AES布尔函数Walsh谱分析

高级加密标准算法Rijndael的设计初衷是抵抗差分攻击并口线性攻击等现有攻击。本文从另一个角度--布尔函数出发，利用Walsh谱理论，分析AES的S盒的线性性、非线性性、严格雪崩特性、扩散特性并口相关免疫性等密码性质，从理论上揭示AES的S盒的安全性。     

SMS4算法S盒代数性质的研究

对中国分组密码新标准SMS4算法s盒布尔函数的密码性质进行了深入的分析,研究其平衡性、非线性、代数次数等性质,理论上证明了SMS4算法s盒所拥有的一些较好的安全特性。     

SMS4算法S盒的密码学性质

S盒是分组密码的重要组成部分,在很大程度上决定了分组密码的安全性。该文研究了中国分组密码标准SMS4算法S盒的平衡性、差分性质、线性结构、非线性、Walsh谱等性质,通过与美国高级加密标准、欧洲分组加密标准Camellia的S盒作比较,说明了SMS4算法S盒一些较好的安全特性。     

求S盒布尔表达式的若干算法探讨

S盒是许多加密算法唯一的非线性部件,其安全性对这些算法的密码分析至关重要。S盒输出的布尔表达式（即模2域上的代数多项式）被用于衡量S盒的非线性度等用途。在已知S盒真值表情况下,对求S盒各输出布尔表达式的各种算法进行了探讨和总结。其中,折半异或法在普通PC计算机上只需要[m2m-1]次操作,其中[m]为S盒的输入位数,且不需要占用额外的内存。     

布尔函数和伪布尔函数多项式表示的快速实现算法

布尔函数和伪布尔函数在不同的领域有着广泛的应用,利用多项式表示有利于刻划它们的一些特征属性。论文首先在已知输入都能得到输出的条件下给出了布尔函数多项式表示的快速实现算法,该算法仅用到模2加运算,运算次数少,具有简洁、易于编程实现、准确而快速的特点,而且该算法很易推广为伪布尔函数多项式表示的快速实现算法,只需把模2加运算换成实数加运算即可。接着通过比较说明了伪布尔函数多项式表示的快速实现算法,同时指出任何伪布尔函数都能通过多项式形式表示出来。最后通过实例进一步验证了算法的正确性。     

基于Walsh谱变换的S盒算法

针对一阶差分功耗分析(DPA)攻击问题,借鉴现有的频谱变换S盒防护方法,利用Walsh谱变换的单比特输出特性,并运用Walsh谱变换与构造相应掩码变量,提出一种基于Walsh谱变换的安全S盒算法。阐述算法的具体实现过程,分析所有敏感数据的掩码安全性。以数据加密标准算法为例,描述该算法在实际应用中的具体实现。通过50万条功耗曲线的DPA攻击进行实验,结果表明,与基于傅里叶变换的S盒算法相比,该算法在保证安全性的同时,可避免复杂的算术掩码操作。     

一类弹性布尔函数的谱值分布

Sarka等人在文献[1]中给出了弹性布尔函数的一种构造方法,利用该方法可以构造出非线性度、弹性阶和代数次数等密码学性质均较理想的奇数元弹性布尔函数。对其构造得到的弹性布尔函数的谱值分布进行了研究,分析了由该方法所构造得到的5元1阶和7元1阶弹性布尔函数的谱值,给出了这两类弹性布尔函数的谱值分布情形,并给出了相应谱值点的计数结果。     

广义ε-相关免疫布尔向量函数

本文给出了布尔向量函数m阶广义ε-相关免疫的概念，证明了布尔向量函数的高阶广义ε-相关免疫性蕴含低阶广义ε-相关免疫性，并根据布尔随机向量联合分布分解式得到了布尔向量函数m阶广义ε-相关免疫的一个谱判别条件，还说明了m阶广义ε-相关免疫布尔向量函数的代数次数不受相关免疫阶数的限制。     

相关免疫函数的性质和构造

利用Walsh频谱方法给出了一个布尔函数是m阶相关免疫函数的一个充要条件, 给出了几种由已知相关免疫函数构造新的相关免疫函数的方法.     

