相关密钥飞去来器攻击和矩形攻击的研究

发布时间：2020-11-15 01:58

　　 在过去的几十年间,信息技术得到了空前发展,信息安全问题也逐渐得到了全世界的重视。作为信息安全的基石,密码学被应用到了更多的领域。密码算法分为对称密码算法和非对称密码算法。而对称密码算法又可根据其不同用途分为分组密码、流密码、哈希算法和认证加密算法等。对称密码算法以其加密速度快、便于软硬件实现等优点,被广泛应用于数据加密、消息认证等领域。本文主要围绕飞去来器攻击和矩形攻击,分析了几个可调分组密码和轻量级密码的安全性。在研究过程中,我们提出了新的相关密钥飞去来器攻击和矩形攻击模型,并将矩形攻击模型应用到重要算法SKINNY和GIFT中。此外,我们改进了现有的用于搜索Deoxys-BC相关密钥矩形区分器的MILP模型,基于该模型获得了更好的区分器,并将其应用到了 Deoxys-BC相关密钥飞去来器攻击和矩形攻击中。可调分组密码SKINNY的安全性分析“可调分组密码”的概念最早由Moses Liskov等人提出,目的是使得设计的算法同时保证使用时的实现效率和加密的可变性。与传统分组密码算法相比,除了以明文和密钥作为输入外,还需要一个被称为调柄(tweak)的输入。SKINNY算法族由Christof Beierle等人于2016年在CRYPTO会议上提出,目的是在硬件和软件性能方面与美国国家安全局(NSA)设计的SIMON算法竞争。SKINNY算法采用TWEAKEY框架,因此将调柄和主密钥的级联称为可调密钥。SKINNY算法族根据分组长度和可调密钥长度的不同共分为6个版本,记作SKINNY-n-t,其中n为分组长度,可取64或128,t为可调密钥长度,分为t=n,t=2n 和t=3n。SKINNY算法发布以来,受到了很多密码学家的关注。在AFRICACRYPT 2017会议上,Tolba等人给出了 18轮、20轮和22轮的SKINNY-n-n,SKINNY-n-2n和SKINNY-n-3n在单密钥情形下的不可能差分分析。在ToSC 2017会议上,Liu等人在相关密钥设定下,将获得的不可能差分区分器和矩形区分器,分别应用到 19 轮、23 轮和27 轮的SKINNY-n-n,SKINNY-n-2n 和SKINNY-n-3n的密钥恢复中。在ASIACRYPT 2018会议上,Shi等人利用Demirci-Selcuk中间相遇攻击分析了22轮SKINNY-128-384。在ToSC 2019会议上,Song等人重新计算了在ToSC 2017会议上提出的部分相关密钥矩形区分器的概率。本文中我们提出了新的相关密钥矩形攻击模型,并将其应用到SKINNY-128-384算法上,成功将27轮SKINNY-128-384相关密钥矩形攻击地的时间复杂度降低237,且首次给出了28轮SKINNY-128-384的相关密钥矩形攻击,时间复杂度为2315.25。轻量级密码GIFT的安全性分析普适计算的发展推进了轻量级密码算法研究领域的迅速发展,出现了很多轻量级密码算法,如PRESENT、PHOTON等。为了庆祝PRESENT算法诞生10周年,Banik等人于CHES 2017会议上提出GIFT分组密码算法,是PRESENT算法的升级版,GIFT算法根据分组长度不同分为GIFT-64和GIFT-128两个版本。在IWSEC 2018会议上,Sasaki将中间相遇攻击应用到GIFT-64,给出了一个15轮的攻击。在CT-RSA 2019会议上,Zhu等人利用混合整数线性规划(MILP)技术搜索了GIFT算法的差分路线,并分析了 19轮GIFT-64和22轮GIFT-128的安全性。在ACISP 2019会议上,Liu和Sasaki结合飞去来器连接表技术,给出了23轮GIFT-64的相关密钥攻击。此外,Chen等人通过MILP技术搜索差分路线,并给出一个23轮GIFT-64相关密钥矩形攻击。本文中,我们主要研究了GIFT算法在相关密钥矩形攻击方面的安全性。基于Chen等人提出的19轮GIFT-64相关密钥矩形区分器,分别向前和向后扩展3轮和2轮,并结合我们所提出的新型相关密钥矩形攻击模型,首次给出了对24轮GIFT-64的相关密钥矩形攻击,时间复杂度为292.81。CAESAR竞赛获胜算法Deoxys内部算法Deoxys-BC的安全性分析认证加密(AE)是一种能够提供保密性、完整性和认证性的加密算法。为了获得安全性更强的认证加密算法,CAESAR竞赛于2014年启动。经过来自全世界的密码学家和工程师的四轮筛选,最终6个认证加密算法获胜。Deoxys算法族由Jeremy Jean等人设计,共包含Deoxys-Ⅰ和Deoxys-Ⅱ两个版本,并且两个版本均采用可调分组密码算法Deoxys-BC作为其内部主算法,Deoxys-BC的设计也是采用TWEAKEY框架,且根据可调密钥长度分为Deoxys-BC-256 和Deoxys-BC-384 两个版本。在ToSC 2017会议上,Cid等人指出,可调密钥差分拥有自由度,密钥扩展算法和列混合与添加轮可调密钥操作消耗自由度,并提出了一个新型的相关密钥MILP模型,给出了9轮和10轮Deoxys-BC-256、12轮和13轮Deoxys-BC-384的相关密钥矩形攻击。之后,基于Cid提出的相关密钥飞去来器区分器,Sasaki给出了一种对Deoxys-BC-256和Deoxys-BC-384改进的相关密钥飞去来器攻击。在2018年EUR.OCRYPT会议上,Cid等人提出飞去来器连接表(BCT)技术,重新计算了 10轮Deoxys-BC-384的相关密钥飞去来器区分器的概率。在ToSC 2019会议上,Wang和Song均结合BCT技术,提出了一个可以应用到多轮飞去来器转换的一般化框架,且Wang介绍了一个名为飞去来器差分表(BDT)的技术。本文中,我们通过添加更多的约束条件,改进了Cid提出的搜索相关密钥区分器的MILP模型,所获得的相关密钥矩形区分器扩展若干轮后,所获得的活跃字节数较之前有所降低。利用新的区分器,我们降低了之前的10轮Deoxys-BC-256和13轮Deoxys-BC-384分析复杂度,并首次给出了11轮Deoxys-BC-256和14轮Deoxys-BC-384相关密钥矩形攻击,时间复杂度分别为2249.9 和 2282.7。
【学位单位】：山东大学
【学位级别】：博士
【学位年份】：2020
【中图分类】：TN918.4
【部分图文】：

