轻量级分组密码LED旁路立方攻击研究

对CHES 2011会议上提出的轻量级分组密码LED进行旁路立方攻击研究。提出一种基于贪心策略的小立方体搜索方法,利用该方法确定了单比特泄漏模型和汉明重泄漏模型的泄露位。基于两种模型对LED密码进行旁路立方攻击,并对其攻击结果进行比较。仿真结果表明：基于单比特模型进行立方攻击,可将密钥搜索空间降低到28~211。基于汉明重模型,对第2、3轮的攻击可分别将密钥搜索空间降低到248、223。对两种模型比较发现：汉明重模型的多项式次数更高,立方大小分布更加集中。     

迭代立方攻击及其应用

由于种种原因,实际分析中立方攻击通常无法找到相当数量的密钥比特线性表达式,基于迭代的思想,提出了一种迭代立方攻击方法。将其应用于55轮KATAN32算法,实验结果表明较之前的方法,该方法具有更小的数据复杂度和计算复杂度,攻击效果明显。     

Subterranean-SAE算法的条件立方攻击

美国国家标准与技术研究院(NIST)于2018年开始征集轻量级认证加密和哈希算法标准,其中Subterranean 2.0密码套件是晋级到第二轮的32个候选算法之一. Subterranean-SAE是Subterranean2.0密码套件中的一种认证加密工作模式. 2019年,刘富康等人对4轮空白轮(4 blank rounds)的Subterranean-SAE算法进行了基于条件立方的密钥恢复攻击,此攻击有效的前提假设是:当条件变量满足条件时输出代数次数为64,否则为65.但刘富康等人并没有验证该假设是否成立.借助三子集可分性理论,本文首次提出了在初始状态未知场景下评估输出代数次数的新技术,并将该技术成功应用于4轮空白轮Subterranean-SAE算法.实验结果表明, 4轮空白轮Subterranean-SAE算法32个输出比特的代数次数上界为63,因此刘富康等人的密钥恢复攻击实际为区分攻击.进一步,本文提出降低立方维数、扩展立方变量选取范围的策略,并成功改进了Subterranean-SAE算法条件立方的搜索方法.利用此方法我们共搜索到24组33维立方并以此构造条件立方攻击,...     

简化SIMON类算法的立方测试与分析*

针对轻量级分组密码算法SIMON的安全性分析,对SIMON32/64算法抵抗立方攻击的能力和算法内部结构对密钥比特的混淆和扩散性能力进行了评估。基于SIMON类算法的密钥编排特点和轮函数结构,结合立方分析的基本思想,利用FPGA测试平台设计了一个SIMON32/64的立方攻击和密钥中比特检测算法。测试结果表明：在立方变元取6维至24维时,对于7轮SIMON32/64算法,通过立方攻击能够直接恢复47比特密钥,攻击时间复杂度约为218.08;对于8轮SIMON32/64算法,能够直接恢复39比特密钥,攻击时间复杂度约为225.00。对于10轮,11轮SIMON32/64算法,通过立方测试均能够捕获到密钥中比特。     

对简化版MORUS算法的改进动态立方攻击

MORUS算法是Wu等人设计的认证加密算法，现已进入CAESAR竞赛的第三轮.动态立方攻击是Dinur等人2011年提出的针对迭代型序列密码的分析方法.提出了一种改进的动态立方攻击方法，优化了动态立方攻击的立方集合的选取规则，提出了优先猜测关键值并恢复相应的关键秘密信息的方法，据此给出了成功率更高的秘密信息恢复方法.利用该方法分析了初始化5步的简化版MORUS算法，最终以O（2^95.05）的复杂度恢复所有128比特密钥，攻击的成功率大于92%.     

