基于优化故障定位的SIMECK密码代数故障攻击

针对SIMECK密码,提出一种优化故障定位的代数故障攻击方法。通过分析SIMECK轮函数加密扩散缺陷及故障失效原因,提取故障确定性传播特征并构建确定性故障差分特性表,实现故障的精确定位。创建加密过程和故障信息等效方程组,将方程组转化为SAT问题并求解密钥。实验结果表明,该方法在SIMECK32/64第28轮左寄存器中注入随机单比特故障,仅需8次故障注入即可恢复完整64 bit主密钥,攻击成功率高达99.61%,相比已有故障攻击方法所需故障样本量更少,攻击成功率及创建方程自动化程度更高。     

轻量级分组密码SIMON代数故障攻击

针对SIMON现有故障攻击中存在的故障深度小、手工推导复杂等问题,给出一种代数故障攻击（AFA）方法。首先给出SIMON核心运算‘&’代数表示方法并构建全轮正确加密代数方程组;其次注入故障并将故障信息表示为代数方程,提供故障已知和故障未知两种模型,给出两种模型故障表示方法;最后利用CryptoMinisat-2.9.6解析器求解方程组恢复密钥。实验结果表明：利用单比特故障对SIMON32/64进行攻击,故障位置选取第26轮,故障已知和未知模型仅需5个和6个故障即可恢复全轮密钥;利用n比特宽度故障对SIMON128/128进行攻击,故障位置选取第65轮,两种模型均只需2个故障即可恢复全轮密钥。此外,对比故障已知和未知模型发现,随故障数递增密钥求解时间的决定因素将由故障信息量变为方程组计算量。     

LiCi密码的差分故障攻击

LiCi轻量级分组密码算法是2017年提出的一种新型密码算法,其具有结构微小、消耗能量少等优点,适用于物联网等资源受限的环境.在LiCi的设计文档中,对该算法抵御差分攻击和线性攻击的能力进行了分析,但LiCi算法对于差分故障攻击的抵抗能力尚未得到讨论.针对LiCi算法每轮迭代的移位规律,在第31轮迭代时的左半侧多次注入...     

轻量级分组密码算法的故障攻击技术研究综述

对轻量级分组密码算法的故障攻击技术进行了概述和分类,并在此基础上论述了故障攻击技术的研究现状。一方面,论述了针对不同密码算法展开差分故障攻击分析的特点并进行了比较;另一方面,论述了LED,MIBS和Piccolo等轻量级分组密码算法的代数故障攻击分析方法,并进行了比较。最后,对故障攻击分析方法进行了总结与展望。     

轻量级分组密码TWINE的差分故障攻击

为了对轻量级分组密码TWINE的安全性进行研究,分析了轻量级分组密码TWINE的抗差分故障攻击特性,给出了TWINE一种差分故障分析方法,采用面向半字节的随机故障模型对TWINE算法进行攻击.实验结果表明,在35轮注入4次故障后可将密钥空间降低至约220,平均注入13.15次故障后可完全恢复80 bit密钥,最好的情况为注入12次故障完全恢复种子密钥.因此得到结论:TWINE算法易受差分故障攻击,需在使用前对设备加以保护.     

基于ESF密码算法改进的差分故障攻击

利用置换层结构的特点及差分故障的基本思想,提出一种针对ESF算法的差分故障攻击方法.在第30轮多次注入1比特故障,根据S盒的差分特性,由不同的输入输出差分对,得到不同的S盒的输入值集合,取其交集可快速确定唯一的S盒的可能输入值,分析得出最后一轮轮密钥.采用同样的方法,多次在第29轮、28轮注入1比特故障,结合最后一轮轮密钥,同样利用S盒的差分特性分析得出倒数第2轮、第3轮轮密钥.共需约10个故障密文,恢复3轮轮密钥后将恢复主密钥的计算复杂度降为2²².     