?山东大学博士学位论文???ｐ＇?Ｐ，??ｐ?ｒ、ａ?ｐ??尺丨、、尸２?Ｋ、?、４??＼＼?Ｋ＂?０?Ｋａ??ｆ?ｒａ?，?Ｔ?ｒａ??、０＞￣??Ｎｉ／?＂、“?一?一?＿?一??ｅ，?ｙ?ｅ＇??Ｉ?■?Ｉ?ｓｉ／?Ｉ?■?Ｉ?＼１／??ｒａ?１５??＇《－？—?■?■???？?—???Ｉｌｌ?■?、ｆ??ｃ，丄?５?ｃ３?、ｔ??ｃ２?＾?ｃ４??图２．１：相关密钥矩形区分器框架??量记为ｒｎ６。类似的，从区分器末尾端在密钥差分ＶＫ的情形下向后扩展若千轮??（即＆）后，我们将密文差分屮的未知比特数量记作／＞在解密密文对到Ｋ分??器末尾端的过程中，将影响密文差分到区分器末尾端的、需要猜测的密钥比特??数丨ｔｔｉｉｌ为川／。整个攻－Ａ梭彻分为数据收集和密钔恢复两个部分。??１．＾表示期铝｜｜：确网元组的数量，则构造：！／＝一．２＂／２？／如个含打２＾个??明文的结构体，其中每个结构体中的明文遍历明文差分中未知的＾比特，??其他比特固定为常量，但不同结构体需选择不同的常量。??２．令八？丨为加密Ｋ密钥，八－２?＝八Ｖ］．Ａ八？，心＝八－１任）▽八■，尺１?＝八Ｖｆ）△八飞：）??▽Ｋ。对ｆ？每个结构体，向预言机分别询问每个明文在四个符合特定差分??的密钥瓦４下对应的密文。这样，我们为每个结构体得到四个??明密文集合１１，１２，１３，１，１，将１／２和心用明文差分中未知的７＾比特做索引??分别插入到哈希表扔和块中。??３．猜测涉及在及中的ｍｂ比特密钥：??（ａ）初始化一个大小为的计数器，其中每个计数对应的是涉及在??中的ｍ／比特密钥。??（ｂ）对于每个结构体对应的

