对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先,研究了PICO密码算法的结构,并结合可分性质的思想构造其混合整数线性规划（MILP）模型;然后,根据设置的约束条件生成用于描述可分性质传播规则的线性不等式,并借助数学软件求解MILP问题,从目标函数值判断构建积分区分器成功与否;最终,实现对PICO算法积分区分器的自动化搜索。实验结果表明,搜索到了PICO算法目前为止最长的10轮积分区分器,但由于可利用的明文数太少,不利于密钥恢复。为了取得更好的攻击效果,选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥,攻击的数据复杂度为2^63.46,时间复杂度为2⁷⁶次11轮算法加密,存储复杂度为2²⁰。     

对PICO算法基于可分性的积分攻击

对近年来提出的基于比特的超轻量级分组密码算法PICO抵抗积分密码分析的安全性进行评估。首先，研究了PICO密码算法的结构，并结合可分性质的思想构造其混合整数线性规划（MILP）模型；然后，根据设置的约束条件生成用于描述可分性质传播规则的线性不等式，并借助数学软件求解MILP问题，从目标函数值判断构建积分区分器成功与否；最终，实现对PICO算法积分区分器的自动化搜索。实验结果表明，搜索到了PICO算法目前为止最长的10轮积分区分器，但由于可利用的明文数太少，不利于密钥恢复。为了取得更好的攻击效果，选择搜索到的9轮积分区分器对PICO算法进行11轮密钥恢复攻击。通过该攻击能够恢复128比特轮子密钥，攻击的数据复杂度为2^63.46，时间复杂度为2⁷⁶次11轮算法加密，存储复杂度为2²⁰。     

低轮MIBS分组密码的积分分析

分组密码算法MIBS是轻量级密码算法,其设计目标是适用于RFID和传感等资源受限的环境.对其进行了积分分析,给出了一个5轮的积分区分器,并利用高阶积分的技术将该5轮区分器向前扩展了3轮.据此对MIBS进行了8轮、9轮和10轮的攻击.8轮攻击数据复杂度为29.6,时间复杂度为235.6次加密;9轮的攻击数据复杂度为237 6,时间复杂度为240次加密;10轮的攻击数据复杂度为261.6,时间复杂度为240次加密.同时该攻击结果适用于MIBS-64和MIBS-80两个版本.研究结果表明,这种所使用的高阶积分技术对于Feistel-SP结构的分组密码普遍适用.     

对5轮Square的中间相遇攻击

Square分组密码算法是美国数据加密标准AES算法的前身,它的分组长度、主密钥长度和轮密钥长度都是128比特.文中给出了一个4轮的Square区分器.通过这个区分器找到Square第三轮的密文可以在某些条件下用比较少的参数来表示,减少攻击的运算量.运用这个区分器成功地实现了对5轮Square的中间相遇攻击.这个攻击比其他的攻击的准备阶段和空间复杂度在花费上都少,攻击的先前准备阶段的时间复杂度为234,空间复杂度为272,攻击的时间复杂度为272.     

Midori64分组密码算法的积分攻击

积分攻击是一种重要的密钥恢复攻击方法,已被广泛应用于多种分组算法分析任务。Midori64算法是一种轻量级分组密码算法,为对其进行积分攻击,构建3个6轮零相关区分器,将其分别转化为6轮平衡积分区分器并合成为一个性质优良的6轮零和积分区分器,将该零和积分区分器向前扩展1轮得到一个7轮零和积分区分器。分别采用部分和技术与快速Walsh-Hadamard变换技术,得到Midori64算法的10轮积分攻击和11轮积分攻击。分析结果表明,10轮积分攻击的数据复杂度为2⁴⁰个明密文对,时间复杂度为2^67.85次10轮加密运算,11轮积分攻击的数据复杂度为2^40.09个明密文对,时间复杂度为2^117.37次11轮加密运算。     

10轮Midori128的中间相遇攻击

轻量级分组密码由于软硬件实现代价小且功耗低,被广泛地运用资源受限的智能设备中保护数据的安全。Midori是在2015年亚密会议上发布的轻量级分组密码算法,分组长度分为64 bit和128 bit两种,分别记为Midori64和Midori128,目前仍没有Midori128抵抗中间相遇攻击的结果。通过研究Midori128算法基本结构和密钥编排计划特点,结合差分枚举和相关密钥筛选技巧构造了一条7轮中间相遇区分器。再在此区分器前端增加一轮,后端增加两轮,利用时空折中的方法,提出对10轮的Midori128算法的第一个中间相遇攻击,整个攻击需要的时间复杂度为2126.5次10轮Midori128加密,数据复杂度为2125选择明文,存储复杂度2105 128-bit块,这是首次对Midori128进行了中间相遇攻击。     

