对轻量级分组密码PICO算法的差分攻击

PICO算法是一个SP结构的迭代型轻量级密码算法,目前对该算法的差分分析和相关密钥分析研究尚未完善.本文借助自动化搜索技术,设计了一套基于SAT方法搜索SP结构算法差分路径和差分闭包的自动化工具,构建了搜索约减轮PICO算法差分路径以及差分闭包的SAT模型,评估了PICO算法抵抗差分攻击的能力,提供了比之前分析结果更准确的安全评估.给出了1–22轮PICO算法的最优差分路径及其概率;搜索到概率为2^-60.75的21轮差分闭包和概率为2^-62.39的22轮差分闭包;实现了26轮PICO算法的密钥恢复攻击,攻击的时间复杂度为2^101.106,数据复杂度为2⁶³,存储复杂度为2⁶³.研究了PICO算法抵抗相关密钥攻击的能力,发现PICO算法的密钥编排算法存在缺陷,构建了任意轮概率为1的相关密钥区分器,给出了全轮PICO算法的密钥恢复攻击.所提模型适用于其他轻量级密码算法,尤其是拥有更长的分组或者轮数更多的分组密码算法.     

Rijndael分组密码与差分攻击

深入研究了Rijndael分组密码,将字节代替变换中的有限域GF(28)上模乘求逆运算和仿射变换归并成了一个8×8的S盒,将圈中以字节为单位进行的行移位、列混合、密钥加三种运算归并成了一个广义仿射变换.基于归并将Rijndael密码算法了进行简化,结果表明Rijndael密码实质上是一个形如仿射变换Y=A(?)S(X)(?)K的非线性迭代算法,并以分组长度128比特、密钥长度128比特作为特例,给出了二轮Rijndael密码的差分攻击.文中还给出了Rijndael密码算法的精简描述,并指出了算法通过预计算快速实现的有效方法.     

轻量级分组密码算法ESF的不可能差分分析

新的轻量级密码算法ESF用于物联网环境下保护RFID标签以及智能卡等设备的通信安全.ESF算法是一种具有广义Feistel结构的32轮迭代型分组密码,轮函数是SPN结构.分组长度为64比特,密钥长度为80比特.通过不可能差分分析方法来寻找ESF算法的不可能差分特征,给出ESF算法8轮不可能差分区分器来攻击11轮ESF算法.实验结果表明,ESF对不可能差分密码分析有足够的安全免疫力.     

AC分组密码的差分故障攻击

AC分组密码是2002年提出的一个征求公众测试的密码算法.文中采用面向比特的随机故障模型,结合差分分析技术,利用置换层对故障的扩散特性和S盒的差分分布性质,对AC算法进行了深入分析.并在普通PC机上进行了2000次模拟试验.实验结果表明:平均需要诱导195个错误就可以恢复AC密码的128比特密钥信息.结论是该算法对差分故障攻击不具有免疫力.     

MAGENTA的差分密码分析

对１５个ＡＥ候选算法之一的ＭＡＧＥＮＴＡ算法进行了差分密码分析,利用的是ＭＡＧＥＮＴＡ算法的结构缺陷,结果显示：利用算法１和算法２攻击ＭＡＧＥＮＴ算法,所需的选择明密文对分别为２＾７０和２＾６４。     

轻量级分组密码Pyjamask的不可能差分分析

Pyjamask是美国国家技术标准研究院征选后量子时代轻量级密码算法中进入第二轮的候选分组密码,对其抵抗现在流行的不可能差分分析分析为未来在实际系统中使用起到重要的作用.提出一些2.5轮不可能差分链并分析它们的结构特点和攻击效率,在一些最有效的不可能差分链的前后各接1轮和半轮,形成4轮Py-jamask多重不可能差分攻击路径.攻击结果表明Pyjamask的行混淆运算扩散性比较强,能较好地抵抗不可能差分分析,此结果是对Pyjamask安全性分析的一个重要补充.     

AC分组密码的差分和线性密码分析

讨论AC分组密码对差分和线性密码分析的安全性,通过估计3轮AC的差分活动盒子的个数下界和12轮AC的线性活动盒子的个数下界,本文得到AC的12轮差分特征概率不大于2-128和线性逼近优势不大于2-67.因此,AC分组密码对差分和线性密码分析是安全的.     

