Midori64的相关密钥不可能差分分析*

Midori算法是由Banik等人在AISACRYPT2015上提出的一种具有SPN结构的轻量级的加密算法。Midori的分组长度有64bit和128bit两种,分别为Midori64和Midori128,本文主要研究的Midori64。目前攻击者已经使用了不可能差分分析、中间相遇攻击、相关密钥差分分析等方法对Midori进行了分析,却没有使用相关密钥不可能差分分析进行分析。为了验证Midori算法的安全性,本文使用了相关密钥不可能差分分析了Midori算法,构造了一个Midori算法的9轮区分器,进行了Midori算法的14轮攻击,总共猜测了84bit密钥。     

QARMA算法的相关密钥不可能差分攻击

QARMA算法是一种代替置换网络结构的轻量级可调分组密码算法。研究QARMA算法抵抗相关密钥不可能差分攻击的能力,根据QARMA-64密钥编排的特点搜索到一个7轮相关密钥不可能差分区分器,在该差分区分器的前、后各添加3轮构成13轮相关密钥不可能差分攻击。分析结果表明,在猜测52 bit密钥时,与现有中间相遇攻击相比,该相关密钥不可能差分攻击具有攻击轮数较多、时间复杂度和空间复杂度较低的优点。     

ESF算法的相关密钥不可能差分分析

ESF算法是一种具有广义Feistel结构的32轮迭代型轻量级分组密码。为研究ESF算法抵抗不可能差分攻击的能力,首次对ESF算法进行相关密钥不可能差分分析,结合密钥扩展算法的特点和轮函数本身的结构,构造了两条10轮相关密钥不可能差分路径。将一条10轮的相关密钥不可能差分路径向前向后分别扩展1轮和2轮,分析了13轮ESF算法,数据复杂度是260次选择明文对,计算量是223次13轮加密,可恢复18 bit密钥。将另一条10轮的相关密钥不可能差分路径向前向后都扩展2轮,分析了14轮ESF算法,数据复杂度是262选择明文对,计算复杂度是243.95次14轮加密,可恢复37 bit密钥。     

LBlock算法的相关密钥不可能差分分析

LBlock算法是2011年提出的轻量级分组密码,适用于资源受限的环境.目前,关于LBlock最好的分析结果为基于14轮不可能差分路径和15轮的相关密钥不可能差分路径,攻击的最高轮数为22轮.为研究LBlock算法抵抗不可能差分性质,结合密钥扩展算法的特点和轮函数本身的结构,构造了新的4条15轮相关密钥不可能差分路径.将15轮差分路径向前扩展4轮、向后扩展3轮,分析了22轮LBlock算法.在已有的相关密钥不可能差分攻击的基础上,深入研究了轮函数中S盒的特点,使用2类相关密钥不可能差分路径.基于部分密钥分别猜测技术降低计算量,分析22轮LBlock所需数据量为261个明文,计算量为259.58次22轮加密.     

对完整轮数ARIRANG加密模式的新的相关密钥矩形攻击

针对ARIRANG加密模式,利用相关密钥矩形攻击的方法对其安全性进行了重新评估。首先找到了一些新的38轮和39轮的高概率相关密钥矩形区分器,然后在此基础上将区分器进行改进,改进的主要思想是:利用模减差分和异或差分的混合表示方式代替原先的异或差分,同时在区分器的输出中选择一个差分集合代替原先单一的差分。基于以上各种新的高概率区分器,对全轮ARIRANG加密模式进行了攻击,其结果优于以往的攻击结果。其中最好的攻击结果为:攻击全轮的ARIRANG-256加密模式所需的数据复杂度和时间复杂度分别为2220.79和2155.60。     