立方多变量公钥密码体制的最小秩分析

立方加密体制是经典的多变量公钥密码体制Square的改进方案,其中心映射由平方映射改为了立方映射,由此将公钥多项式从二次提升到三次来抵抗针对二次多变量公钥密码体制的最小秩攻击。针对这种体制,提出一种结合差分的最小秩攻击,旨在恢复它的私钥。首先,分析体制的中心映射差分,并根据差分后的结构来确定它的秩;然后,求解公钥差分,并提取二次项的系数矩阵;接着,由系数矩阵以及确定的秩构造一个最小秩问题;最后,结合扩展的Kipnis-Shamir方法对问题进行求解。实验结果表明,利用最小秩攻击可以恢复立方加密体制的私钥。     

MIBS密码旁路立方体攻击

研究密码MIBS安全性评估问题.基于单比特泄露模型,假定攻击者可以获取加密中间状态的1比特信息泄露.预处理阶段,随机生成不同选择明文和密钥进行极大项和超多项式提取;在线分析阶段,利用超多项式和加密输出中间状态信息泄露构建关于密钥变量的低次方程组,经方程组求解恢复密钥.结果表明:针对MIBS加密第1轮输出的第5比特泄露,26.39个选择明文分析将MIBS-64密钥搜索空间降低至240.经暴力破解可最终恢复64位MIBS完整密钥.改进方法对其它分组密码旁路立方体攻击研究具有一定借鉴意义.     

层次化的侧信道攻击风险量化评估模型

随着攻击的多元化发展,在多种泄露条件下,密码芯片的安全风险评估问题以及优化的攻防策略选择问题成为目前研究盲点。针对多种泄露,从信息泄露的角度出发,利用信息熵对密码芯片的信息进行量化,并将互信息作为安全风险的衡量指标,提出了一种基于层次化的风险评估模型。该模型采用“自下而上,先局部后整体”的分析方法,将不同类型的泄露和攻击方法进行划分,并将互信息作为泄露风险的量化指标,通过模糊综合分析方法对安全风险进行有效的评估。     

针对LBlock算法的踪迹驱动Cache攻击

LBlock是一种轻量级分组密码算法,其由于优秀的软硬件实现性能而备受关注。目前针对LBlock的安全性研究多侧重于抵御传统的数学攻击。缓存( Cache)攻击作为一种旁路攻击技术,已经被证实对密码算法的工程实现具有实际威胁,其中踪迹驱动Cache攻击分析所需样本少、分析效率高。为此,根据LBlock的算法结构及密钥输入特点,利用访问Cache过程中密码泄露的旁路信息,给出针对LBlock算法的踪迹驱动Cache攻击。分析结果表明,该攻击选择106个明文,经过约27.71次离线加密时间即可成功恢复LBlock的全部密钥。与LBlock侧信道立方攻击和具有Feistel结构的DES算法踪迹驱动Cache攻击相比,其攻击效果更明显。     

插入随机时延的高阶旁路攻击防御方法

旁路攻击是一种新的密码分析方法,现有的密码算法仍然容易遭受高阶旁路攻击。分析旁路信息的泄露模型与高阶攻击模型,针对AES算法的安全实现,提出一种插入随机时延的高阶攻击防御方法。该方法通过插入随机的冗余指令,降低了内部运算与泄露信息之间的相关性,从而使统计攻击无法成功。通过仿真实验证实该方法能有效地防御高阶旁路攻击。     

Trivium-like算法中可滑动Cube的研究

对于Trivium-like算法,cube攻击是最有效的攻击手段之一.在传统cube攻击中,攻击者主要利用线性检测等方法来寻找具有低次超多项式的cube.实验结果表明存在IV变元子集I1=(vi1,vi2,…,vid)和I2=(vi1-1,vi2-1,…,vid-1)满足pI2(k0,k1,…,kn-2)=σ(pI1(k1,k2,…,kn-1)),其中ki表示密钥变元,pI1是Cube CI1对于t时刻输出比特zt的超多项式,pI2是Cube CI2对于t+1时刻的输出比特zt+1的超多项式,并且变换\sigma将ki映射到ki-1.在本文中,称这种性质为cube的可滑动性.我们研究了Trivium-like算法的攻击中cube的可滑动性.特别地,我们给出了cube具有可滑动性的一个充分条件.此外,我们将充分条件的判断,转化到求解混合整数线性规划(MILP)模型,在实际中能够快速判断出具有滑动性的cube.最后,我们将充分条件应用到实验cube攻击、基于分离性质的cube攻击和相关cube攻击的已有结果,验证了方法的正确性并在实验cube攻击中得到了一个803-轮Trivium的新结果.     

