eSTREAM和流密码分析现状

eSTREAM是继NESSIE之后欧洲启动的一个规模更大,为期4年的信息安全项目。文中通过介绍eSTREAM计划中的流密码征集情况和评测体系,并对征集到的34个侯选流密码算法进行了初步的安全分析总结。介绍了流密码两种典型的攻击类型：代数攻击、相关攻击,目的为引出流密码安全的定义。最后,对流密码发展现状和前景做了较详尽的总结和展望。     

积分攻击改进——随机线性区分与密钥恢复攻击

在4轮AES的积分攻击和碰撞攻击的基础上,提出了一种利用明文和中间状态的某些分组之间线性偏差分布的不均匀性的针对4轮SP结构分组密码的随机线性区分攻击。进一步结合预计算,提出了对4轮AES类分组密码的密钥恢复攻击。对LED-64算法给出了具体区分攻击和密钥恢复攻击的结果。其中,对于1-Step的LED-64算法,在数据复杂度为2⁸,计算复杂度为2¹⁶次基本运算的条件下,区分成功的概率是85%;对于2-Step的LED-64算法,相关密钥条件下的密钥恢复攻击的计算复杂度为2¹⁴次基本运算,数据复杂度为2⁸,预计算存储复杂度为2³⁸个半字节。     

CLEFIA密码的Square攻击

该文根据CLEFIA密码的结构特性,得到了Square攻击的新的8轮区分器,并指出了设计者提出的错误8轮区分器。利用新的8轮区分器对CLEFIA密码进行了10到12轮的Square攻击,攻击结果如下：攻击10轮CLEFIA-128\192\256的数据复杂度和时间复杂度分别为297和292.7;攻击11轮CLEFIA-192\256的数据复杂度和时间复杂度分别为298和2157.6;攻击12轮CLEFIA-256的数据复杂度和时间复杂度分别为298.6和2222。攻击结果表明：在攻击10轮CLEFIA时,新的Square攻击在数据复杂度和时间复杂度都优于设计者给出的Square攻击。     

HC-128的内部状态表

HC-128算法是HC-256算法的简化版,为欧洲eSTREAM工程最终胜出的7个序列密码算法之一。 HC-128由初始化算法和密钥流产生算法两部分构成,为基于表驱动的适于软件实现的算法。由于其安全性能高,至今未见有效的分析方法。 HC-128利用内部状态表的转换、选择来构造序列密码,因此内部状态表的安全性直接影响着序列密码算法的安全性。该文对HC-128的内部状态表进行了研究,给出了根据内部状态表P和Q(两个512字,共计1024字)倒推出密钥和初始向量的算法。     

Vesta-2M流密码的密码分析

分析了俄国商用密码Vesta-2M流密码的安全性。流密码Vesta-2M的密钥流发生器的初始密钥规模为O(2^536)。本文指出文献[1]中攻击方法的错误，并提出一种已知明文攻击方法，所需明文量很小(约几百比特)，计算复杂度的上界为O(2^372)。     

流密码代数攻击的研究现状及其展望

介绍了流密码代数攻击方法的基本原理及其实现方法,详细描述了对具有LFSR结构的密钥流生成器的代数分析手段,概括了现有的降低已得方程系统次数的有效方法,对整个代数攻击的计算复杂度的估计进行了全面的分析,最后对流密码代数攻击方法的研究前景进行了展望。     

改进的Type-1型广义Feistel结构的量子攻击及其在分组密码CAST-256上的应用

广义Feistel结构(GFS)是设计对称密码算法的重要基础结构之一,其在经典计算环境中受到了广泛的研究。但是,量子计算环境下对GFS的安全性评估还相当稀少。该文在量子选择明文攻击(qCPA)条件下和量子选择密文攻击(qCCA)条件下,分别对Type-1 GFS进行研究,给出了改进的多项式时间量子区分器。在qCPA条件下,给出了3d – 3轮的多项式时间量子区分攻击,其中$d(d \ge 3)$是Type-1 GFS的分支数,攻击轮数较之前最优结果增加$d - 2$轮。得到更好的量子密钥恢复攻击,即相同轮数下攻击的时间复杂度降低了${2^{(d - 2)n/2}}$。在qCCA条件下,对于Type-1 GFS给出了$3d - 2$轮的多项式时间量子区分攻击,比之前最优结果增加了$d - 1$轮。该文将上述区分攻击应用到CAST-256分组密码中,得到了12轮qCPA多项式时间量子区分器,以及13轮qCCA多项式时间量子区分器,该文给出19轮CAST-256的量子密钥恢复攻击。     

基于陷门的密码攻击

提出了一种基于陷门的密码攻击方法,并给出了几个例子．     

减轮LEA密码算法的积分攻击

LEA密码算法是一类ARX型轻量级分组密码,广泛适用于资源严格受限的环境.本文使用中间相错技术找到LEA算法的86条8轮和6条9轮零相关区分器,进一步利用零相关区分器和积分区分器的关系,构造出5条8轮和1条9轮积分区分器.在8轮积分区分器的基础上,利用密钥扩展算法的性质和部分和技术,首次实现了对LEA-128的10轮积分攻击,攻击的计算复杂度为2¹²⁰次10轮LEA-128加密.进一步,实现了对LEA-192的11轮积分攻击以及对LEA-256的11轮积分攻击,计算复杂度分别为2^185.02次11轮LEA-192加密和2²⁴⁸次11轮LEA-256加密.     