LEX算法的相关密钥攻击

LEX算法是入选欧洲序列密码工程eSTREAM第三阶段的候选流密码算法之一,在分组密码算法AES的基础上进行设计。为此,针对LEX算法进行基于猜测决定方法的相关密钥攻击,在已知一对相关密钥各产生239.5个字节密钥流序列的条件下,借助差分分析的思想和分组密码算法AES轮变换的性质,通过穷举2个字节密钥值和中间状态的8个字节差分恢复出所有候选密钥,利用加密检验筛选出正确的密钥。分析结果表明,该密钥攻击的计算复杂度为2100.3轮AES加密、成功率为1。     

RECTANGLE-80的相关密钥差分分析

轻量级分组密码RECTANGLE采用SPN结构,分组长度是64比特,密钥长度是80或128比特,迭代轮数是25轮。其采用比特切片技术,在软硬件实现方面均有很好的性能。本文以Matsui和Moriai等人的自动化搜索算法为基础,采用包珍珍等人提出的2种优化策略,对RECTANGLE-80版本进行相关密钥差分分析。我们对最窄点处的密钥状态差分进行限制,使最窄点密钥状态差分的汉明重量取值范围分别属于区间[1,1],[1,2],[1,3],[1,4],[1,5]五种情况,目的是求得此五种情况下前9轮相关密钥差分最大概率及其对应的路径。我们获得了此5种情况前8轮的最大概率及其对应的路径,前2种情况9轮最大概率及其对应路径和后3种情况9轮最大概率的上界。以上5种情况的结果显示,当取值范围属于后三种情况时,前8轮的最大概率是相同的,由此说明随着取值范围的扩大,最大概率趋向稳定。当最窄点密钥状态差分的汉明重量取值范围属于[1,1]或[1,2]时,9轮的最大概率为2^-42。当取值范围分别是[1,3],[1,4]和[1,5]时,9轮最大概率的上界分别是2^-41,2^-37,2^-34。我们预测9轮最大概率的上界是2^-41,由此可以预测18轮的最大概率的上界是2^-82,从而RECTANGLE-80可以抵抗相关密钥差分分析。这是目前RECTANGLE抵抗相关密钥密码分析安全性评估最好结果。     

针对9轮DES的相关密钥Boomerang攻击

按照DES的密钥编排特点,舍弃原始密钥的奇偶校验位,由剩下56位重新换位得到16轮的子密钥,并由每轮密钥使用顺序及未出现的位数,适当设置明文差分和密钥差分,得到5轮DES的差分路径。运用相关密钥差分分析方法分析5轮DES,从而得到9轮DES的相关密钥Boomerang攻击方法,该攻击时间复杂度约为231次加解密运算,数据复杂度为240。     

轻量级分组密码LED的相关密钥差分分析

在CHES2011国际会议上,轻量级分组密码算法LED被郭等人提出,该密码算法具有硬件实现规模小,加解密速度快等优点,因而备受业界关注。目前设计者给出了单密钥攻击模型下LED算法活跃S盒个数的下界,以评估其抵御经典差分密码分析的能力。然而,相关密钥攻击模型下LED算法抵御差分密码分析的能力仍有待进一步解决。本文基于LED密码算法的结构及密钥编排特点,结合面向字节的自动化搜索方法,构建了适用于相关密钥差分分析的混合整形规划（MILP）搜索模型。研究结果表明：全轮LED-64至少存在100个活跃S盒,全轮LED-128至少存在150个活跃S盒;15轮简化LED算法足以抵抗相关密钥差分分析。此外,针对多种变体的LED密钥编排方法进行了测试,找到了一些新的密钥编排方案,并使LED算法具有最佳能力抵御相关密钥差分分析。     

Piccolo算法的相关密钥-不可能差分攻击

现有的对于Piccolo算法的安全性分析结果中,除Biclique分析外,以低于穷举搜索的复杂度最长仅攻击至14轮Piccolo-80和18轮Piccolo-128算法.通过分析Piccolo算法密钥扩展的信息泄漏规律,结合算法等效结构,利用相关密钥-不可能差分分析方法,基于分割攻击思想,分别给出了15轮Piccolo-80和21轮Piccolo-128含前向白化密钥的攻击结果.当选择相关密钥量为2⁸时,攻击所需的数据复杂度分别为2^58.6和2^62.3,存储复杂度分别为2^60.6和2^64.3,计算复杂度分别为2⁷⁸和2^82.5;在选择相关密钥量为2⁴时,攻击所需的数据复杂度均为2^62.6和2^62.3,存储复杂度分别为2^64.6和2^64.3,计算复杂度分别为2^77.93和2^124.45.分析结果表明,仅含前向白化密钥的15轮Piccolo-80算法和21轮Piccolo-128算法在相关密钥-不可能差分攻击下是不安全的.     

