FOX密码的中间相遇攻击

FOX是基于Mediacrypt公司的需求而设计的系列分组密码。为进一步评估FOX密码的安全性,主要研究FOX密码抗中间相遇攻击的能力,根据其加密算法的结构,给出FOX64的3轮和4轮中间相遇区分器,以及FOX128的3轮中间相遇区分器。通过分别在以上区分器后加适当的轮数,对4到8轮的FOX64和4、5轮的FOX128进行中间相遇攻击,并给出攻击结果。结果证明了8轮FOX64/256是不安全的。同时表明,5轮FOX64/128、7轮FOX64/192、8轮FOX64/256和5轮FOX128/256均不能抵抗中间相遇攻击。     

Rijndael-256算法的中间相遇攻击

根据Rijndael密码的算法结构,构造一个新的5轮相遇区分器：若输入状态的第一个字节可变动,而余下字节固定不变,则通过5轮加密后,算法输出的每个字节差分值均可由输入状态的第一个字节值及25个常量字节以概率2-96确定。基于该区分器,给出一种针对9轮Rijndael-256的中间相遇攻击。分析结果表明,该攻击的数据复杂度约为2128个选择明文数据量,时间复杂度约为2211.6次9轮Rijndael- 256加密。     

分组密码TWINE的中间相遇攻击

将Biclique初始结构与标准的三子集中间相遇攻击相结合,给出了一种普遍的中间相遇攻击模式.与Biclique分析相比,该模式下的攻击作为算法抗中间相遇攻击的结果更为合理.进一步地,评估了算法TWINE抗中间相遇攻击的能力,通过合理选择中立比特位置以及部分匹配位置,给出了18轮TWINE-80以及22轮TWINE-128算法的中间相遇攻击结果.到目前为止,这是TWINE算法分析中数据复杂度最小的攻击结果.     

10轮Midori128的中间相遇攻击

轻量级分组密码由于软硬件实现代价小且功耗低,被广泛地运用资源受限的智能设备中保护数据的安全。Midori是在2015年亚密会议上发布的轻量级分组密码算法,分组长度分为64 bit和128 bit两种,分别记为Midori64和Midori128,目前仍没有Midori128抵抗中间相遇攻击的结果。通过研究Midori128算法基本结构和密钥编排计划特点,结合差分枚举和相关密钥筛选技巧构造了一条7轮中间相遇区分器。再在此区分器前端增加一轮,后端增加两轮,利用时空折中的方法,提出对10轮的Midori128算法的第一个中间相遇攻击,整个攻击需要的时间复杂度为2126.5次10轮Midori128加密,数据复杂度为2125选择明文,存储复杂度2105 128-bit块,这是首次对Midori128进行了中间相遇攻击。     

对8轮mCrypton-96的中间相遇攻击

在分析分组密码算法的安全性时,利用密钥关系来降低时间、存储和数据复杂度是一个常用的手段.在4轮mCrypton-96性质的基础上,利用密钥生成算法的弱点和S盒的性质,降低了攻击过程中需要猜测的密钥比特数,提出了对8轮mCrypton-96算法的中间相遇攻击,攻击的时间复杂度约为2\\+{93.5}次8轮mCrypton-96加密运算,存储复杂度为2\\+{47}B,数据复杂度为2\\+{57}个选择明文.     

E2算法的中间相遇攻击

作为AES的候选算法,E2算法由于其特殊的两层SP结构一直是人们研究的热点。研究了E2算法抵抗中间相遇攻击的能力。基于E2算法的结构,利用中间相遇的思想设计了一个4轮区分器,利用该区分器,对E2算法进行了5轮、6轮中间相遇攻击。研究结果表明,E2-128算法对于5轮中间相遇攻击以及E2-256算法对于6轮中间相遇攻击是不抵抗的。这是首次用中间相遇的攻击方法对E2算法进行的分析,相对于已有的结果,该方法降低了所用数据复杂度。     

对5轮Square的中间相遇攻击

Square分组密码算法是美国数据加密标准AES算法的前身,它的分组长度、主密钥长度和轮密钥长度都是128比特.文中给出了一个4轮的Square区分器.通过这个区分器找到Square第三轮的密文可以在某些条件下用比较少的参数来表示,减少攻击的运算量.运用这个区分器成功地实现了对5轮Square的中间相遇攻击.这个攻击比其他的攻击的准备阶段和空间复杂度在花费上都少,攻击的先前准备阶段的时间复杂度为234,空间复杂度为272,攻击的时间复杂度为272.     

Rijndael分组密码与差分攻击

深入研究了Rijndael分组密码,将字节代替变换中的有限域GF(28)上模乘求逆运算和仿射变换归并成了一个8×8的S盒,将圈中以字节为单位进行的行移位、列混合、密钥加三种运算归并成了一个广义仿射变换.基于归并将Rijndael密码算法了进行简化,结果表明Rijndael密码实质上是一个形如仿射变换Y=A(?)S(X)(?)K的非线性迭代算法,并以分组长度128比特、密钥长度128比特作为特例,给出了二轮Rijndael密码的差分攻击.文中还给出了Rijndael密码算法的精简描述,并指出了算法通过预计算快速实现的有效方法.     

对全轮3D分组密码算法的Biclique攻击

3D算法是CANS 2008会议上提出的一种代替-置换网络型分组密码算法.该文通过构造3D算法的Biclique结构,提出了对全轮3D算法的Biclique攻击.该攻击可以扩展为对r轮3D算法的一般化Biclique攻击(r10).结果表明,Biclique攻击数据复杂度为232个选择密文,在时间复杂度上优于穷举.     