具有最优代数免疫阶的一类新布尔函数的构造

构造了一类至少具有次优代数免疫阶的布尔函数f,并利用级联的方法构造了一类具有最优代数免疫阶的布尔函数h。这类函数h不同于以前相关文献中所提出的最优代数免疫的布尔函数,给出了f的数目,并进一步讨论了h（偶数个变元的情况下）的非线性度,发现利用择多函数F_n构造的一类函数h非线性度达到Lobanov界。     

一种SMS4加密算法差分功耗攻击

针对SMS4加密电路,采用差分功耗分析攻击方式进行密钥破解.该攻击方法是一种典型的加密芯片旁路攻击方式,其理论基础为集成电路中门电路在实现加密算法时的物理特征、功耗模型及数据功耗相关性.结合中国第一个商用密码算法SMS4,详细介绍了针对SMS4加密系统进行差分功耗分析攻击的设计与实现.开发了相应的仿真实验验证平台,实验验证成功破解了SMS4加密算法的密钥,从而给SMS4加密算法研究者提供了有益的安全设计参考.实验表明,未加防护措施的SMS4加密系统难以抵御差分功耗分析的攻击.     

一种提高SMS4安全性的算法

SMS4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。关于其安全性研究的公开论文很少,文中研究SMS4算法的安全性并提出了一个提高其安全性的算法,详细讨论了该算法的正形性以及密码运算操作的正确性,同时通过与SMS4原算法的理论分析以及实验数据对比,得出结论：本SMS4改进算法在保证加解密操作的正确性以及基本不改变算法应用领域的前提下,提高了原SMS4算法的安全性。     

Cross-Correlation Analysis of Cryptographically Useful Boolean Functions and S-Boxes

We use the cross-correlation function as a fundamental tool to study cryptographic properties of Boolean functions. This provides a unified treatment of a large section of Boolean function literature. In the process we generalize old results and obtain new characterizations of cryptographic properties. In particular, new characterizations of bent functions and functions satisfying propagation characteristics are obtained in terms of the cross-correlation and auto-correlation properties of subfunctions. The exact relationship between the algebraic structure of the non-zeros of the spectrum and the auto-correlation values is obtained for a cryptographically important class of functions. Finally we study the suitability of S-boxes in stream ciphers and conclude that currently known constructions for S-boxes may not be adequate for such applications. Received April 27, 2001, and in revised form October 30, 2001. Online publication February 20, 2002.     

对白盒SMS4实现的一种有效攻击

传统的密码模型都假设密码系统的运行终端和计算环境是可信任的,但是,随着攻击方式的发展,这样的模型显得越来越脆弱.而白盒攻击环境是指攻击者除了能够获得与传统密码模型同样的资源以外,还对密码系统的内部运行完全可见,并完全掌控执行环境.因此,能够抵抗白盒攻击的密码算法具有更高层次的安全意义.2009 年提出的SMS4 算法的白盒实现,其目标是在白盒攻击环境下能够防止SMS4 算法的密钥被恢复.在回顾已有研究的基础上,针对该SMS4 算法的白盒实现提出了一种有效的攻击,并详细解释了如何以低于2⁴⁷ 的时间复杂度找出嵌入其中的轮密钥,说明了该白盒设计方法的不可靠性,并为设计安全的白盒实现提供了一种参考.     

SMS4密码算法的差分故障攻击

SMS4是用于WAPI的分组密码算法,是国内官方公布的第一个商用密码算法．由于公布时间不长,关于它的安全性研究尚没有公开结果发表．该文研究SMS4密码算法对差分故障攻击的安全性．攻击采用面向字节的随机故障模型,并且结合了差分分析技术．该攻击方法理论上仅需要32个错误密文就可以完全恢复出SMS4的128比特种子密钥．因为实际中故障发生的字节位置是不可能完全平均的,所以实际攻击所需错误密文数将略大于理论值;文中的实验结果也验证了这一事实,恢复SMS4的128bit种子密钥平均大约需要47个错误密文．文章结果显示SMS4对差分故障攻击是脆弱的．为了避免这类攻击,建议用户对加密设备进行保护,阻止攻击者对其进行故障诱导．     

8位平台SMS4密码算法实时加解密实现

SMS4算法是国内官方公布的第一个商用无线局域网分组密码算法.本文简要的介绍了SMS4算法,并分析了8位平台输入输出和SMS4算法的特点,采用了流水线技术,在密钥提前生成的情况下实现了ECB加模式下的实时加解密.     

Differential Fault Analysis on SMS4 using a single fault

Differential Fault Analysis (DFA) attack is a powerful cryptanalytic technique that could be used to retrieve the secret key by exploiting computational errors in the encryption (decryption) procedure. In this paper, we propose a new DFA attack on SMS4 using a single fault. We show that if a random byte fault is induced into either the second, third, or fourth word register at the input of the 28-th round, the 128-bit key could be recovered with an exhaustive search of 22.11 bits on average. The proposed attack makes use of the characteristic of the cipher's structure and its round function. Furthermore, it can be tailored to any block cipher employing a similar structure and an SPN-style round function as that of SMS4.