基于代数结构视角对轻量分组密码WARP的积分分析

在融合了物联网、5G网络等新一代信息技术的工业互联网中，底层终端设备产生海量数据.数据安全传输的需求使得针对资源受限环境所设计的轻量级密码得到广泛应用.对新提出的轻量级密码进行安全性评估对于保障工业互联网的安全运行至关重要.发现了某种特定结构加密算法基于多变量多项式的积分性质，利用该性质得到了更长积分区分器，改进了基于代数结构的分析方法.提出了基于代数结构构造SPN(substitution permutation network)和Feistel-SP结构分组密码积分区分器的框架，并将其应用于SAC 2020会议上提出的轻量分组密码WARP的分析上，构造了2个复杂度为2¹¹⁶的22轮积分区分器，比设计者给出的区分器多了2轮，并且复杂度更低.利用该积分区分器，实现26轮密钥恢复攻击，比设计者给出的密钥恢复攻击增加了5轮，这是目前在单密钥情境下对WARP最好的攻击结果.此外，还对18轮积分区分器进行了实验验证，运算复杂度为2³².     

基于MILP搜索的ANU算法积分分析

ANU算法是由Bansod等人发表在SCN 2016上的一种超轻量级的Feistel结构的分组密码算法。截至目前,没有人提出针对该算法的积分攻击。为了研究ANU算法抗积分攻击的安全性,根据ANU算法的结构建立起基于比特可分性的MILP模型。对该模型进行求解,首次得到ANU算法的9轮积分区分器;利用搜索到的9轮区分器以及轮密钥之间的相关性,对128 bit密钥长度的ANU算法进行12轮密钥恢复攻击,能够恢复43 bit轮密钥。该攻击的数据复杂度为2^63.58个选择明文,时间复杂度为2^88.42次12轮算法加密,存储复杂度为2³³个存储单元。     

Zodiac算法的零相关-积分攻击

Zodiac算法是一种由一批韩国学者设计的分组密码算法,它是16轮平衡Feistel型的分组密码。首次从零相关-积分分析的角度评价了Zodiac算法的安全性,构造出算法的两类13轮零相关线性逼近,并据此给出了13轮零相关-积分区分器,对全轮Zodiac算法进行了零相关-积分分析,成功恢复出了144bit轮子密钥信息。结果显示:完整16 轮Zodiac-128/192/256算法的零相关-积分攻击的数据复杂度为2¹²⁰个选择明文,时间复杂度大约为2⁸²次16轮Zodiac算法加密,时间复杂度明显优于已有的积分攻击结果。     

7轮ARIA-256的不可能差分新攻击

如何针对分组密码标准ARIA给出新的安全性分析是当前的研究热点。基于ARIA的算法结构,利用中间相遇的思想设计了一个新的4轮不可能差分区分器。基于该区分器,结合ARIA算法特点,在前面加2轮,后面加1轮,构成7轮ARIA-256的新攻击。研究结果表明：攻击7轮ARIA-256所需的数据复杂度约为2120选择明文数据量,所需的时间复杂度约为2219次7轮ARIA-256加密。与已有的7轮ARIA-256不可能差分攻击结果相比较,新攻击进一步地降低了所需的数据复杂度和时间复杂度。     

Collision attack on reduced-round Camellia

Camellia is the final winner of 128-bit block cipher in NESSIE. In this paper, we construct some efficient distinguishers between 4-round Camellia and a random permutation of the blocks space. By using collision-searching techniques, the distinguishers are used to attack on 6, 7, 8 and 9 rounds of Camellia with 128-bit key and 8, 9 and 10 rounds of Camellia with 192/256-bit key. The 128-bit key of 6 rounds Camellia can be recovered with 210 chosen plaintexts and 215 encryptions. The 128-bit key of 7 rounds Camellia can be recovered with 212 chosen plaintexts and 254.5 encryptions. The 128-bit key of 8 rounds Camellia can be recovered with 213 chosen plaintexts and 2112.1 encryptions. The 128-bit key of 9 rounds Camellia can be recovered with 2113.6 chosen plaintexts and 2121 encryptions. The 192/256-bit key of 8 rounds Camellia can be recovered with 213 chosen plaintexts and 2111.1 encryptions. The 192/256-bit key of 9 rounds Camellia can be recovered with 213 chosen plaintexts and 2175.6 encryptions. Th     

