Trivium序列密码的线性性质和代数性质

Trivium是C.De Cannière和B.Preneel在2005年为欧洲eSTREAM项目设计的序列密码,Trivium被选为最终的7个算法之一.Trivium的内部状态为288比特,密钥长度为80比特.文中给出Trivium的分组密码迭代模型,在这个模型下,利用计算程序得出了Trivium各轮输出关于内部状态的线性逼近及其线性逼近概率,当初始化轮数超过246时,其输出关于输入的线性逼近概率不大于1/2＋2-41.利用计算机搜索程序,给出Trivi-um在轮的代数方程规模,利用l 152个输出比特,得到的二次方程组包含6 788个变量、11 232个方程,从实验上证明了Trivium算法能抗线性攻击和代数攻击.     

Trivium流密码的基于自动推导的差分分析

Trivium是欧洲eSTREAM工程评选出的7个最终胜出的流密码算法之一.本文提出了针对Trivium的基于自动推导的差分分析技术,利用该技术可以得到任意轮Trivium算法的差分传递链.将该技术应用于轮数为288的简化版Trivium算法,提出了一个有效的区分攻击,仅需226个选择IV,区分优势为0.999665,攻击结果远优于已有的线性密码分析和多线性密码分析.将该技术应用于更多轮的Trivium算法和由Turan和Kara提出的修改Trivium算法,结果表明,初始化轮数低于359的Trivium算法不能抵抗差分分析,修改Trivium算法在抵抗差分分析方面优于原Trivium算法.     

基于SAT的ARX不可能差分和零相关区分器的自动化搜索

ARX（Addition，Rotation，Xor）算法基于模整数加，异或加和循环移位三种运算，便于软硬件的快速实现.不可能差分分析和零相关分析是攻击ARX的有效方法，攻击的关键是搜索更长轮数、更多数量的不可能差分和零相关区分器.目前很多的搜索方法都没有充分考虑非线性组件的性质，往往不能搜索得到更好、更准确的区分器.本文提出了基于SAT（Satisfiability）的ARX不可能差分和零相关区分器的自动化搜索算法.通过分析ARX算法组件的性质，特别是常规模加和密钥模加这两种非线性运算差分和线性传播的特性，给出了高效简单的SAT约束式.在此基础上，建立SAT模型进行区分器的搜索.作为应用，本文首次给出了Chaskey算法13条4轮不可能差分和1条4轮零相关区分器；首次给出了SPECK32算法10条6轮零相关区分器和SPECK48算法15条6轮零相关区分器；在较短的时间内，给出了HIGHT算法17轮的不可能差分和零相关区分器.与现有结果相比，无论是区分器的条数，还是搜索区分器的时间均有明显的提升.此外，通过重新封装求解器STP的输出接口，建立了自动化的SAT\\SMT分析模型，能够给出ARX算法在特殊输入输出差分和掩码集合下，不可能差分和零相关区分器轮数的上界.     

HIGHT算法的积分攻击

对轻量级分组密码算法HIGHT在积分攻击方法下的安全性进行了研究。首先纠正了现有研究成果在构造区分器时的不当之处,重新构造了HIGHT算法的11轮积分区分器,并构造了相应高阶积分扩展下的17轮区分器;其次利用所构造的17轮区分器,结合“时空折中”原理对25轮HIGHT算法进行了积分攻击;最后对攻击算法的复杂度进行了分析,攻击算法需要的数据复杂度为262.92,时间复杂度为266.20,空间复杂度为2119。分析结果表明,所给出的攻击算法的攻击轮数和时间复杂度要优于现有研究结果。     

简化版Trivium算法的线性逼近研究

针对初始化轮数为288个时钟的简化版Trivium算法（又称2轮Trivium）进行了线性逼近研究,设计了搜索最佳线性近似式算法,并通过对第1轮关于密钥、初始化向量和密钥流比特的表达式做非线性逼近,结合该算法,在同等条件下给出了2轮Trivium 16个偏差为 的线性近似式,使通过多线性攻击去识别2轮Trivium的一个具有特定比特的密钥所需要的数据量降为 个选择IV,为Turan方案所需数据量的 ,且成功率保持不变。     