分组密码SHACAL2的Biclique攻击

分组密码算法SHACAL2是由Handschuh等人于2002年基于标准散列函数SHA2设计的,具有较高的安全性.利用SHACAL2算法密钥生成策略与扩散层的特点,构造了SHACAL2的首18轮32维Biclique.基于构造的Biclique对完整64轮SHACAL2算法应用Biclique攻击.分析结果表明,Biclique攻击恢复64轮SHACAL2密钥的数据复杂度不超过2224已知明文,时间复杂度约为2511.18次全轮加密.与已知分析结果相比,Biclique攻击所需的数据复杂度明显降低,且计算复杂度优于穷举攻击.对全轮的SHACAL2算法,Biclique攻击是一种相对有效的攻击方法.这是首次对SHACAL2算法的单密钥全轮攻击.     

What is the effective key length for a block cipher: an attack on every practical block cipher

Recently,several important block ciphers are considered to be broken by the brute-force-like cryptanalysis,with a time complexity faster than the exhaustive key search by going over the entire key space but performing less than a full encryption for each possible key.Motivated by this observation,we describe a meetin-the-middle attack that can always be successfully mounted against any practical block ciphers with success probability one.The data complexity of this attack is the smallest according to the unicity distance.The time complexity can be written as 2k(1-),where>0 for all practical block ciphers.Previously,the security bound that is commonly accepted is the length k of the given master key.From our result we point out that actually this k-bit security is always overestimated and can never be reached because of the inevitable loss of the key bits.No amount of clever design can prevent it,but increments of the number of rounds can reduce this key loss as much as possible.We give more insight into the problem of the upper bound of effective key bits in block ciphers,and show a more accurate bound.A suggestion about the relationship between the key size and block size is given.That is,when the number of rounds is fixed,it is better to take a key size equal to the block size.Also,effective key bits of many well-known block ciphers are calculated and analyzed,which also confirms their lower security margins than thought before.The results in this article motivate us to reconsider the real complexity that a valid attack should compare to.     

7轮ARIA-256的不可能差分新攻击

如何针对分组密码标准ARIA给出新的安全性分析是当前的研究热点。基于ARIA的算法结构,利用中间相遇的思想设计了一个新的4轮不可能差分区分器。基于该区分器,结合ARIA算法特点,在前面加2轮,后面加1轮,构成7轮ARIA-256的新攻击。研究结果表明：攻击7轮ARIA-256所需的数据复杂度约为2120选择明文数据量,所需的时间复杂度约为2219次7轮ARIA-256加密。与已有的7轮ARIA-256不可能差分攻击结果相比较,新攻击进一步地降低了所需的数据复杂度和时间复杂度。     

MIBS-64算法的三子集中间相遇攻击

MIBS算法于2009年在CANS会议上提出,是一个32轮Feistel结构、64比特分组长度以及包含64比特、80比特两种主密钥长度的轻量级分组密码.针对该算法密钥编排中第1轮到第11轮子密钥之间存在部分重复和等价关系,本文首次完成了MIBS-64的11轮三子集中间相遇攻击,数据复杂度为2⁴⁷,存储复杂度为2⁴⁷64-bit,时间复杂度为2^62.25次11轮加密.与目前已有的对MIBS-64算法的中间相遇攻击相比,将攻击轮数由10轮扩展至11轮,刷新了该算法在中间相遇攻击下的安全性评估结果.     

针对PRESENT分组密码算法的代数分析*

本文研究针对PRESENT分组密码的代数分析。通过使用S盒的表达式形式,构建出多轮PRESENT加密中的代数方程组。这种构建方程的方法被推广到具有小型S盒的典型SPN型分组密码算法的方程构建问题中。文中还对简化的PRESENT算法进行了攻击实验。采用MiniSAT作为攻击过程中的求解工具,对4轮、6轮PRESENT加密进行实际攻击。可以在一分钟之内恢复4轮加密的所有密钥,数小时内恢复6轮加密的密钥。并且通过引入了差分思想,首次将有效攻击轮数提高到8轮。     

SNAKE(2)分组密码的积分攻击

针对目前对SNAKE算法的安全性分析主要是插值攻击及不可能差分攻击,评估了SNAKE(2)算法对积分攻击的抵抗能力。利用高阶积分的思想,构造了一个8轮区分器,利用该区分器,对SNAKE(2)算法进行了9轮、10轮积分攻击。攻击结果表明,SNAKE(2)算法对10轮积分攻击是不免疫的。     

轻量级分组密码Piccolo的积分攻击

针对Piccolo-80算法提出了一种5轮积分区分器,并将其向解密方向扩展了2轮,得到了7轮区分器。使用5轮区分器对无白化密钥的Piccolo-80进行了7轮和8轮的攻击,使用7轮区分器进行了9轮的攻击。其中,最好的攻击结果是使用7轮区分器,对有白化密钥的Piccolo-80进行9轮攻击,可恢复32比特相关轮密钥,需要的数据复杂度为2的48次方个明文,时间复杂度为2的52.237方次9轮加密。     

LiCi密码的差分故障攻击

LiCi轻量级分组密码算法是2017年提出的一种新型密码算法,其具有结构微小、消耗能量少等优点,适用于物联网等资源受限的环境.在LiCi的设计文档中,对该算法抵御差分攻击和线性攻击的能力进行了分析,但LiCi算法对于差分故障攻击的抵抗能力尚未得到讨论.针对LiCi算法每轮迭代的移位规律,在第31轮迭代时的左半侧多次注入...