DBlock密码算法差分故障分析

DBlock算法是于2015年提出的一种新型分组密码算法,算法分组长度与对应密钥长度为128bit、192bit和256bit,均迭代20轮。基于字节故障模型,并利用基于密钥扩展的差分故障分析方法,在密钥扩展算法运行至第17轮时导入随机故障,对DBlock算法进行差分故障分析。实验结果表明,仅需要4次故障密文便可恢复算法的128bit初始密钥。     

PRINCE轻量级密码算法的差分故障分析

PRINCE密码算法是于ASIA CRYPT 2012提出的轻量级的加密算法,用于在物联网环境下保护RFID标签以及智能卡等设备的通信安全。提出并讨论了一种针对PRINCE算法的差分故障分析方法。该方法采用半字节故障模型,对PRINCEcore最后一轮进行了差分故障分析。实验结果表明,在PRINCEcore最后一轮导入半字节随机故障,4次故障注入可实现对PRINCE算法PRINCEcore部分的64位轮密钥的恢复。因此,未加防护措施的PRINCE加密系统将难以抵御差分故障分析手段。     

SKINNY-n-n算法和MANTIS算法的相关密钥分析

通过分析SKINNY算法的密钥扩展算法特性以及算法结构,给出了两类SKINNY-n-n算法的相关密钥不可能差分区分器,而后据此对19轮的SKINNY算法进行了攻击,得到了对于SKINNY-64-64和SKINNY-128-128攻击所需数据复杂度分别为2~(55)、2~(104)个选择明文,计算复杂度分别为为2~(40. 82)次19轮SKINNY-64-64加密和2~(77. 76)次19轮SKINNY-128-128加密,存储复杂度分别为2~(48)和2~(96)。此外,针对SKINNY算法族中的低延迟变体-MANTIS算法,利用其FX结构以及密钥扩展算法的Tweakey结构,首先基于α映射,给出了一类平凡相关密钥差分特征;而后找到一种1轮循环结构,借此构造了对于MANTIS_(r core)的相关密钥矩阵区分器(1≤r≤6);最后,利用现有的对于MANTIS_5的攻击结果,改进得到了一类新的相关密钥差分路径,将区分器概率提高到2~(28. 35),有效降低攻击所需复杂度。     

基于差分算法的K-均值聚类分析

提出一种基于差分算法的聚类分析方法,采用结构体数组对聚类的中心进行编码,并用样本向量与相应聚类中心的欧氏距离的和来判断聚类划分的质量,通过变异、交叉和选择操作对聚类中心的编码进行优化,以获得最好的聚类中心.通过差分算法的全局搜索能力,来获取全局最优结果.实验结果显示,该方法的聚类划分效果明显优于传统的K-均值方法,也一般优于基于遗传算法的聚类算法和基于微粒群的聚类算法.     

数字函数微分算法误差分析

在数字函数发生方法中,微分算法和齐田法形式不同,但就它们的基本特点及发生函数时的误差而言,两者并没有重要的区别.微分法发生的曲线与给定函数之间的误差包括基本误差和走步误差.基本误差系微分法发生曲线时实际逼近的函数(称为逼近函数)与给定函数间的误差.逼近函数可以从给定的函数导出.走步误差为微分法发生曲线与逼近函数间因步法不同而产生的误差.本文证明了用微分法发生二阶、三阶函数时的基本误差相当大,走步误差比基本误差要小得多.