随机分组密码算法框架及实现

针对现有的对分组密码的攻击方法对于未知结构的密码算法是无效的特点,提出了一个根据已有分组密码算法生成随机密码算法的框架,其密码算法是由随机控制密钥生成的,因而算法是随机的,能抵抗针对固定结构的密码算法的线性密码分析和差分密码分析。同时还提出了一个具体的AES的随机化算法,该算法具有可证明的安全性,其安全性高于原始的AES,性能与原始的AES算法接近。     

针对PRESENT分组密码算法的代数分析*

本文研究针对PRESENT分组密码的代数分析。通过使用S盒的表达式形式,构建出多轮PRESENT加密中的代数方程组。这种构建方程的方法被推广到具有小型S盒的典型SPN型分组密码算法的方程构建问题中。文中还对简化的PRESENT算法进行了攻击实验。采用MiniSAT作为攻击过程中的求解工具,对4轮、6轮PRESENT加密进行实际攻击。可以在一分钟之内恢复4轮加密的所有密钥,数小时内恢复6轮加密的密钥。并且通过引入了差分思想,首次将有效攻击轮数提高到8轮。     

缩减轮的超轻量级分组密码算法PFP的不可能差分分析

基于Feistel结构的轻量级分组密码算法PFP适用于物联网终端设备等资源极端受限环境。目前对PFP算法不可能差分分析的最好结果是利用7轮不可能差分区分器攻击9轮PFP算法,这样可恢复36 b的种子密钥。为了更准确地评估PFP算法抵抗不可能差分分析的能力,对PFP算法结构进行研究。首先,通过分析轮函数中S盒的差分分布特性,找到了概率为1的两组差分;其次,结合置换层特点,构造出一组包含16条不可能差分的7轮不可能差分区分器;最后,基于构建的7轮不可能差分区分器,对9轮PFP算法进行不可能差分分析以恢复40 b种子密钥,并提出对10轮PFP算法的不可能差分分析方法来恢复52 b种子密钥。结果表明,所提方法在区分器数量、分析轮数、恢复密钥比特数等方面均有较大改善。     

分组密码AES-128的差分故障攻击

AES是美国数据加密标准的简称,又称Rijndael加密算法。它是当今最著名且在商业和政府部门应用最广泛的算法之一。AES有三个版本,分别是AES-128,AES-19和AES-AES的分析是当今密码界的一个热点,文中使用差分故障攻击方法对AES进行分析。差分故障攻击假设攻击者可以给密码系统植入错误并获得正确密文和植入故障后密文,通过对两个密文分析比对从而得到密钥。文中提出了对AES-128的两种故障攻击方法,分别是在第8轮和第7轮的开始注入故障。两个分析方法分别需要2个和4个故障对。数据复杂度分别为2^34（2^112）次猜测密钥。     

PRINCE密码算法的差分-线性分析

PRINCE是一个低时延轻量级分组密码算法,广泛应用于各种资源受限设备.PRINCE使用FX结构,其核心部件是PRINCEcore.差分-线性分析是一种经典分析方法,它将差分分析和线性分析结合起来,使用短的高概率差分特征和线性特征来攻击密码算法.研究了 PRINCEcore的差分-线性分析,使用2轮差分-线性区分器攻击...     

CLEFIA-128算法的不可能差分密码分析

研究13轮CLEFIA-128算法,在9轮不可能差分攻击的基础上,提出一种未使用白化密钥的不可能差分密码分析方法。猜测每个密钥,筛选满足轮函数中S盒输入输出差分对的数据对。利用轮密钥之间的关系减少密钥猜测量,并使用Early Abort技术降低计算复杂度。计算结果表明,该方法的数据复杂度和时间复杂度分别为2120和2125.5。     