流密码算法Grain 的立方攻击

Dinur和Shamir在2009年欧洲密码年会上提出了立方攻击的密码分析方法.Grain算法是欧洲序列密码工程eSTREAM最终入选的3个面向硬件实现的流密码算法之一,该算法密钥长度为80比特,初始向量(initial vector,简称IV)长度为64比特,算法分为初始化过程和密钥流产生过程,初始化过程空跑160拍.利用立方攻击方法对Grain算法进行了分析,在选择Ⅳ攻击条件下,若算法初始化过程空跑70拍,则可恢复15比特密钥,并找到了关于另外23比特密钥的4个线性表达式;若算法初始化过程空跑75拍,则可恢复1比特密钥.     

浓缩数据立方中约束立方梯度的挖掘

约束立方梯度挖掘是一项重要的挖掘任务,其主要目的是从数据立方中挖掘出满足梯度约束的梯度-探测元组对.然而,现有的研究都是基于一般数据立方的.研究了浓缩数据立方中约束数据立方梯度的挖掘问题.通过扩展LiveSet驱动算法,提出了一个eLiveSet算法.测试表明,该算法在立方梯度挖掘效率上比现有算法要高.     

基于侏儒立方体的保持语义的数据立方体结构*

在侏儒立方体研究的基础上,提出了一种新的能够保持语义的立方体结构。这种结构改变了侏儒立方体对聚集数据的存储方式,在保持基本立方体上卷、下钻语义的前提下,尽量地去除前缀冗余、后缀冗余,节约存储空间,保证立方体清晰的结构,并且拥有比侏儒立方体更高的存储效率和查询响应速度,对点查询和范围查询能够快速地返回结果,对大数据量情况下的稀疏立方体具有良好的支持。     

一种新的封闭立方体查询算法

提出了一种新的封闭立方体查询算法,缩小了查询时需搜索的记录的范围,提高了查询效率。给出了相关的理论分析和证明,并给出相关的封闭掩码集生成算法。实验结果和理论分析证明了新算法是有效的,在75%的情况下能将需查询范围包含的记录数减少到传统方法的92%左右,提高了对封闭立方体的查询效率。     

一种新的商覆盖立方体生成算法

提出一种的新的商覆盖立方体生成算法GroupDFS,将待计算的基本表先依据各维属性进行Group By运算,再对得到的结果集采用DFS算法计算其上界集,所得结果即为原待计算基本表的商覆盖立方体。GroupDFS算法结合了2^N算法和DFS算法的优点,相对于DFS算法缩短了计算所需的时间。采用weather数据集进行的实验结果表明,采用GroupDFS计算商覆盖立方体所需时间仅为采用DFS算法时的45%。     

GSFC--基于图结构的Free Cube存储方法

free cube利用发掘基本关系表维值之间的蕴含规则,去除data cube中内在冗余,有效减小data cube体积．但是还存在一些值得进一步研究的问题．首先,直接地表示free cube仍然不够精简从而浪费了存储空间．其次,只提到了查询的基本思想,没有给出具体的查询技术．针对这些问题,提出了基于图结构的存储方法GSFC,利用前缀压缩进一步减小free cube体积．同时,该方法结合了存储和索引结构,有效解决free cube的查询问题．最后给出了计算和查询算法,并利用实验来证明算法的有效性．