代数次数的求解算法及其在SIMON-like算法中的应用

代数次数作为布尔函数重要的密码学指标,在密码算法的设计与分析中有着重要的应用.主要研究布尔函数代数次数的求解及其在分组密码SIMON-like算法中的应用.首先,在利用真值表求解代数正规型算法的基础上建立了基于CUDA的并行求解架构,协同利用CPU和GPU的计算资源,极大地缩短了求解代数次数的时间,在较短的时间内求解了SIMON32算法和SIMECK32算法任意轮数的代数正规型和代数次数;其次,在Cube攻击理论的基础上,根据代数次数和超多项式取值之间的关系,设计了估计代数次数的概率算法,估计了一般SIMON-like算法布尔函数的代数次数;最后,从布尔函数代数次数的角度出发,给出了SIMON-like算法在选择不同循环移位参数表现的差异性,进而给出循环移位参数的选取依据.实验结果表明,SIMON算法在原始参数下,达到最大代数次数所需的轮数最短,原始参数具有更高的安全性.     

Subterranean-SAE算法的条件立方攻击

美国国家标准与技术研究院(NIST)于2018年开始征集轻量级认证加密和哈希算法标准,其中Subterranean 2.0密码套件是晋级到第二轮的32个候选算法之一. Subterranean-SAE是Subterranean2.0密码套件中的一种认证加密工作模式. 2019年,刘富康等人对4轮空白轮(4 blank rounds)的Subterranean-SAE算法进行了基于条件立方的密钥恢复攻击,此攻击有效的前提假设是:当条件变量满足条件时输出代数次数为64,否则为65.但刘富康等人并没有验证该假设是否成立.借助三子集可分性理论,本文首次提出了在初始状态未知场景下评估输出代数次数的新技术,并将该技术成功应用于4轮空白轮Subterranean-SAE算法.实验结果表明, 4轮空白轮Subterranean-SAE算法32个输出比特的代数次数上界为63,因此刘富康等人的密钥恢复攻击实际为区分攻击.进一步,本文提出降低立方维数、扩展立方变量选取范围的策略,并成功改进了Subterranean-SAE算法条件立方的搜索方法.利用此方法我们共搜索到24组33维立方并以此构造条件立方攻击,...     

流密码算法Grain 的立方攻击

Dinur和Shamir在2009年欧洲密码年会上提出了立方攻击的密码分析方法.Grain算法是欧洲序列密码工程eSTREAM最终入选的3个面向硬件实现的流密码算法之一,该算法密钥长度为80比特,初始向量(initial vector,简称IV)长度为64比特,算法分为初始化过程和密钥流产生过程,初始化过程空跑160拍.利用立方攻击方法对Grain算法进行了分析,在选择Ⅳ攻击条件下,若算法初始化过程空跑70拍,则可恢复15比特密钥,并找到了关于另外23比特密钥的4个线性表达式;若算法初始化过程空跑75拍,则可恢复1比特密钥.     

简化轮LBlock的密钥中比特检测及分析

LBlock密码算法是近来提出的一类轻量级分组加密算法。利用LBlock算法的结构特点,结合立方检测的基本思想,设计2个密钥中比特捕获算法,对LBlock算法输出所涉及的密钥比特个数情况进行分析。9轮简化LBlock的每个输出比特全部卷入所有的主密钥比特信息,在18维立方变元下,11轮简化LBlock的输出累加中每个比特全部卷入所有的主密钥比特信息。上述2轮简化LBlock均不存在密钥中比特。研究结果表明,全轮LBlock密码算法具有稳固的密钥信息扩散及混淆性,足以抵抗经典立方攻击。     

简化SIMON类算法的立方测试与分析*

针对轻量级分组密码算法SIMON的安全性分析,对SIMON32/64算法抵抗立方攻击的能力和算法内部结构对密钥比特的混淆和扩散性能力进行了评估。基于SIMON类算法的密钥编排特点和轮函数结构,结合立方分析的基本思想,利用FPGA测试平台设计了一个SIMON32/64的立方攻击和密钥中比特检测算法。测试结果表明：在立方变元取6维至24维时,对于7轮SIMON32/64算法,通过立方攻击能够直接恢复47比特密钥,攻击时间复杂度约为218.08;对于8轮SIMON32/64算法,能够直接恢复39比特密钥,攻击时间复杂度约为225.00。对于10轮,11轮SIMON32/64算法,通过立方测试均能够捕获到密钥中比特。     

