轻量级分组密码LED的相关密钥差分分析
发布时间:2021-07-26 22:55
在CHES2011国际会议上,轻量级分组密码算法LED被郭等人提出,该密码算法具有硬件实现规模小,加解密速度快等优点,因而备受业界关注。目前设计者给出了单密钥攻击模型下LED算法活跃S盒个数的下界,以评估其抵御经典差分密码分析的能力。然而,相关密钥攻击模型下LED算法抵御差分密码分析的能力仍有待进一步解决。本文基于LED密码算法的结构及密钥编排特点,结合面向字节的自动化搜索方法,构建了适用于相关密钥差分分析的混合整形规划(MILP)搜索模型。研究结果表明:全轮LED-64至少存在100个活跃S盒,全轮LED-128至少存在150个活跃S盒; 15轮简化LED算法足以抵抗相关密钥差分分析。此外,针对多种变体的LED密钥编排方法进行了测试,找到了一些新的密钥编排方案,并使LED算法具有最佳能力抵御相关密钥差分分析。
【文章来源】:信息安全学报. 2020,5(01)CSCD
【文章页数】:9 页
【部分图文】:
线性变换示意图Figure3Schematicdiagramoflineartransformation
次异或轮密钥。因此,如果算法在只加密一轮,依旧需要添加列混淆不等式约束条件,最后再添加轮密钥异或操作的不等式约束。上述步骤建立的是相关密钥差分MILP模型,需向不等式系统中添加一个额外的条件,即0115xxx≥1,确保在输入的初始密钥1K部分至少有一个半字节存在输入差分。最后设定目标函数minifx,i为经过非线性部件S盒的半字节状态。将产生的不等式系统放到Gurobi8.1.0软件[22]中求解,得到全轮最小差分活跃S盒数目,具体结果如图4所示。图4LED-64相关密钥模型的结果Figure4ResultsoftheLED-64related-keymodel在文献[9]中Kanda等人,给出了具有SPN结构密码算法差分攻击中最小活跃S盒的理论计算公式,264(2)2Ndp≤。其中,dp是LED算法的最大差分概率,N32为活跃S盒个数。从图4可以看出,相关密钥模型中LED-64全轮至少有100个活跃S盒。因此,全轮LED-64的最大差分概率的上限是(2–2)100=2–200<2–64,可以得出结论,全轮的LED-64可以抵抗相关密钥差分攻击。其15轮至少有34个活跃S盒,34N32,显然对于LED-64来说,15轮迭代足以抵抗相关密钥差分攻击。4.2LED-128相关密钥MILP模型LED-128算法与LED-64算法相比,前者使用的密钥长度是后者的两倍,即128比特的密钥12K||K。LED-128算法在输入明文后、最后一轮迭代完成之后都要添加轮密钥1K,与4.1部分类似,要运用同样的方法对轮密钥加、行移位和列混淆三个操作构建不等式约束条件。唯一不同的是每隔四轮要与轮密钥1K,2K交替进行异或操作。假设1015K
40JournalofCyberSecurity信息安全学报,2020年1月,第5卷,第1期在密钥1K部分或者2K部分存在输入差分;第二,密钥1K和2K部分中都存在输入差分。(1)密钥1K部分或2K部分存在输入差分在密钥1K部分或2K部分中存在输入差分,又分为两种情况。一是密钥1K中存在输入差分;二是密钥2K中存在输入差分。①密钥1K部分存在输入差分若密钥1K部分存在输入差分,在构建轮密钥加、行移位和列混淆三个操作不等式约束条件完成后,需向不等式系统添加一个额外条件,即0115xxx≥1,确保在输入的初始密钥1K部分至少有一个半字节存在输入差分。②密钥2K部分存在输入差分若密钥2K部分存在输入差分,同样按照①中步骤在构建三个操作的不等式约束条件,最后添加一个额外条件,此时额外条件应确保在输入的初始密钥2K部分至少有一个半字节存在输入差分,即161731xxx≥1。图5LED-128相关密钥模型的结果Figure5ResultsoftheLED-128related-keymodel图6LED-128相关密钥模型的结果Figure6ResultsoftheLED-128related-keymodel
【参考文献】:
期刊论文
[1]RECTANGLE: a bit-slice lightweight block cipher suitable for multiple platforms[J]. ZHANG WenTao,BAO ZhenZhen,LIN DongDai,Vincent RIJMEN,YANG Bo Han,Ingrid VERBAUWHEDE. Science China(Information Sciences). 2015(12)
[2]物联网安全关键技术与挑战[J]. 武传坤. 密码学报. 2015(01)
