對稱密碼算法ARIA和SALSA20的安全性分析.pdf

1、密碼體制按照加密密鑰和解密密鑰之間關(guān)系可以分為對稱密碼體制和公鑰密碼體制.對稱密碼主要包括分組密碼和流密碼，具有運行速度快，存儲量小，易于軟硬件實現(xiàn)等優(yōu)點.本文的主要研究內(nèi)容是關(guān)于分組密碼和流密碼的安全性. DES(Data Encryption Standard)[51]在1977年被認可為分組密碼的標準，是2000年前應(yīng)用最為廣泛的分組加密算法，分組大小和密鑰長度分別為64比特和56比特.隨著計算能力的大幅提高，DES的安全

2、強度相對變?nèi)?，需要使用新的加密算法來代?最終美國標準技術(shù)局NIST征集高級加密標準AES(Advanced Encryption Standard)以替代DES.1997年NIST宣布征集新算法，1998年第一次AES大會宣布了15個候選算法，1999年召開第二次AES大會，討論了對候選算法的分析結(jié)果，并從中選出5個算法：MARS，RC6[59]，Rijndael[25]，Serpent[1]和Twofish[56].第三次AES大會

3、宣布由J.Daemen和V.Rijmen設(shè)計的Rijndael為最后的勝利者. 分組密碼的安全性很難得到證明，盲目引進未經(jīng)安全證明的密碼體制具有很大的風(fēng)險性，因此各國都在致力于設(shè)計屬于自己的密碼體制.現(xiàn)在已經(jīng)有一些國家制定了本國的密碼標準，ARIA算法就是其中之一. ARIA版本0.8[52]是在韓國的一次密碼年會中首次公開，迭代輪數(shù)為10/12/14，對應(yīng)的密鑰長度為128/192/256，在算法中應(yīng)用了兩個不同S_b

4、ox.A.Biryukov等給出了這個版本的安全性評估[17]，評估中使用了專用線性分析方法取得了較好的攻擊結(jié)果，他們還指出如果算法的置換層使用4個不同的S-box可以避免這類攻擊.ARIA隨后在版本0.9[40]使用了4個不同的S-box.當(dāng)前版本為1.0[53]，于2004年在韓國技術(shù)標準局(ATS)網(wǎng)頁http：//www.nsri.re.kr/ARIA/上公布.此版本在輪數(shù)上增加兩輪且密鑰擴展方案略有變動.2004年12月韓國技

5、術(shù)標準局正式宣布ARIA為128比特的分組加密算法為標準.另外對ARIA的密碼分析還有吳文玲等進行的六輪不可能差分分析[66]. 現(xiàn)在已經(jīng)有多種效率高且可以信賴的分組密碼，而流密碼卻不同.流密碼此前一般被應(yīng)用到軍事領(lǐng)域，其研究具有一定的保密性，因此流密碼的標準化起步較分組密碼要晚一些.為了加快流密碼的標準化步伐，ECRYPT(歐盟建立的一個為期四年的工程)正在廣泛征集流密碼算法并對他們進行安全和效率方面的評估.主工程開始于200

6、5年，最初征集到34個流密碼算法.2006年2月結(jié)束了第一階段的評估，第二階段于2007年4月結(jié)束，現(xiàn)在處于第三階段的評估中，此階段剩下16個算法，Salsa20[3，4]就是其中之一，另外還有Lex，CryptMT，Dragon等. Salsa20于2005年由D.J.Bernstein設(shè)計.ECRYPT前兩輪的評估對該算法給出了很高的評價，是成為流密碼標準的熱門候選算法.對Salsa20的安全性分析，主要是P.Crowley