图２．２：相关密钥矩形攻击框架??在私下部分解密到明文处得到尸２，即Ｐ２?＝认＆的＆仍）①斗其??中表示在下的部分解密

?山东大学博士学位论文???ＡＲＴ?］?［＇＇＂＾ｉｆｔＲｂｔｆＳ?］?［＇Ｍ＾Ｃｏｌｉｉａｍｓ?；??—＞?—？?－＋?－＾？－?—＊??？?—ｔ?ｖ?Ｉ—＊??－？?－＊?—＞０￣＂＞?—？｛．、赛．－＞？——ｖ＇ｆ—？???＿?ＡＣ????Ｔ?＼Ｊ???－？．；：?－？??？?－＾（?？＞２?ｊ—＞?—＾－？０?ｔ－＼?Ｎ－？??－＋｜：?－？?－＊??＞?－？｜＞？３）－？????图３．１：?ＳＫＩＮＮＹ算法轮函数??密钥状态均被视为４?ｘ?４的矩阵，且单元的索引值按照下列顺序排序??＇〇?１?２?３＂??４?５?６?７??８?９?１０?１１?＇??１２?１３?１４?１５??注意，与ＡＥＳ算法丨２７］的列式排序不同，ＳＫＩＮＮＹ状态采用行式排序，正??如丨５４］所说，这对硬件实现更加有利。??轮函数：ＳＫＩＮＮＹ算法的每轮均由５个操作函数组成，分别是单元替换??（ＳＣ），添加常量（ＡＣ），添加轮可调密钥（ＡＲＴ），行移位（ＳＲ）和列混合??（ＭＣ），轮函数如图３．１所示。??单元替换：将一个４比特Ｓ盒（分组长度为６４时）或一个８比特Ｓ盒（分组??长度为１２８时）分别应用到状态的１６个单元。这是整个轮函数中唯一的非线性??操作。??添加常量：轮常量由一个６比特仿射线性反馈移位寄存器（ＬＦＳＲ）生成，??每次将三个轮常量分别异或到前三行的第一个单元。??添加轮可调密钥：将轮可调密钥的前两行异或到中间状态的前两行。其中??在第ｚ轮的轮可调密钥＊定义为：??？?ｔ?＝?ｎ：?ＳＴＫｉ?＝?（Ｔ／＼?１）？??？?ｔ?＝
【相似文献】

相关期刊论文 前10条

1 孙泽良;;飞去来器[J];阅读;2017年89期

2 高玉侠;;回不来的飞去来器[J];科学大众(中学生);2016年Z1期

3 吴影;;夜光变色飞去来器[J];生意通;2006年09期

4 王俊仁;;最古老的飞去来器[J];化石;1983年02期

5 郑碧云;;飞来又飞去的美丽“武器”——澳洲“飞去来器”[J];早期教育(美术版);2012年Z1期

6 张成林;;来自土著的休闲运动器械——飞去来器[J];文体用品与科技;2009年09期

7 刘文涛;飞去来器是如何去而复返的[J];中学生;2005年Z1期

8 Mark Hansen;Gillian Wang;;爱在飞来飞去间[J];新东方英语(大学版);2005年Z2期

9 大鹏;;飞去来器[J];少儿科技博览;2006年04期

10 蒋秀芝;小文小武;;飞去来器 掀起你的盖头来[J];航天员;2008年03期

相关博士学位论文 前6条

1 赵博鑫;相关密钥飞去来器攻击和矩形攻击的研究[D];山东大学;2020年

2 闫海伦;分组密码的安全性分析与组件设计[D];上海交通大学;2019年

3 朱国斌;可证安全的密钥隔离密码体制研究[D];电子科技大学;2014年

4 张闻宇;高级加密标准的分析[D];山东大学;2007年

5 施金洋;基于心电和指纹特征的生物密钥技术研究[D];清华大学;2010年

6 黄佳琳;分组密码的密钥编排方案研究及单密钥攻击研究[D];上海交通大学;2014年

相关硕士学位论文 前10条

1 苗继斌;农业排灌系统中密钥和发卡子系统的设计与实施[D];北京邮电大学;2010年

2 李静静;分组密码相关密钥不可能差分分析研究[D];西安电子科技大学;2015年

3 莫赋;基于动态密钥的电子支付模式研究与实现[D];华南理工大学;2012年

4 施超;基于可信平台的密钥技术的研究与应用[D];南京理工大学;2011年

5 牟彦利;轻量级分组密码的相关密钥不可能飞来去器分析[D];西安电子科技大学;2017年

6 曾华;一种对等通信可调密钥自动生成的策略[D];中国地质大学（北京）;2006年

7 葛立荣;密钥隔离数学签名方案的设计与安全性分析[D];青岛大学;2013年

8 甘庆晴;云环境下密钥聚合机制的研究[D];暨南大学;2016年

9 杨阳;对混沌密码算法的相关密钥攻击[D];中国人民解放军信息工程大学;2005年

10 刘京京;密钥隔离签名体制及其应用研究[D];电子科技大学;2015年

本文编号：2884201