一种基于完全性的不可能差分区分器构造方法

基于混合运算的密码算法(MOC)以安全性高、软硬件实现效率高等特点受到人们的广泛关注。完全性指输出的每一比特都包含有输入每一比特的信息,达到完全性是密码算法设计的一个基本原则。该文提出针对MOC算法完全性分析的通用算法,并在此基础上提出利用完全性寻找MOC算法的不可能差分区分器的方法,此构造方法可直接给出MOC算法高重量的不可能差分区分器且搜索效率高,为MOC算法不可能差分区分器的实际构造提供了理论指导和技术支持。应用此方法找到了SIMON系列算法全部现有的最长不可能差分区分器,并找到了SPECK系列算法更多的不可能差分区分器。     

对Shannon算法的线性区分攻击

该文基于对Shannon算法非线性反馈移存器反馈函数和非线性滤波函数进行线性逼近,得到了优势为2-28的32个新的区分器,给出了一个对流密码算法Shannon的新的线性区分攻击。该区分攻击大约需要252密钥字就能将Shannon算法的密钥流序列从随机序列中区分出来。     

Zodiac算法新的Square攻击

该文重新评估了Zodiac算法抗Square攻击的能力。Zodiac算法存在8轮Square区分器,该文首先根据算法的结构特性,给出了Zodiac的4个等价结构,而后利用等价结构得到了两个新的9轮Square区分器。利用新的区分器,对不同轮数的Zodiac算法实施了Square攻击,对12轮,13轮,14轮,15轮和16轮Zodiac的攻击复杂度分别为237.3,262.9,296.1,2137.1和2189.5次加密运算,选择明文数分别为210.3,211,211.6,212.1和212.6。结果表明:完整16轮192 bit密钥的Zodiac算法是不抗Square攻击的。     

减轮Simeck算法的积分攻击

该文对轻量级分组密码算法Simeck在积分攻击下的安全性进行了研究。通过向前解密扩展已有的积分区分器,构造了16轮Simeck48和20轮Simeck64算法的高阶积分区分器,并在新区分器的基础上,利用等价子密钥技术和部分和技术,结合中间相遇策略和密钥扩展算法的性质,实现了24轮Simeck48和29轮Simeck64算法的积分攻击。攻击24轮Simeck48的数据复杂度为246,时间复杂度为295,存储复杂度为282.52;攻击29轮Simeck64的数据复杂度为263,时间复杂度为2127.3,存储复杂度为2109.02。与Simeck算法已有积分攻击的结果相比,该文对Simeck48和Simeck64积分攻击的轮数分别提高了3轮和5轮。     

MIBS算法的积分攻击

对分组密码算法MIBS在积分攻击下的安全性进行了研究,构造了MIBS算法的5轮积分区分器,利用Feistel结构的等价结构以及MIBS密钥扩展算法中主密钥和轮密钥的关系,对10轮MIBS算法实施了积分攻击,给出了攻击算法。攻击10轮MIBS-64的数据复杂度和时间复杂度分别为 和 ,攻击10轮MIBS-80的数据复杂度和时间复杂度分别为 和 。分析结果表明,10轮MIBS算法对积分攻击是不免疫的,该积分攻击的轮数和数据复杂度上都要优于已有的积分攻击。     

流密码中的单圈T-函数

T-函数由于具有计算速度快、密码学性质良好等特点而得到广泛应用,先后用于构造分组密码、Hash函数和流密码。单圈T-函数可以用来代替流密码中的线性反馈移位寄存器,逐渐用来构建新的流密码体制。文中介绍了单圈T-函数的性质,概括了长周期单圈T-函数已知的三种类型,推广了T-函数的定义,有利构造新的长周期单圈T-函数。并总结了关于单圈T-函数值得进一步研究的几个问题。     

