基于汉明重的PRESENT密码代数旁路攻击

研究了分组密码代数旁路攻击原理及模型、非线性布尔方程组转化为saT问题的方法,提出了一种基于汉明重的PRESENT密码代数旁路攻击方法,降低了求解非线性多元方程组的复杂度,减少了旁路攻击所需样本量,并通过实验对理论正确性进行了验证。结果表明,在已知明文条件下,利用一个样本前3轮的S盒输入、输出汉明重在0.63s内即可恢复80bit PRESENT完整密钥;在未知明密文和S盒输入、输出汉明重随机选取条件下,也可恢复PRESENT完整密钥。     

ITUbee密码代数旁路攻击

ITUbee是在2013年第二届轻量级加密安全与隐私国际研讨会上提出的轻量级密码算法,对ITUbee密码进行安全分析有着积极意义。研究了ITUbee的代数旁路攻击方法,首先构建ITUbee密码S盒的等价代数方程组;由于构造的方程组不易解,通过采集ITUbee算法的加密功耗泄露,对加密中间状态字节的汉明重进行推断,并将其转化为与密码算法联立的布尔方程组,再利用cryptominisat解析器来求解密钥。实验结果表明,按此思路构造的ITUbee攻击方法所需样本少;在已知明文和未知明密文的场景下,1次ITUbee加密、部分轮汉明重泄露的情况下可成功恢复全部初始密钥。     

基于汉明重的SMS4密码代数旁路攻击研究

基于汉明重泄露模型,对SMS4算法抗代数旁路攻击能力进行了评估.首先构建SMS4算法等价布尔代数方程组,然后采集SMS4加密功耗泄露,基于模板分析对加密中间状态字节的汉明重进行推断,并转化为与密码算法联立的代数方程组,最后利用解析器进行密钥求解.结果表明:SMS4密码易遭受代数旁路攻击;已知明文条件下,2个样本4轮连续汉明重泄露或26轮离散汉明重泄露可恢复128bit SMS4主密钥;未知明密文条件下,2个样本连续5轮汉明重泄露可恢复128bit SMS4主密钥;使用随机掩码防御的SMS4实现仍不能有效防御代数旁路攻击,已知明文条件下,2个样本连续14轮汉明重泄露可恢复128bit SMS4主密钥.为提高攻击实用性,提出了一种容错代数旁路攻击方法,结果表明汉明重推断错误率不超过60％的情况下,2个样本可恢复128bit SMS4主密钥.本文方法对其它分组密码代数旁路攻击研究具有一定的借鉴意义.     

基于碰撞模型的PRESENT密码代数旁路攻击

提出了一种新的分组密码通用的基于碰撞模型的分组密码代数旁路分析方法—代数功耗碰撞攻击,将代数攻击与功耗碰撞攻击结合,首先利用代数分析方法建立密码算法等效布尔代数方程组;然后通过功耗攻击手段获取密码加密过程运行时泄露的功耗信息,经分析转化为加密过程碰撞信息,并表示为关于加密中间状态变元的代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。应用该方法对在8位微控制器上实现的PRESENT密码进行了实际攻击,实验结果表明,代数攻击基础上引入额外的代数方程组,可有效降低方程组求解的复杂度;PRESENT易遭受此类代数功耗攻击的威胁,明密文已知,以4个样本全轮碰撞或8个样本部分轮碰撞信息成功获取PRESENT 80bit完整密钥。此外,文中分析方法也可为其它分组密码功耗碰撞分析提供一定思路。     

轻型分组密码LED代数故障攻击方法

针对CHES 2011会议上提出的轻型分组密码LED,给出了一种代数故障攻击方法。首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后基于单比特故障模型根据算法故障密文得到差分故障信息,并转换为额外的代数方程组;最后利用CryptoMiniSAT解析器求解密钥。实验结果表明,针对LED算法代数故障攻击优于传统的差分故障分析,第30轮一次故障注入即可在122 s内恢复LED 64 bit完整密钥。     

一种基于Grobner基的代数攻击方法

代数攻击能够有效分析出分组密码中的密钥值,Grobner基能够快速求解多变量高次方程组。该文提出一种基于Grobner基的代数攻击方法,用超定代数方程组描述Rijndael加密算法,采用项序转换算法FGML将次数反字典序转化为字典序,使算法能够在已知少量明密文对的情况下对密钥进行求解,通过设计合理的项序和方程组解的判定降低算法复杂度。     

基于碰撞模型的LED代数旁路攻击

针对轻型分组密码LED提出了一种基于碰撞模型的代数旁路攻击。利用代数攻击方法建立密码算法等效布尔代数方程组,采集算法运行中泄露的功耗信息并转换为碰撞信息,并将碰撞信息转换成额外方程组,从而利用CryptoMiniSAT解析器求解密钥。实验结果表明:旁路碰撞信息可有效降低方程组求解的复杂度;已知明文条件下,利用2轮最少50%的随机碰撞信息,即可在158.5 s内恢复64 bit LED完整密钥。此外,该方法也可用于其他分组密码功耗碰撞分析。     

SIMECK密码代数故障攻击研究

针对SIMECK密码给出一种代数故障攻击方法。首先给出SIMECK加密轮函数和密钥生成策略等效代数方程创建方法;分别设定故障已知模型和故障未知模型,并在故障未知模型下提出基于故障注入差分和基于正确/故障密文差分确定故障索引值两种策略创建故障信息方程;利用基于SAT问题求解方程组。结果表明,在SIMECK32/64第24轮注入单比特翻转故障,故障已知模型和基于故障注入差分的故障未知模型均仅需2次注入即可恢复完整64比特主密钥;在第27轮注入故障,基于密文差分的未知模型需9次注入可恢复完整主密钥。与已有研究相比,该攻击密钥搜索复杂度更低,所需故障注入样本量更少。     

轻量级分组密码算法DoT的模板攻击

模板攻击是一种重要的侧信道分析方法,其在实际密码算法破译中具有较强的区分能力。轻量级分组密码算法DoT在硬件和软件实现中都表现出优秀的性能,尽管目前针对DoT算法的传统数学攻击已经取得了一定效果,但是该算法在具体实现中是否足以抵御侧信道攻击仍有待研究。基于DoT算法结构及其S盒特点,提出一种针对DoT算法的模板攻击方法。基于汉明重量模型来刻画加密算法运行时的能耗特征,将S盒输出值的具体分布作为中间状态值构造区分器,从而进行密钥恢复。测试结果表明,该模板攻击仅需6组明文就可恢复出8 bit密钥信息,DoT密码算法在该模板攻击下具有脆弱性。     

SM4密码算法的唯密文故障分析

SM4算法是我国公布的首个商用密码算法,用于保护WAPI无线局域网标准中的数据传输,2012年成为国家密码行业标准,2021年作为ISO/IEC国际标准正式发布．在唯密文攻击中,攻击者除了所截获的密文,没有其它可利用的信息,因而获取的信息最少、攻击难度较大．目前,国内外未有公开发表的SM4算法抵抗唯密文攻击的结果．本文采用巴氏系数 汉明重量、詹森香农散度 汉明重量和詹森香农散度 汉明重量 极大似然估计等新型区分器对SM4算法实施唯密文故障分析．仿真实验表明,该方法最少仅需要136个随机故障,可以破译SM4算法的128比特主密钥,且在准确度、成功率、耗时和复杂度等方面攻击效果佳．该结果为无线局域网中密码算法的安全性分析和实现提供了重要参考．