代数攻击流密码之研究

说明了对具有LFSR结构的密钥流生成器的代数分析手段，阐述了代数攻击流密码基本原理及实现方法，概括了现有的降低已得方程系统次数的有效方法，对整个代数攻击的计算复杂度的估计进行了全面的分析研究和改进，最后对流密码的代数攻击方法进行了展望。     

轻型分组密码LED代数故障攻击方法

针对CHES 2011会议上提出的轻型分组密码LED,给出了一种代数故障攻击方法。首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后基于单比特故障模型根据算法故障密文得到差分故障信息,并转换为额外的代数方程组;最后利用CryptoMiniSAT解析器求解密钥。实验结果表明,针对LED算法代数故障攻击优于传统的差分故障分析,第30轮一次故障注入即可在122 s内恢复LED 64 bit完整密钥。     

基于流密码代数攻击的研究

概述了流密码代数攻击的提出和发展,介绍了它的基本思想。简要描述了代数攻击的一般算法和可攻击的流密码类型,针对带记忆和不带记忆非线性组合流密码的代数攻击,阐述了Courtois等人的具体工作,并给出了两个新的选择非线性布尔函数的标准。笔者提出了密码非线性部分未知情况下的一般代数攻击方法,最后总结了代数攻击的贡献和不足之处。     

AC分组密码的差分故障攻击

AC分组密码是2002年提出的一个征求公众测试的密码算法.文中采用面向比特的随机故障模型,结合差分分析技术,利用置换层对故障的扩散特性和S盒的差分分布性质,对AC算法进行了深入分析.并在普通PC机上进行了2000次模拟试验.实验结果表明:平均需要诱导195个错误就可以恢复AC密码的128比特密钥信息.结论是该算法对差分故障攻击不具有免疫力.     

轻量级分组密码Piccolo的积分攻击

针对Piccolo-80算法提出了一种5轮积分区分器,并将其向解密方向扩展了2轮,得到了7轮区分器。使用5轮区分器对无白化密钥的Piccolo-80进行了7轮和8轮的攻击,使用7轮区分器进行了9轮的攻击。其中,最好的攻击结果是使用7轮区分器,对有白化密钥的Piccolo-80进行9轮攻击,可恢复32比特相关轮密钥,需要的数据复杂度为2的48次方个明文,时间复杂度为2的52.237方次9轮加密。     

针对PRESENT分组密码算法的代数分析*

本文研究针对PRESENT分组密码的代数分析。通过使用S盒的表达式形式,构建出多轮PRESENT加密中的代数方程组。这种构建方程的方法被推广到具有小型S盒的典型SPN型分组密码算法的方程构建问题中。文中还对简化的PRESENT算法进行了攻击实验。采用MiniSAT作为攻击过程中的求解工具,对4轮、6轮PRESENT加密进行实际攻击。可以在一分钟之内恢复4轮加密的所有密钥,数小时内恢复6轮加密的密钥。并且通过引入了差分思想,首次将有效攻击轮数提高到8轮。     

SNAKE(2)分组密码的积分攻击

针对目前对SNAKE算法的安全性分析主要是插值攻击及不可能差分攻击,评估了SNAKE(2)算法对积分攻击的抵抗能力。利用高阶积分的思想,构造了一个8轮区分器,利用该区分器,对SNAKE(2)算法进行了9轮、10轮积分攻击。攻击结果表明,SNAKE(2)算法对10轮积分攻击是不免疫的。     

分组密码算法抗功耗攻击和故障攻击的方法

为同时抵御差分功耗攻击和故障攻击,提出了一种有效的防护方法,采用流水线技术增加了正常加解密运算的噪声,比较同一输入依次进入不同级的流水线的运算结果是否一致,可以抗故障攻击。通过仿真实验分析,该方法具有良好的抗攻击性能。     

What is the effective key length for a block cipher: an attack on every practical block cipher

Recently,several important block ciphers are considered to be broken by the brute-force-like cryptanalysis,with a time complexity faster than the exhaustive key search by going over the entire key space but performing less than a full encryption for each possible key.Motivated by this observation,we describe a meetin-the-middle attack that can always be successfully mounted against any practical block ciphers with success probability one.The data complexity of this attack is the smallest according to the unicity distance.The time complexity can be written as 2k(1-),where>0 for all practical block ciphers.Previously,the security bound that is commonly accepted is the length k of the given master key.From our result we point out that actually this k-bit security is always overestimated and can never be reached because of the inevitable loss of the key bits.No amount of clever design can prevent it,but increments of the number of rounds can reduce this key loss as much as possible.We give more insight into the problem of the upper bound of effective key bits in block ciphers,and show a more accurate bound.A suggestion about the relationship between the key size and block size is given.That is,when the number of rounds is fixed,it is better to take a key size equal to the block size.Also,effective key bits of many well-known block ciphers are calculated and analyzed,which also confirms their lower security margins than thought before.The results in this article motivate us to reconsider the real complexity that a valid attack should compare to.