LBlock算法的相关密钥-不可能差分攻击

该文研究了LBlock分组密码算法在相关密钥-不可能差分条件下的安全性.利用子密钥生成算法的差分信息泄漏规律,构造了多条低重量子密钥差分链,给出了15轮相关密钥-不可能差分区分器.通过扩展区分器,给出了23轮和24轮LBlock算法的相关密钥-不可能差分攻击方法.攻击所需的数据复杂度分别为2^65.2和2^65.6个选择明文,计算复杂度分别为2^66.2次23轮LBlock算法加密和2^66.6次24轮LBlock算法加密,存储复杂度分别为2^61.2和2^77.2字节存储空间.与已有结果相比,首次将针对LBlock算法的攻击扩展到了23轮和24轮.     

3D密码的7轮子空间迹区分器

子空间迹攻击是一种新型分组密码分析方法,该文对使用了类AES密码新结构的3D密码子空间性质进行研究。首先利用3D密码的3轮明确子空间迹,结合子空间的交集性质,首次构造出3D密码的7轮子空间迹不可能差分区分器,数据复杂度为2^193.1个选择明文,时间复杂度为2^202.3次查表操作,成功率为60.6%;“n倍”性质指子空间的全部明文对经过一轮加密,差分属于同一子空间的密文对个数为n的倍数。利用该性质,构造了3D密码的7轮结构区分器,数据复杂度为2^{1 28}个选择明文,时间复杂度为2^129.6次查表操作,存储复杂度为2^{1 28} Byte,成功率大于99.99%。     

积分攻击改进——随机线性区分与密钥恢复攻击

在4轮AES的积分攻击和碰撞攻击的基础上，提出了一种利用明文和中间状态的某些分组之间线性偏差分布的不均匀性的针对4轮SP结构分组密码的随机线性区分攻击。进一步结合预计算，提出了对4轮AES类分组密码的密钥恢复攻击。对LED-64算法给出了具体区分攻击和密钥恢复攻击的结果。其中，对于1-Step的LED-64算法，在数据复杂度为2⁸，计算复杂度为2¹⁶次基本运算的条件下，区分成功的概率是85%；对于2-Step的LED-64算法，相关密钥条件下的密钥恢复攻击的计算复杂度为2¹⁴次基本运算，数据复杂度为2⁸，预计算存储复杂度为2³⁸个半字节。     

减轮LEA密码算法的积分攻击

LEA密码算法是一类ARX型轻量级分组密码,广泛适用于资源严格受限的环境.本文使用中间相错技术找到LEA算法的86条8轮和6条9轮零相关区分器,进一步利用零相关区分器和积分区分器的关系,构造出5条8轮和1条9轮积分区分器.在8轮积分区分器的基础上,利用密钥扩展算法的性质和部分和技术,首次实现了对LEA-128的10轮积分攻击,攻击的计算复杂度为2¹²⁰次10轮LEA-128加密.进一步,实现了对LEA-192的11轮积分攻击以及对LEA-256的11轮积分攻击,计算复杂度分别为2^185.02次11轮LEA-192加密和2²⁴⁸次11轮LEA-256加密.     

改进的减轮Kiasu-BC算法的中间相遇攻击

Kiasu-BC算法是加密认证竞赛CAESAR第一轮入选方案Kiasu的内置可调分组密码。Kiasu-BC算法是基于AES-128轮函数构造的可调分组密码算法，通过对Kiasu-BC算法的结构特征进行研究，利用调柄自由度以及内部密钥间的制约关系，降低预计算的复杂度。结合差分枚举技术，构造新的5轮中间相遇区分器，改进Kiasu-BC算法的8轮中间相遇攻击。改进后攻击的时间复杂度为2¹¹⁴，存储复杂度为2⁶³，数据复杂度为2¹⁰⁸。     

CIKS-128分组算法的相关密钥-差分攻击

分析研究了CIKS-128分组密码算法在相关密钥-差分攻击下的安全性.利用DDP结构和非线性函数的差分信息泄漏规律构造了一条高概率相关密钥-差分特征,并给出攻击算法,恢复出了192bit密钥;在此基础上,对剩余64bit密钥进行穷举攻击,恢复出了算法的全部256bit密钥.攻击所需的计算复杂度为2⁷⁷次CIKS-128算法加密,数据复杂度为2⁷⁷个相关密钥-选择明文,存储复杂度为2^25.4字节存储空间.分析结果表明,CIKS-128算法在相关密钥-差分攻击条件下是不安全的.     

