault Attack on the Stream Cipher LIZARD

In this paper, we try to give a security evaluation of LIZARD stream cipher in regard to fault attacks, which, to the best of our knowledge, is the first fault analysis on LIZARD. We design a differential engine of LIZARD to track the differential trail of the keystreams. It is shown that the distributions of the keystream differences are heavily biased. Utilizing this characteristic, we propose an improved method to identify the fault location for LIZARD whose success probability approaches 1. Then we use the fault-free keystream and faulty keystreams to generate system of equations in internal state variables and solve it by SAT solver. The result shows that with 100 keystream bits, only 6 different faults are needed to recover the internal state. Finally, the comparison between LIZARD and Grain v1 shows that LIZARD is more resistable than Grain v1 in regard to fault attacks.     

对两个基于混沌的序列密码算法的分析

本文指出"混沌非线性反馈密码序列的理论设计和有限精度实现"和"一类新型混沌反馈密码序列的理论设计"两文基于混沌设计的两个序列密码算法产生的乱数序列的前若干值对密钥的变化并不敏感,据此在已知混沌变换的条件下,可以利用已知明文采取先攻击高位密钥再攻击低位密钥的方法对这两个密码算法进行分割攻击.本文还提出了在正确密钥的分布已知条件下使平均计算复杂性达到最小的穷举攻击算法,并将它与分割攻击方法结合,提出了对上述两个密码算法的优化分割攻击方案,并分析了这两个攻击方案的计算复杂性和成功率.     

Key-dependent side-channel cube attack on CRAFT

CRAFT is a tweakable block cipher introduced in 2019 that aims to provide strong protection against differential fault analysis. In this paper, we show that CRAFT is vulnerable to side-channel cube attacks. We apply side-channel cube attacks to CRAFT with the Hamming weight leakage assumption. We found that the first half of the secret key can be recovered from the Hamming weight leakage after the first round. Next, using the recovered key bits, we continue our attack to recover the second half of the secret key. We show that the set of equations that are solvable varies depending on the value of the key bits. Our result shows that 99.90% of the key space can be fully recovered within a practical time.     

Security analysis of mCrypton proper to low‐cost ubiquitous computing devices and applications

mCrypton, which is a mini‐version of Crypton, is a 64‐bit block cipher with three key size options (64 bits, 96 bits, 128 bits). It was designed for use in low‐cost ubiquitous wireless devices and resource‐constrained tiny devices such as low‐cost Radio‐Frequency Identification tags and sensors in Ubiquitous Sensor Network. In this paper we show that 8‐round mCrypton with 128‐bit key is vulnerable to related‐key rectangle attack. We first describe how to construct two related‐key truncated differentials on which 7‐round related‐key rectangle distinguisher is based and then we exploit it to attack 8‐round mCrypton. This attack requires 2⁴⁶ dada and 2⁴⁶ time complexities, which is faster than exhaustive search. This is the first known cryptanalytic result on mCrypton. Copyright © 2009 John Wiley & Sons, Ltd.