对序列密码算法的改进Cube攻击

Cube攻击是近来年兴起的攻击手段,针对序列密码算法提出改进的Cube攻击。将代数攻击与Cube相结合,把代数攻击作为Cube攻击的基础,以降低Cube攻击的复杂度。在前人研究的基础上对零化子与Cube攻击的结合方式进行扩展,将改进的攻击应用于Lili-128算法上,仅用三维Cube集合在数据复杂度[210]之内即可恢复88比特密钥。     

一类H布尔函数的代数次数、相关免疫性与代数免疫性的关系

以布尔函数的导数和自定义的e-导数为研究工具,研究了一类特定Hamming重量的H布尔函数的代数次数、代数免疫性、相关免疫性之间的关联问题.得出H布尔函数的组成部分e-导数的代数次数决定了H布尔函数的代数次数;H布尔函数的e-导数与H布尔函数的代数免疫阶的大小紧密关联;H布尔函数的e-导数可将H布尔函数的代数免疫性、零化子、相关免疫性、代数次数联系到一起等.同时,导出了公式法和级联法两类求解H布尔函数最低代数次数零化子的不同方法.     

轻量级分组密码算法ESF的不可能差分分析

新的轻量级密码算法ESF用于物联网环境下保护RFID标签以及智能卡等设备的通信安全.ESF算法是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数是SPN结构.分组长度为64比特,密钥长度为80比特.通过不可能差分分析方法来寻找ESF算法的不可能差分特征,给出ESF算法8轮不可能差分区分器来攻击11轮ESF算法.实验结果表明,ESF对不可能差分密码分析有足够的安全免疫力.     

用不可能差分法分析12轮ESF算法

轻量级分组密码算法ESF是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数具有SPN结构,分组长度为64比特,密钥长度为80比特。为了研究ESF算法抵抗不可能差分攻击的能力,基于一条8轮不可能差分路径,根据轮密钥之间的关系,通过向前增加2轮、向后增加2轮的方式,对12轮ESF算法进行了攻击。计算结果表明,攻击12轮ESF算法所需的数据复杂度为O(2⁵³),时间复杂度为O(260.43),由此说明12轮的ESF算法对不可能差分密码分析是不免疫的。     

基于汉明重的PRESENT密码代数旁路攻击

研究了分组密码代数旁路攻击原理及模型、非线性布尔方程组转化为saT问题的方法,提出了一种基于汉明重的PRESENT密码代数旁路攻击方法,降低了求解非线性多元方程组的复杂度,减少了旁路攻击所需样本量,并通过实验对理论正确性进行了验证。结果表明,在已知明文条件下,利用一个样本前3轮的S盒输入、输出汉明重在0.63s内即可恢复80bit PRESENT完整密钥;在未知明密文和S盒输入、输出汉明重随机选取条件下,也可恢复PRESENT完整密钥。     

Trivium-like算法中可滑动Cube的研究

对于Trivium-like算法,cube攻击是最有效的攻击手段之一.在传统cube攻击中,攻击者主要利用线性检测等方法来寻找具有低次超多项式的cube.实验结果表明存在IV变元子集I1=(vi1,vi2,…,vid)和I2=(vi1-1,vi2-1,…,vid-1)满足pI2(k0,k1,…,kn-2)=σ(pI1(k1,k2,…,kn-1)),其中ki表示密钥变元,pI1是Cube CI1对于t时刻输出比特zt的超多项式,pI2是Cube CI2对于t+1时刻的输出比特zt+1的超多项式,并且变换\sigma将ki映射到ki-1.在本文中,称这种性质为cube的可滑动性.我们研究了Trivium-like算法的攻击中cube的可滑动性.特别地,我们给出了cube具有可滑动性的一个充分条件.此外,我们将充分条件的判断,转化到求解混合整数线性规划(MILP)模型,在实际中能够快速判断出具有滑动性的cube.最后,我们将充分条件应用到实验cube攻击、基于分离性质的cube攻击和相关cube攻击的已有结果,验证了方法的正确性并在实验cube攻击中得到了一个803-轮Trivium的新结果.     

