LiCi密码的差分故障攻击

LiCi轻量级分组密码算法是2017年提出的一种新型密码算法,其具有结构微小、消耗能量少等优点,适用于物联网等资源受限的环境.在LiCi的设计文档中,对该算法抵御差分攻击和线性攻击的能力进行了分析,但LiCi算法对于差分故障攻击的抵抗能力尚未得到讨论.针对LiCi算法每轮迭代的移位规律,在第31轮迭代时的左半侧多次注入...     

轻量级分组密码SIMON代数故障攻击

针对SIMON现有故障攻击中存在的故障深度小、手工推导复杂等问题,给出一种代数故障攻击（AFA）方法。首先给出SIMON核心运算‘&’代数表示方法并构建全轮正确加密代数方程组;其次注入故障并将故障信息表示为代数方程,提供故障已知和故障未知两种模型,给出两种模型故障表示方法;最后利用CryptoMinisat-2.9.6解析器求解方程组恢复密钥。实验结果表明：利用单比特故障对SIMON32/64进行攻击,故障位置选取第26轮,故障已知和未知模型仅需5个和6个故障即可恢复全轮密钥;利用n比特宽度故障对SIMON128/128进行攻击,故障位置选取第65轮,两种模型均只需2个故障即可恢复全轮密钥。此外,对比故障已知和未知模型发现,随故障数递增密钥求解时间的决定因素将由故障信息量变为方程组计算量。     

轻量级分组密码算法的故障攻击技术研究综述

对轻量级分组密码算法的故障攻击技术进行了概述和分类,并在此基础上论述了故障攻击技术的研究现状。一方面,论述了针对不同密码算法展开差分故障攻击分析的特点并进行了比较;另一方面,论述了LED,MIBS和Piccolo等轻量级分组密码算法的代数故障攻击分析方法,并进行了比较。最后,对故障攻击分析方法进行了总结与展望。     

AC分组密码的差分故障攻击

AC分组密码是2002年提出的一个征求公众测试的密码算法.文中采用面向比特的随机故障模型,结合差分分析技术,利用置换层对故障的扩散特性和S盒的差分分布性质,对AC算法进行了深入分析.并在普通PC机上进行了2000次模拟试验.实验结果表明:平均需要诱导195个错误就可以恢复AC密码的128比特密钥信息.结论是该算法对差分故障攻击不具有免疫力.     

分组密码TWINE的中间相遇攻击

将Biclique初始结构与标准的三子集中间相遇攻击相结合,给出了一种普遍的中间相遇攻击模式.与Biclique分析相比,该模式下的攻击作为算法抗中间相遇攻击的结果更为合理.进一步地,评估了算法TWINE抗中间相遇攻击的能力,通过合理选择中立比特位置以及部分匹配位置,给出了18轮TWINE-80以及22轮TWINE-128算法的中间相遇攻击结果.到目前为止,这是TWINE算法分析中数据复杂度最小的攻击结果.     

分组密码AES-128的差分故障攻击

AES是美国数据加密标准的简称,又称Rijndael加密算法。它是当今最著名且在商业和政府部门应用最广泛的算法之一。AES有三个版本,分别是AES-128,AES-19和AES-AES的分析是当今密码界的一个热点,文中使用差分故障攻击方法对AES进行分析。差分故障攻击假设攻击者可以给密码系统植入错误并获得正确密文和植入故障后密文,通过对两个密文分析比对从而得到密钥。文中提出了对AES-128的两种故障攻击方法,分别是在第8轮和第7轮的开始注入故障。两个分析方法分别需要2个和4个故障对。数据复杂度分别为2^34（2^112）次猜测密钥。     

基于ESF密码算法改进的差分故障攻击

利用置换层结构的特点及差分故障的基本思想,提出一种针对ESF算法的差分故障攻击方法.在第30轮多次注入1比特故障,根据S盒的差分特性,由不同的输入输出差分对,得到不同的S盒的输入值集合,取其交集可快速确定唯一的S盒的可能输入值,分析得出最后一轮轮密钥.采用同样的方法,多次在第29轮、28轮注入1比特故障,结合最后一轮轮密钥,同样利用S盒的差分特性分析得出倒数第2轮、第3轮轮密钥.共需约10个故障密文,恢复3轮轮密钥后将恢复主密钥的计算复杂度降为2²².     

Rijndael分组密码与差分攻击

深入研究了Rijndael分组密码,将字节代替变换中的有限域GF(28)上模乘求逆运算和仿射变换归并成了一个8×8的S盒,将圈中以字节为单位进行的行移位、列混合、密钥加三种运算归并成了一个广义仿射变换.基于归并将Rijndael密码算法了进行简化,结果表明Rijndael密码实质上是一个形如仿射变换Y=A(?)S(X)(?)K的非线性迭代算法,并以分组长度128比特、密钥长度128比特作为特例,给出了二轮Rijndael密码的差分攻击.文中还给出了Rijndael密码算法的精简描述,并指出了算法通过预计算快速实现的有效方法.     

