幾個(gè)國際標(biāo)準(zhǔn)分組密碼算法的安全性分析.pdf

1、分組密碼是加解密雙方用同一密鑰進(jìn)行加密和解密運(yùn)算的密碼算法，是保障數(shù)據(jù)機(jī)密性與完整性的重要技術(shù)。分組密碼的安全性分析有利于發(fā)現(xiàn)算法中存在的不足，以確保算法在實(shí)際應(yīng)用中的安全，并指導(dǎo)新的算法設(shè)計(jì)。上世紀(jì)末，隨著美國AES計(jì)劃[1]、歐洲NESSIE計(jì)劃[2]和日本CRYPTREC計(jì)劃[3]的相繼實(shí)施，對(duì)相應(yīng)標(biāo)準(zhǔn)密碼算法的安全性分析被國際密碼學(xué)者廣泛關(guān)注，極大地推動(dòng)了分組密碼分析與設(shè)計(jì)工作的發(fā)展。
　　本文主要對(duì)三個(gè)國際標(biāo)準(zhǔn)分組密碼算

2、法AES[1]、Camellia[4]和CLEFIA[5]的安全性進(jìn)行分析，提出一些有意義的密碼學(xué)性質(zhì)，并與國際上最前沿的分析結(jié)果相比得到最優(yōu)的結(jié)果。
　　1、分組密碼AES的安全性分析
　　分組密碼Rijndael是由兩位比利時(shí)密碼學(xué)者Daemen和Rijmen于1997年設(shè)計(jì)，并于2000年10月被美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)公布為高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard)。之

3、后，AES被CRYPTREC工程和NESSIE工程推薦，并由國際標(biāo)準(zhǔn)化組織(ISO)選定為國際標(biāo)準(zhǔn)ISO/IEC18033-3[6]。AES的分組長度為128比特，采用SPN結(jié)構(gòu)，密鑰長度有128比特、192比特和256比特三個(gè)版本，本文分別用AES-128、AES-192與AES-256表示。
　　AES的中間相遇攻擊是由Demirci和Selcuk于2008年FSE會(huì)議上提出[7]，他們利用4輪AES區(qū)分器給出了7輪AES-1

4、92和8輪AES-256的分析結(jié)果。在2010年亞密會(huì)上，Dunkelman，Keller和Shamir[8]提出了差分列舉技術(shù)思想和Multiset技術(shù)，有效的減少了Demirci和Selcuk攻擊的存儲(chǔ)和時(shí)間復(fù)雜度。同時(shí)，利用數(shù)據(jù)/時(shí)間/存儲(chǔ)折衷技術(shù)給出了7輪AES-128的中間相遇分析結(jié)果。在2013年歐密會(huì)上，Derbez，F(xiàn)ouque和Jean利用Hash函數(shù)分析中的反彈(Rebound)技術(shù)[9]，極大減少了Dunkelma

5、n等人攻擊的時(shí)間和存儲(chǔ)復(fù)雜度。并構(gòu)造了5輪AES-256區(qū)分器，給出了9輪AES-256的分析結(jié)果。
　　本文主要考慮單密鑰模式下，對(duì)AES-192/256的中間相遇攻擊。我們提出了一種改進(jìn)中間相遇攻擊的新方法—基于密鑰的中間狀態(tài)過濾，并利用此方法構(gòu)造了5輪AES-192區(qū)分器，結(jié)合數(shù)據(jù)/時(shí)間/存儲(chǔ)折衷完成了對(duì)9輪AES-192的中間相遇攻擊。我們的攻擊延續(xù)了Dunkelman等人所提出的差分列舉的思想，但不同的是，我們利用中間狀

6、態(tài)的密鑰關(guān)系，用有序數(shù)列代替Multiset來獲取更多的信息量，以減少攻擊的復(fù)雜度。這是除Biclique方法之外[10]，首次對(duì)9輪AES-192的分析結(jié)果。同時(shí)，我們利用攻擊中預(yù)計(jì)算與在線階段的密鑰關(guān)系，將整個(gè)攻擊分割為一系列的子攻擊，每個(gè)子攻擊都是相互獨(dú)立的。當(dāng)所有的子攻擊工作于串行模式的時(shí)候，相應(yīng)的存儲(chǔ)空間可以重復(fù)使用。利用此方法，我們降低了整個(gè)攻擊的存儲(chǔ)復(fù)雜度。對(duì)于9輪AES-256，與2013年歐密會(huì)的結(jié)果[9]相比，存儲(chǔ)復(fù)

7、雜度降低了232，但數(shù)據(jù)復(fù)雜度和時(shí)間復(fù)雜度不受影響。
　　2、分組密碼Camellia的安全性分析
　　分組密碼算法Camellia由日本NTT和三菱公司于2000年設(shè)計(jì)，其分組長度為128比特，密鑰長度有128比特、192比特和256比特三個(gè)版本。Camellia被CRYPTREC工程推薦為日本的e-government算法，也是NESSIE工程最終選取的算法之一，并且由國際標(biāo)準(zhǔn)化組織(ISO)選定為國際標(biāo)準(zhǔn)ISO/IEC

8、18033-3[6]。本文研究了Camellia算法的不可能差分分析和中間相遇攻擊。
　　首先，我們給出了帶FL/FL-1層Camellia算法的7輪不可能差分特征。利用該不可能差分特征，我們分析了不帶白化密鑰的10輪Camellia-128，以及帶白化密鑰的10輪Camellia-192和11輪Camellia-256算法。同時(shí)，我們給出了在3/4弱密鑰空間里，帶FL/FL-1層的7輪不可能差分特征。之后利用該特征給出了弱密鑰條

9、件下、10/11/12輪Camellia-128/192/256的不可能差分分析。在此基礎(chǔ)上，我們提出了復(fù)合攻擊的思想:即利用每次失敗的攻擊來推出2比特的密鑰條件，經(jīng)過a次攻擊，推出2×a比特密鑰信息。從而，將弱密鑰條件下的攻擊轉(zhuǎn)化為對(duì)全密鑰空間的攻擊。除此之外，我們還給出了中間14輪Camellia-256和12輪Camellia-192的分析結(jié)果。
　　其次，結(jié)合2010年亞密會(huì)上Dunkelman等人所提出的差分列舉思想和M

10、ulitset技術(shù)[8]，我們給出了7輪Camellia-192的中間相遇性質(zhì)。并以此構(gòu)造了12輪Camellia-192的中間相遇攻擊，復(fù)雜度比當(dāng)前最優(yōu)結(jié)果[11]快大約28倍。此外，我們給出了8輪Camellia-256的中間相遇性質(zhì)，并以此構(gòu)造了帶兩個(gè)FL/FL-1層的13輪Camellia-256的中間相遇攻擊，據(jù)我們所知，這是第一個(gè)對(duì)首輪開始13輪Camellia-256的分析結(jié)果。我們同樣給出了不帶白化密鑰的14輪Camel

11、lia-256的分析結(jié)果。
　　3、分組密碼CLEFIA的安全性分析
　　CLEFIA是由索尼公司(SonyCorporation)于2007年設(shè)計(jì)，2012年被ISO/IEC29192-2選舉為輕量級(jí)分組密碼算法標(biāo)準(zhǔn)[12]，2013年被日本CRYP-TREC項(xiàng)目推薦為e-Government建議算法[3]。CLEFIA采用四路廣義Fesitel結(jié)構(gòu)，分組長度為128比特，密鑰長度有128比特、192比特和256比特三個(gè)版