基于唯密文数据的序列密码识别

对采用RC4、A5/1和Trivium序列密码加密的数据进行了识别研究。首先,在训练和测试样本加密密钥一致和不一致时分别进行了序列密码识别;其次,对序列密码和分组密码进行混合识别;最后,考虑了短密钥流情形下的序列密码识别。实验结果表明,即使训练和测试样本加密密钥不一致时,基于短密钥流的识别也能达到较好的识别效果,同时序列密码与3DES、Blowfish能够以较高的识别率进行混合识别。     

流密码的比特安全性

流密码的比特安全性是衡量密码体制好坏的重要指标。本文把流密码看作一个有记忆系统对其比特安全进行了讨论，本文研究的模型包括线性移位寄存器序列，前馈序列和钟控序列。通过研究它们的比特安全性，可以对这些流密码体制在局部范围的安全程度有新的认识。     

流密码代数攻击的研究现状及其展望

介绍了流密码代数攻击方法的基本原理及其实现方法,详细描述了对具有LFSR结构的密钥流生成器的代数分析手段,概括了现有的降低已得方程系统次数的有效方法,对整个代数攻击的计算复杂度的估计进行了全面的分析,最后对流密码代数攻击方法的研究前景进行了展望。     

基于Simulink的序列密码仿真研究

提出了利用Simulink对序列密码编码系统仿真的方法。根据基于移位寄存器产生伪随机序列的原理，使用Simulink的存储器模块模拟移位寄存器，以此为基础加上逻辑运算、双路选择等模块建立密钥序列生成器的仿真模型，并使用子系统技术，建立信息加（解）密系统的仿真模型。还以3种基本的序列模型m序列、前馈序列和钟控序列为例，给出了密钥序列生成器以及序列密码加（解）密系统的仿真设计。     

线性反馈移位寄存器的差分能量攻击

能否有效去除算法噪声的影响,直接关系到能量攻击成败。该文以线性反馈移位寄存器(LFSR)相邻两个时钟周期的能量消耗差异为出发点,提出了一种新的差分能量攻击算法。它从根本上去除了密码算法噪声在攻击过程中带来的影响。由于该算法随机选择初始向量(initialization vector),从而使攻击者能够容易地将其推广到具有类似结构的流密码体制。为了进一步验证攻击算法的有效性,该文利用软件仿真的方法对DECIM进行了模拟攻击。仿真结果表明,该攻击算法能够有效降低LFSR的密钥搜索的复杂度。     

基于m序列统计特性的序列密码攻击

主要论述对序列密码的攻击方法:对于线性反馈移位寄存器序列,利用m序列的游程特性以及序列本身的递推关系,彻底还原产生该m序列的线性反馈移位寄存器。对于非线性组合序列,利用m序列的采样特性,降低其攻击难度,从而易于求取非线性组合生成器中各个线性反馈移位寄存器的极小多项式和初始密钥。     

基于FCSR的双滤波密钥流生成器

当前,由于还没有一个适于一般目的的流密码国际加密标准,流密码的设计与分析引起了广泛关注。在以前的流密码的设计中多采用线性反馈移位寄存器（LFSR）作为基本的部件。然而由于LFSR本身的线性性,基于LFSR的流密码备受攻击,进而相继出现了一些替换部件,例如T函数,带进位的反馈移位寄存器（FCSR）等等。文中给出了一个新的基于FCSR的密钥流生成器。理论分析表明该密钥流生成器具有高度的安全性。NIST统计测试表明该密钥流生成器的伪随机特性是理想的。     

基于回溯法的逆推攻击

该文针对基于乘法电路的前馈序列密码模型的分析问题,在Golic逆推攻击算法的基础上,利用回溯法及前馈函数的输入输出相关性,提出了基于回溯法的逆推攻击算法。在解决了回溯法平均计算复杂性的基础上,给出了基于回溯法的逆推攻击算法的平均计算复杂性。新的逆推攻击算法在存储复杂性和平均计算复杂性方面均优于Golic算法。