SIMECK密码代数故障攻击研究

针对SIMECK密码给出一种代数故障攻击方法。首先给出SIMECK加密轮函数和密钥生成策略等效代数方程创建方法;分别设定故障已知模型和故障未知模型,并在故障未知模型下提出基于故障注入差分和基于正确/故障密文差分确定故障索引值两种策略创建故障信息方程;利用基于SAT问题求解方程组。结果表明,在SIMECK32/64第24轮注入单比特翻转故障,故障已知模型和基于故障注入差分的故障未知模型均仅需2次注入即可恢复完整64比特主密钥;在第27轮注入故障,基于密文差分的未知模型需9次注入可恢复完整主密钥。与已有研究相比,该攻击密钥搜索复杂度更低,所需故障注入样本量更少。     

一种轻量级TWINE密码硬件优化实现研究

随着物联网的广泛应用,如何有效实现轻量级密码算法成为近年的研究热点。对2011年提出的TWINE加密算法进行了硬件优化实现,相同的轮运算只实现一次,采用重复调用方式完成。TWINE算法总共有36轮运算,其中前35轮运算结构相同,可以重复调用实现,而第36轮相比前35轮在结构上少了块混淆,因此原始算法最多只能进行35轮重复调用。直接进行36轮循环调用运算,同时在36轮循环运算完成后构造一个块混淆逆运算,运算一次块混淆逆运算即可使输出密文正确。这样使TWINE最后的第36轮不必重新实现,而是直接复用前面可重复轮函数模块,只需增加一个比原始算法最后一轮运算相对简单的块混淆逆运算。下载到FPGA上的实验结果表明,优化后的TWINE密码算法在面积上减少了2204个Slices,系统速率提高了5倍。     

对流密码LILI-128的差分故障攻击

对LILI-128算法对差分故障攻击的安全性进行了研究。攻击采用面向比特的故障模型, 并结合差分分析和代数分析技术, 在 LILI-128 算法LFSRd中注入随机的单比特故障, 得到关于LILI-128算法内部状态的代数方程组, 并使用Crypto MiniSAT解析器求解恢复128位初始密钥。实验结果表明, 280个单比特故障注入就可以在1 min内完全恢复LILI-128全部128位密钥。因此, LILI-128密码实现安全性易遭差分故障攻击威胁, 需要对加密设备进行故障攻击防御, 以提高LILI-128密码实现安全性。     

差分故障攻击在密码分析中的应用

信息时代的到来给世界带来翻天覆地的变化,以密码学为代表的信息技术为信息时代发展提供了理论基础和安全保障.密码学包括密码设计和密码分析两部分,本文介绍了在密码分析中一种重要和热门的方法——差分故障攻击方法.这是一种高效强力的密码攻击方法,来源于差分分析,应用广泛,对几乎所有密码方案都产生巨大威胁.当然,这种方法从提出到应用也经历了很多争议和考验.     

AES算法的差分差错攻击

针对高级加密标准(AES)算法的加密过程的安全性问题,提出了一种有效的差分差错攻击(DFA)方法;根据DFA攻击中4字节差分差错模型特点,设计了在4字节差分差错不同和相同两种情形下计算最后一轮子密钥的算法;通过计算差分差错的可能值,计算出最后一轮子密钥的可能值的集合,进而确定子密钥的确切值。实例结果表明了该方法的可行性和有效性。     

SHACAL-2*算法的差分故障攻击

采用基于字的随机故障模型对SHACAL-2*算法进行差分故障攻击,理论结果和实验数据都表明以超过60％的成功概率恢复512 bit的种子密钥需要160个随机故障,以超过97％的成功概率恢复512 bit的种子密钥需要204个随机故障.SHACAL-2*算法可以找到两个有效的差分故障位置,而SHACAL-2算法只有一个有效的差分故障位置.因此,从实施差分故障攻击的难易程度看,SHACAL-2*算法抵抗差分故障攻击的能力弱于SHACAL-2算法.     

Piccolo算法的差分故障分析

Piccolo算法是CHES 2011上提出的一个轻量级分组密码算法,它的分组长度为64- bit,密钥长度为80/128-bit,对应迭代轮数为25/31轮.Piccolo算法采用一种广义Feistel结构的变种,轮变换包括轮函数S-P-S和轮置换RP,能够较好地抵抗差分分析、线性分析等传统密码攻击方法.该文将Piccolo算法的S-P-S函数视为超级S盒(Super Sbox),采用面向半字节的随机故障模型,提出了一种针对Piccolo-80算法的差分故障分析方法.理论分析和实验结果表明:通过在算法第24轮输入的第1个和第3个寄存器各诱导1次随机半字节故障,能够将Piccolo-80算法的密钥空间缩小至约22-bit.因此,为安全使用Piccolo算法,在其实现时必须做一定的防护措施.     

Improved differential fault analysis on PRESENT-80/128

PRESENT is a hardware-optimized 64-bit lightweight block cipher which supports 80- and 128-bit secret keys. In this paper, we propose a differential fault analysis (DFA) on PRESENT-80/128. The proposed attack is based on a 2-byte random fault model. In detail, by inducing several 2-byte random faults in input registers after 28 rounds, our attack recovers the secret key of the target algorithm. From simulation results, our attacks on PRESENT-80/128 can recover the secret key by inducing only two and three 2-byte random faults, respectively. These are superior to known DFA results on them.