[3]Eight-sided fortress: a lightweight block cipher[J]. LIU Xuan,ZHANG Wen-ying,LIU Xiang-zhong,LIU Feng. The Journal of China Universities of Posts and Telecommunications. 2014(01)
本文编号:3304531
【文章来源】:信息安全学报. 2020,5(01)CSCD
【文章页数】:9 页
【部分图文】:
线性变换示意图Figure3Schematicdiagramoflineartransformation
次异或轮密钥。因此,如果算法在只加密一轮,依旧需要添加列混淆不等式约束条件,最后再添加轮密钥异或操作的不等式约束。上述步骤建立的是相关密钥差分MILP模型,需向不等式系统中添加一个额外的条件,即0115xxx≥1,确保在输入的初始密钥1K部分至少有一个半字节存在输入差分。最后设定目标函数minifx,i为经过非线性部件S盒的半字节状态。将产生的不等式系统放到Gurobi8.1.0软件[22]中求解,得到全轮最小差分活跃S盒数目,具体结果如图4所示。图4LED-64相关密钥模型的结果Figure4ResultsoftheLED-64related-keymodel在文献[9]中Kanda等人,给出了具有SPN结构密码算法差分攻击中最小活跃S盒的理论计算公式,264(2)2Ndp≤。其中,dp是LED算法的最大差分概率,N32为活跃S盒个数。从图4可以看出,相关密钥模型中LED-64全轮至少有100个活跃S盒。因此,全轮LED-64的最大差分概率的上限是(2–2)100=2–200<2–64,可以得出结论,全轮的LED-64可以抵抗相关密钥差分攻击。其15轮至少有34个活跃S盒,34N32,显然对于LED-64来说,15轮迭代足以抵抗相关密钥差分攻击。4.2LED-128相关密钥MILP模型LED-128算法与LED-64算法相比,前者使用的密钥长度是后者的两倍,即128比特的密钥12K||K。LED-128算法在输入明文后、最后一轮迭代完成之后都要添加轮密钥1K,与4.1部分类似,要运用同样的方法对轮密钥加、行移位和列混淆三个操作构建不等式约束条件。唯一不同的是每隔四轮要与轮密钥1K,2K交替进行异或操作。假设1015K
40JournalofCyberSecurity信息安全学报,2020年1月,第5卷,第1期在密钥1K部分或者2K部分存在输入差分;第二,密钥1K和2K部分中都存在输入差分。(1)密钥1K部分或2K部分存在输入差分在密钥1K部分或2K部分中存在输入差分,又分为两种情况。一是密钥1K中存在输入差分;二是密钥2K中存在输入差分。①密钥1K部分存在输入差分若密钥1K部分存在输入差分,在构建轮密钥加、行移位和列混淆三个操作不等式约束条件完成后,需向不等式系统添加一个额外条件,即0115xxx≥1,确保在输入的初始密钥1K部分至少有一个半字节存在输入差分。②密钥2K部分存在输入差分若密钥2K部分存在输入差分,同样按照①中步骤在构建三个操作的不等式约束条件,最后添加一个额外条件,此时额外条件应确保在输入的初始密钥2K部分至少有一个半字节存在输入差分,即161731xxx≥1。图5LED-128相关密钥模型的结果Figure5ResultsoftheLED-128related-keymodel图6LED-128相关密钥模型的结果Figure6ResultsoftheLED-128related-keymodel
【参考文献】:
期刊论文
[1]RECTANGLE: a bit-slice lightweight block cipher suitable for multiple platforms[J]. ZHANG WenTao,BAO ZhenZhen,LIN DongDai,Vincent RIJMEN,YANG Bo Han,Ingrid VERBAUWHEDE. Science China(Information Sciences). 2015(12)
[2]物联网安全关键技术与挑战[J]. 武传坤. 密码学报. 2015(01)
[3]Eight-sided fortress: a lightweight block cipher[J]. LIU Xuan,ZHANG Wen-ying,LIU Xiang-zhong,LIU Feng. The Journal of China Universities of Posts and Telecommunications. 2014(01)
本文编号:3304531
本文链接:https://www.wllwen.com/kejilunwen/wltx/3304531.html