基于混合整数线性规划的八阵图不可能差分分析

八阵图(ESF)是基于LBlock改进的轻量级分组密码，具有优良的软硬件实现效率。针对ESF算法的安全性，该文借助自动化搜索工具，利用不可能差分分析方法，对算法进行安全性评估。首先结合ESF的结构特性和S盒的差分传播特性，建立了基于混合整数线性规划(MILP)的不可能差分搜索模型；其次利用算法S盒的差分传播特性和密钥扩展算法中轮子密钥间的相互关系，基于一条9轮不可能差分区分器，通过向前扩展2轮向后扩展4轮，实现了对ESF算法的15轮密钥恢复攻击。分析结果表明，该攻击的数据复杂度和时间复杂度分别为2^60.16和2^67.44，均得到有效降低，且足够抵抗不可能差分分析。     

数字视频广播通用加扰算法的不可能差分分析

数字视频广播通用加扰算法(DVB-CSA)是一种混合对称加密算法,由分组密码加密和流密码加密两部分组成。该算法通常用于保护视讯压缩标准(MPEG-2)中的信号流。主要研究DVB-CSA分组加密算法(DVB-CSA-Block Cipher, CSA-BC)的不可能差分性质。通过利用S盒的具体信息,该文构造了CSA-BC的22轮不可能差分区分器,该区分器的长度比已有最好结果长2轮。进一步,利用构造的22轮不可能差分区分器,攻击了缩减的25轮CSA-BC,该攻击可以恢复24 bit种子密钥。攻击的数据复杂度、时间复杂度和存储复杂度分别为253.3个选择明文、232.5次加密和224个存储单元。对于CSA-BC的不可能差分分析,目前已知最好结果能够攻击21轮的CSA-BC并恢复16 bit的种子密钥量。就攻击的长度和恢复的密钥量而言,该文的攻击结果大大改进了已有最好结果。     

SPS结构大规模S盒设计与分析

基于循环移位与异或运算构造了有限域(F₂^m)⁴上的一类最优线性变换P，借鉴线性变换输入输出关系反证法的思想，提出将最优线性变换目标问题转化为若干个递进关系定理的证明方法，不仅解决了该类最优线性变换的证明，而且适用于任意线性变换的证明。通过小规模S盒与最优循环移位-异或型线性变换P，建立了2轮SPS结构的大规模S盒模型，设计了一系列密码学性质优良的轻量级大规模S盒，仅使用查表、循环移位、异或三类基本运算，提高了大规模S盒的线性度和差分均匀度。理论证明和实例分析表明，与已有大规模S盒构造方法相比，所提大规模S盒设计方案运算代价更加低廉，其差分、线性等密码学性质更加优良，适宜用于轻量级密码算法非线性置换设计。     

韩国加密标准的安全性分析

SEED是韩国的数据加密标准,设计者称用线性密码分析攻击SEED的复杂度为2^335.4,而用本文构造的15轮线性逼近攻击SEED的复杂度为2³²⁸.为了说明SEED抵抗差分密码分析的能力,设计者首先对SEED的变体SEED^*做差分密码分析,指出9轮SEED*对差分密码分析是安全的;利用SEED^*的扩散置换和盒子的特性,本文构造SEED^*的9轮截断差分,因此10轮SEED^*对截断差分密码分析是不免疫的.本文的结果虽然对SEED的实际应用构成不了威胁,但是显示了SEED的安全性并没有设计者所称的那样安全.     

轻量级密码算法MIBS的零相关和积分分析

MIBS是适用于RFID和传感资源受限环境的轻量级分组算法。该文构造了一些关于MIBS的8轮零相关线性逼近,结合密钥扩展算法的特点和部分和技术,对13轮MIBS-80进行了多维零相关分析。该分析大体需要262.1个已知明文和274.9次加密。此外,利用零相关线性逼近和积分区分器之间的内在联系,推导出8轮的积分区分器,并且对11轮的MIBS-80进行了积分攻击,大体需要260个选择明文和259.8次加密。     

低轮FOX分组密码的碰撞-积分攻击

FOX是最近推出的系列分组密码,它的设计思想基于可证安全的研究结果,且在各种平台上的性能优良.本文利用碰撞攻击和积分攻击相结合的技术分析FOX的安全性,结果显示碰撞-积分攻击比积分攻击有效,攻击对4轮FOX64的计算复杂度是2^45.4,对5轮FOX64的计算复杂度是2^109.4,对6轮FOX64的计算复杂度是2^173.4,对7轮FOX64的计算复杂度是2^237.4,且攻击所需数据量均为2⁹;也就是说4轮FOX64/64、5轮FOX64/128、6轮FOX64/192和7轮FOX64/256对本文攻击是不免疫的.     