概率积分及其在PUFFIN算法中的应用

积分分析是一种针对分组密码十分有效的分析方法,其通常利用密文某些位置的零和性质构造积分区分器.基于高阶差分理论,可通过研究密文与明文之间多项式的代数次数来确定密文某些位置是否平衡.从传统的积分分析出发,首次考虑常数对多项式首项系数的影响,提出了概率积分分析方法,并将其应用于PUFFIN算法的安全性分析.针对PUFFIN算法,构造了7轮概率积分区分器,比已有最好的积分区分器轮数长1轮.进一步,利用构造的概率积分区分器,对9轮PUFFIN算法进行密钥恢复攻击.该攻击可恢复92比特轮密钥,攻击的数据复杂度为2^24.8个选择明文,时间复杂度为2^35.48次9轮算法加密,存储复杂度为2²⁰个存储单元.     

Differential Attack on Five Rounds of the SC2000 Block Cipher<Superscript>*</Superscript>

The SC2000 block cipher has a 128-bit block size and a user key of 128,192 or 256 bits,which employs a total of 6.5 rounds if a 128-bit user key is used.It is a CRYPTREC recommended e-government cipher in Japan.In this paper we address how to recover the user key from a few subkey bits of SC2000,and describe two 4.75-round differential characteristics with probability 2-126 of SC2000 and seventy-six 4.75-round differential characteristics with probability 2-127.Finally,we present a differential cryptanalysis attack on a 5-round reduced version of SC2000 when used with a 128-bit key;the attack requires 2-125.68 chosen plaintexts and has a time complexity of 2 125.75 5-round SC2000 encryptions.The attack does not threat the security of the full SC2000 cipher,but it suggests for the first time that the safety margin of SC2000 with a 128-bit key decreases below one and a half rounds.     

New impossible differential attacks on reduced-round Crypton

Crypton is a 128-bit block cipher which was submitted to the Advanced Encryption Standard competition. In this paper, we present two new impossible differential attacks to reduced-round Crypton. Using two new observations on the diffusion layer of Crypton, exploiting a 4-round impossible differential, and appropriately choosing three additional rounds, we mount the first impossible differential attack on 7-round Crypton. The proposed attacks require 2¹²¹ chosen plaintexts each. The first attack requires 2^125.2 encryptions. We then utilize more pre-computation and memory to reduce the time complexity to 2^116.2 encryptions in the second attack.     

Security of the SMS4 Block Cipher Against Differential Cryptanalysis

SMS4 is a 128-bit block cipher used in the WAPI standard for wireless networks in China.In this paper,we analyze the security of the SMS4 block cipher against differential cryptanalysis.Firstly,we prove three theorems and one corollary that reflect relationships of 5- and 6-round SMS4.Next,by these relationships,we clarify the minimum number of active S-boxes in 6-,7- and 12-round SMS4 respectively.Finally,based on the above results,we present a family of about 2¹⁴ differential characteristics for 19-round SMS4,which leads to an attack on 23-round SMS4 with 2¹¹⁸ chosen plaintexts and 2^126.7 encryptions.     

Differential attack on nine rounds of the SEED block cipher

The SEED block cipher has a 128-bit block length, a 128-bit user key and a total number of 16 rounds. It is an ISO international standard. In this letter, we describe two 7-round differentials with a trivially larger probability than the best previously known one on SEED, and present a differential cryptanalysis attack on a 9-round reduced version of SEED. The attack requires a memory of 2^69.71 bytes, and has a time complexity of 2^126.36 encryptions with a success probability of 99.9% when using 2¹²⁵ chosen plaintexts, or a time complexity of 2^125.36 encryptions with a success probability of 97.8% when using 2¹²⁴ chosen plaintexts. Our result is better than any previously published cryptanalytic results on SEED in terms of the numbers of attacked rounds, and it suggests for the first time that the safety margin of SEED decreases below half of the number of rounds.