针对椭圆曲线密码的差分错误攻击研究综述

椭圆曲线密码(ECC)是迄今为止具有最高强度的密码系统。随着集成电路、智能卡技术的发展以及嵌入式系统大规模的应用,其安全性也受到了边信道攻击的威胁。差分错误攻击(DFA)是旁路攻击中的一种新的攻击方式,攻击者通过物理手段影响智能卡,从而在解密过程中诱导出错误信息,再结合差分分析恢复出私钥信息。立足于国内外对公钥密码故障分析研究的基础上,在攻击方法和防御方法两方面对ECC算法的故障分析进行了研究概述,并指出了每个攻击方法的优缺点,预测了未来的研究方向。     

3D密码的Square攻击

3D密码是CANS 2008提出的新的分组密码算法,与以往的分组密码算法不同,该密码采用3维结构。该文根据3D密码的结构特性,得到了3D密码的5.25轮和6.25轮新的Square区分器,重新评估了其抗Square攻击的强度。攻击结果表明：新区分器对6轮3D密码攻击的数据复杂度和时间复杂度比已有的结果好,并且还可应用到7轮,8轮和9轮的3D密码攻击中。     

PRESENT密码代数故障攻击

提出了一种新的PRESENT密码故障分析方法——代数故障攻击。将代数攻击和故障攻击相结合,首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后通过故障攻击手段获取错误密文信息,并将故障差分和密文差分转化为额外的布尔代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。结果表明:在PRESENT-80的第29轮注入宽度为4的故障,故障位置和值未知时,2次故障注入可在50s内恢复64bit后期白化密钥,将PRESENT-80密钥搜索空间降低为216,经1min暴力破解恢复完整主密钥;和现有PRESENT故障攻击相比,该攻击所需样本量是最小的;此外该代数故障分析方法也可为其他分组密码故障分析提供一定思路。     

Rijndael密码的逆序Square攻击

2000年10月Rijnael被选为高级加密标准(AES),目前对它最有效攻击仍是由设计者提出的Square攻击。Square攻击是利用密码Square特性提出的选择明文攻击,可以对六轮和六轮以下的Rijndael密码进行成功的攻击,攻击六轮Rijndael的所有密钥的计算量为2272+264,五轮密码的复杂度为3240+232。该文提出了逆序Square攻击算法,该算法是基于密码Square特性提出的选择密文攻击方法。它攻出六轮Rijndael密码的所有密钥的复杂度为272+256,五轮密码的复杂度为240+224。若改变密钥扩散准则中的圈循环顺序,五轮密码的逆序Square攻击复杂度由240降为232,六轮的攻击复杂度由272降为264。     

针对IDEA算法实现方式的时间攻击

传统上认为,密码系统的安全性主要依赖于系统使用的密码算法的安全性,对系统的攻击是基于敌手只能通过系统的输入输出信道获取信息的假设。实际上,密码系统的旁路信息（如时间信息等）也可以被利用来实现攻击。时间攻击就是这一类攻击方法,它通过分析密码系统的运算环节在执行加密过程中的时间信息来恢复密钥。针对IDEA密码算法的实现特点提出一种时间攻击方法,从理论上分析该方法的有效性,并给出抵抗这种攻击的对策。     

KeeLoq密码Courtois攻击方法的分析和修正

KeeLoq密码是由Willem Smit设计的分组密码算法,广泛应用于汽车的无线门锁装置。Courtois等人在2007年提出了破译KeeLoq的4种滑动-代数攻击方法,其中第4种滑动-代数攻击方法的计算复杂性最小。本文证明了Courtois的第4种滑动-代数攻击方法的攻击原理是错误的,因而无法实现对KeeLoq的破译。此外,本文还对该方法进行了修正,提出了改进的攻击方法,利用232个已知明文能够以O(248) 次加密的计算复杂性求出KeeLoq密码的密钥,成功率为1。对于KeeLoq密码26％的密钥,其连续64圈圈函数形成的复合函数至少具有两个不动点,此时改进的攻击方法的计算复杂性还可降至O(248) 次加密。     

对Rijndael-256算法新的积分攻击

本文对Rijndael-256密码进行分析,从比特的层面上寻找平衡性,得到了一个新的3轮积分区分器,该区分器仅需32个明文就可将3轮Rijndael-256与随机置换区分开来,并且所得密文的每一比特都是平衡的.该区分器在已知的mjndael-256积分区分器中所需明文量最少.基于新的区分器,对4至7轮Riindael-...     

流密码的比特安全性

流密码的比特安全性是衡量密码体制好坏的重要指标。本文把流密码看作一个有记忆系统对其比特安全进行了讨论，本文研究的模型包括线性移位寄存器序列，前馈序列和钟控序列。通过研究它们的比特安全性，可以对这些流密码体制在局部范围的安全程度有新的认识。     

流密码分析方法研究综述

研究密码分析方法对设计密码算法至关重要。鉴于此,回顾了目前主要的流密码分析方法,研究了流密码分析方法的分类与联系,从主要技术特点的角度将其分为基于相关性质、差分性质、代数方程组和时间存储数据折中这4种类型,分别阐述了各分析方法的基本原理、主要技术及相关研究进展,并概括了其主要特点。此外,对流密码分析方法未来的发展方向进行了展望。     

对自同步混沌密码的分割攻击方法

本文分析了自同步混沌密码的信息泄漏规律,并据此提出了对自同步混沌密码的分割攻击方法.由于能够利用所有时刻的已知明文进行攻击,因而自同步混沌密码比同步混沌密码的抗分割攻击能力更弱.本文以Hong Zhou等提出的自同步混沌密码为例,完成了对密钥规模为64比特且以混沌映射的65次迭代为自同步映射的自同步密码的分割攻击.利用1万个已知明文,在主频为2.5GHz的Pentium-4 PC上,攻击的平均时间为25小时22分,成功率为0.86.