ARIA分组密码算法的不可能差分攻击

ARIA密码是2003年由韩国学者提出,并在2004年被选为韩国分组密码标准的新的分组密码算法.为了使用不可能差分方法对ARIA密码算法进行安全性分析,首先,根据ARIA密码的结构特征,构造一条4轮不可能差分路径,通过在不可能差分路径前面增加2轮、后面增加1轮的方式,对7轮ARIA密码算法进行不可能差分攻击.研究结果表明：7轮攻击共需要2\\+\\{119\\}选择明文和大约2\\+\\{218\\}次7轮加密运算.与已有结果相比较,该次攻击进一步降低了数据复杂度和时间复杂度.同时,在4轮不可能差分路径基础上,通过前面增加2轮、后面增加2轮的方式,首次提出了对ARIA密码算法的8轮不可能差分的新攻击.研究结果表明：8轮不可能差分攻击共需要2\\+\\{207\\}选择明文和大约2\\+\\{346\\}次8轮加密运算,已超过穷举搜索的攻击复杂度,故可认为在该路径下的8轮不可能差分攻击中ARIA密码算法是安全的.     

对流密码LILI-128的差分故障攻击

对LILI-128算法对差分故障攻击的安全性进行了研究。攻击采用面向比特的故障模型, 并结合差分分析和代数分析技术, 在 LILI-128 算法LFSRd中注入随机的单比特故障, 得到关于LILI-128算法内部状态的代数方程组, 并使用Crypto MiniSAT解析器求解恢复128位初始密钥。实验结果表明, 280个单比特故障注入就可以在1 min内完全恢复LILI-128全部128位密钥。因此, LILI-128密码实现安全性易遭差分故障攻击威胁, 需要对加密设备进行故障攻击防御, 以提高LILI-128密码实现安全性。     

分组密码PRESENT的基于MILP的分析

CHES2007上提出的PRESENT算法是一种轻量级分组密码算法,密钥分为80bit和128bit两个版本,攻击者使用包括不可能差分分析在内的多种方法对其进行分析。MILP是一种常用在解决优化商业经济问题的方法,使用这种方法可以有效降低设计与密码分析的工作量。本文使用MILP方法对PRESENT算法的不可能差分分析进行研究,最后得到PRESENT算法不可能差分特征的最优解。     

深度学习在ARX分组密码差分分析的应用

随着计算机设备的飞速更新,先进的硬件和高效的计算能力让密码分析学者们越来越关注深度学习,基于深度学习的密码分析近年来成为研究热点.本文应用深度残差网络对分组密码进行差分分析,主要得到以下三项结果.第一,探究了神经网络模型面对密码算法的不同线性运算部件时的表现.基于控制变量法的思想,构造了Speckey和LAX32两类分组密码的神经网络差分区分器.结果表明, Speckey的有效区分器最高为7轮,准确率为0.69; LAX32的有效区分器最高为4轮,准确率为0.55.第二,以SIMON32/64为例,使用四类不同的输入数据格式分别训练了其7–10轮的神经网络差分区分器.分析结果发现,输入数据所含信息量不同时,相同轮数的区分器准确率的差距最多可达0.18.神经网络对所输入的密码信息的利用能力是存在局限性的,输入信息量达到一定程度后不会再使神经网络差分区分器的准确率提高.最后,将训练好的神经网络差分区分器应用到密钥恢复攻击中,对11轮SIMON32/64进行了部分密钥恢复攻击,当选择2⁸个明文对时,在1000次攻击中成功率可达95.6%.     

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击.实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥.因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护.     

DBlock密码算法差分故障分析

DBlock算法是于2015年提出的一种新型分组密码算法,算法分组长度与对应密钥长度为128bit、192bit和256bit,均迭代20轮。基于字节故障模型,并利用基于密钥扩展的差分故障分析方法,在密钥扩展算法运行至第17轮时导入随机故障,对DBlock算法进行差分故障分析。实验结果表明,仅需要4次故障密文便可恢复算法的128bit初始密钥。     

一类基于混沌函数的分组密码的安全性评估

评估了一类基于混沌函数的分组密码(generalized Feistel structure,简称GFS)抵抗差分密码分析和线性密码分析的能力.如果轮函数是双射且它的最大差分特征概率和线性逼近概率分别是p和q,则r轮GFS的最大差分特征和线性逼近的概率分别以p^r-1和q^r-1为其上界.