奇数变元代数免疫最优布尔函数的构造方法

代数免疫是随着代数攻击的出现而提出来的一个新的密码学特性。为了有效地抵抗代数攻击,密码系统中使用的布尔函数必须具有最佳的代数免疫。提出了递归构造奇数变元代数免疫最优布尔函数的一个方法。这是一个递归构造的方法,利用该方法,对任意的奇数,都可以构造相同变元数量的代数免疫最优布尔函数。     

Cryptanalysis of Achterbahn-Version 1 and -Version 2

Achterbahn is one of the candidate stream ciphers submitted to the eSTREAM, which is the ECRYPT Stream Cipher Project. The cipher Achterbahn uses a new structure which is based on several nonlinear feedback shift registers （NLFSR） and a nonlinear combining output Boolean function. This paper proposes distinguishing attacks on Achterbahn-Version 1 and -Version 2 on the reduced mode and the full mode. These distinguishing attacks are based on linear approximations of the output functions. On the basis of these linear approximations and the periods of the registers, parity checks with noticeable biases are found. Then distinguishing attacks can be achieved through these biased parity checks. As to Achterbahn-Version 1, three cases that the output function has three possibilities are analyzed. Achterbahn-Version 2, the modification version of Achterbahn-Version 1, is designed to avert attacks based on approximations of the output Boolean function. Our attack with even much lower complexities on Achterbahn-Version 2 shows that Achterbahn-Version 2 cannot prevent attacks based on linear approximations.     

基于碰撞模型的PRESENT密码代数旁路攻击

提出了一种新的分组密码通用的基于碰撞模型的分组密码代数旁路分析方法—代数功耗碰撞攻击,将代数攻击与功耗碰撞攻击结合,首先利用代数分析方法建立密码算法等效布尔代数方程组;然后通过功耗攻击手段获取密码加密过程运行时泄露的功耗信息,经分析转化为加密过程碰撞信息,并表示为关于加密中间状态变元的代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。应用该方法对在8位微控制器上实现的PRESENT密码进行了实际攻击,实验结果表明,代数攻击基础上引入额外的代数方程组,可有效降低方程组求解的复杂度;PRESENT易遭受此类代数功耗攻击的威胁,明密文已知,以4个样本全轮碰撞或8个样本部分轮碰撞信息成功获取PRESENT 80bit完整密钥。此外,文中分析方法也可为其它分组密码功耗碰撞分析提供一定思路。     

代数免疫度最优的偶数元旋转对称布尔函数的构造

针对目前许多流密码算法无法抵抗代数攻击问题,提出了一种构造代数免疫度最优的偶数元旋转对称布尔函数的新方法。该方法在择多函数的基础上,通过巧妙选择汉明重量不一的若干轨道,并改变这些轨道上的函数值,从而构造出一类新的旋转对称布尔函数。给定布尔函数达到代数免疫度最优的一个充分条件,通过证明新构造的布尔函数满足该充分条件,从而表明该类函数代数免疫度最优,能够有效抵抗代数攻击。     

Counting equations in algebraic attacks on block ciphers

This paper is about counting linearly independent equations for so-called algebraic attacks on block ciphers. The basic idea behind many of these approaches, e.g., XL, is to generate a large set of equations from an initial set of equations by multiplication of existing equations by the variables in the system. One of the most difficult tasks is to determine the exact number of linearly independent equations one obtain in the attacks. In this paper, it is shown that by splitting the equations defined over a block cipher (an SP-network) into two sets, one can determine the exact number of linearly independent equations which can be generated in algebraic attacks within each of these sets of a certain degree. While this does not give us a direct formula for the success of algebraic attacks on block ciphers, it gives some interesting bounds on the number of equations one can obtain from a given block cipher. Our results are applied to the AES and to a variant of the AES, and the exact numbers of linearly independent equations in the two sets that one can generate by multiplication of an initial set of equations are given. Our results also indicate, in a novel way, that the AES is not vulnerable to the algebraic attacks as defined here.     

An algebraic attack on the improved summation generator with 2-bit memory

Recently algebraic attacks on stream ciphers have received much attention. In this paper we apply an algebraic attack to the improved summation generator with 2-bit memory, which was presented by Lee and Moon in order to give the original summation generator correlation immunity. We show that the initial state of the generator can be recovered within O(n^5.6) bit operations from O(n²) regular output bits, where n is the total length of LFSRs. We could recover the initial key bits in practice within 3 minutes on a PC even for the case n=256. Our result is a good example that shows how powerful algebraic attacks are in the analysis of stream ciphers.     

WG: A family of stream ciphers with designed randomness properties

In this paper we present a family of stream ciphers which generate a keystream with ideal two-level autocorrelation. The design also guarantees other randomness properties, i.e., balance, long period, ideal tuple distribution, and high and exact linear complexity. We discuss how these properties are achieved by the proposed design and show how to select various parameters to obtain an efficient stream cipher for the desired security level. We also show that the proposed generators are secure against time/memory/data tradeoff attacks, algebraic attacks and correlation attacks. Finally we present WG-128¹ as a concrete example of a WG stream cipher with a key size of 128 bits.