对简化版LBLock算法的相关密钥不可能差分攻击

LBLOCK是吴文玲等人于2011年设计的一种轻量级密码算法。该文利用一个特殊的相关密钥差分特征,对19轮的LBlock算法进行了相关密钥不可能差分攻击,攻击的计算复杂度为O(270.0),所需要的数据量为264。进一步,提出了一种针对21轮LBlock的相关密钥不可能差分攻击,计算复杂度为O(271.5),数据量为263。     

10轮3D分组密码算法的中间相遇攻击

3D密码算法是一个代换-置换网络(SPN)型结构的新分组密码。与美国高级加密标准(AES)不同的是3D密码算法采用3维状态形式。该文利用3D算法结构,构造出一个5轮中间相遇区分器,并由此给出10轮3D的新攻击。结果表明:新攻击的数据复杂度约为2128选择明文,时间复杂度约为2331.1次10轮3D加密。与已有的攻击结构相比较,新攻击有效地降低了攻击所需的数据复杂度以及时间复杂度。     

LiCi分组密码算法的不可能差分分析

LiCi是由Patil等人(2017)提出的轻量级分组密码算法。由于采用新型的设计理念,该算法具有结构紧凑、能耗低、占用芯片面积小等优点,特别适用于资源受限的环境。目前该算法的安全性备受关注,Patil等人声称:16轮简化算法足以抵抗经典的差分攻击及线性攻击。该文基于S盒的差分特征,结合中间相遇思想,构造了一个10轮的不可能差分区分器。基于此区分器,向前后各扩展3轮,并利用密钥编排方案,给出了LiCi的一个16轮的不可能差分分析方法。该攻击需要时间复杂度约为283.08次16轮加密,数据复杂度约为259.76选择明文,存储复杂度约为276.76数据块,这说明16轮简化的LiCi算法无法抵抗不可能差分攻击。     

轻量级分组密码算法ESF的相关密钥不可能差分分析

八阵图算法(ESF)是一种具有广义Feistel结构的轻量级分组密码算法,可用在物联网环境下保护射频识别(RFID)标签等资源受限的环境中,目前对该算法的安全性研究主要为不可能差分分析。该文通过深入研究S盒的特点并结合ESF密钥扩展算法的性质,研究了ESF抵抗相关密钥不可能差分攻击的能力。通过构造11轮相关密钥不可能差分区分器,在此基础上前后各扩展2轮,成功攻击15轮ESF算法。该攻击的时间复杂度为240.5次15轮加密,数据复杂度为261.5个选择明文,恢复密钥比特数为40 bit。与现有结果相比,攻击轮数提高的情况下,时间复杂度降低,数据复杂度也较为理想。     

Linearly weak keys of RC5 [private-key cipher]

The author examines the application of linear cryptanalysis to the RC5 private-key cipher and shows that there are expected to be weak keys for which the attack is applicable to many rounds. It is demonstrated that, for the 12-round nominal RC5 version with a 64 bit block size and a 128 bit key, there are 2²⁸ weak keys for which only ~2¹⁷ known plaintexts are required to break the cipher. There are 268 keys for which the cipher is theoretically breakable, requiring ~2⁵⁷ known plaintexts. The analysis highlights the sensitivity of RC5 security to its key scheduling algorithm     

Related-key impossible boomerang cryptanalysis on TWINE

In order to evaluate the security of the lightweight block cipher TWINE,the method of related-key impossible boomerang cryptanalysis was applied and a related-key impossible boomerang distinguisher consisting of 16-round and 17-round paths was constructed.Based on this new distinguisher,an attack on 23-round TWINE was mounted successfully by concatenating 4-round to the beginning and 2-round for the 17-round path and 3-round for the 16-round path to the end respectively.The attack on 23-round TWINE required data complexity of only 2 ^62.05plaintexts and computational complexity of about 2 ^70.4923-round encryptions.Compared with published cryptanalysis results,the proposed attack has obvious advantages.     

低轮FOX分组密码的差分碰撞攻击

This paper presents a method for differential collision attack of reduced FOX block cipher based on 4-round distinguishing property. It can be used to attack 5, 6 and 7-round FOX64 and 5-round FOX128. Our attack has a precomputation phase, but it can be obtained before attack and computed once for all. This attack on the reduced to 4-round FOX64 requires only 7 chosen plaintexts, and performs 242 .84-round FOX64 encryptions. It could be extended to 5 (6, 7)-round FOX64 by a key exhaustive search behind the fourth round. The time complexities of 5, 6 and 7-round FOX64 are approximate to 2106 .8, 2170 .8and 2234 .8, respectively. The attack on reduced FOX128 demands 11 chosen plain-texts, requires 2192one round encryptions in precomputation, performs approximately 276 .5 one round encryptions on 4-round FOX128, and is 2204 .5against 5-round FOX128.