對(duì)CAST-128和CAST-256改進(jìn)的差分分析.pdf

1、CAST-128和CAST-256是由C.Admas在二十世紀(jì)九十年代設(shè)計(jì)的兩種對(duì)稱密碼算法，它們的設(shè)計(jì)過程都采用CAST算法設(shè)計(jì)過程，這使得它們能夠抵抗差分分析、線性分析等很多密碼學(xué)分析手段，并擁有很多理想的密碼學(xué)性質(zhì)，如嚴(yán)格雪崩準(zhǔn)則(SAC)、比特獨(dú)立準(zhǔn)則(BIC)等。
　　CAST-128是一個(gè)類似于DES的密碼算法，算法整體采用Feistel結(jié)構(gòu)。它的分組長(zhǎng)度是64比特，密鑰長(zhǎng)度可變，可選取從40比特到128比特的密鑰長(zhǎng)度

2、（每8比特為一個(gè)增長(zhǎng)單位）。CAST-128曾被作為某些版本的GPG和PGP的默認(rèn)密碼算法，并受到加拿大政府的支持，用于通訊安全局。CAST-256可以看作CAST-128的擴(kuò)展版本，同樣采用CAST算法設(shè)計(jì)過程，它的分組長(zhǎng)度為128比特，密鑰長(zhǎng)度為256比特，采用含有4個(gè)分支的廣義Feistel結(jié)構(gòu)，曾被提交為高級(jí)加密標(biāo)準(zhǔn)(AES)，并成為候選算法之一（但并未成為最終五個(gè)候選密碼算法）。
　　因?yàn)镃AST-128和CAST-25

3、6擁有良好的密碼學(xué)性質(zhì)，并被廣泛地使用，使得它們受到了密碼學(xué)家的廣泛關(guān)注。對(duì)CAST-128和CAST-256的分析結(jié)果很多，其中包括差分分析、線性分析、飛去來器攻擊、多維零相關(guān)分析等。在已有的結(jié)果中，H.Seki等人提出了對(duì)36輪修改版本的CAST-256的差分分析，他們恢復(fù)了36輪修改版的CAST-256的74比特子密鑰信息，攻擊的數(shù)據(jù)復(fù)雜度為2123個(gè)選擇明文，時(shí)間復(fù)雜度為295次加密，這是在弱密鑰假設(shè)下，目前為止對(duì)CAST-25

4、6最好的攻擊結(jié)果。后來，Z.Yuan等人提出了對(duì)32輪CAST-256的線性分析，他們的結(jié)果是本文之前對(duì)CAST-256最好的攻擊結(jié)果。在CAST-128的分析結(jié)果中，本文之前最好的結(jié)果是由M.Wang等人提出的，他們?cè)谌趺荑€假設(shè)下提出了對(duì)CAST-128的9輪差分分析，利用257個(gè)選擇明文和2101.8次加密，恢復(fù)了104比特子密鑰信息。同時(shí)，他們也提出了對(duì)CAST-128的6輪線性分析，數(shù)據(jù)復(fù)雜度為253.96個(gè)已知明文，時(shí)間復(fù)雜度

5、為288.51次加密。
　　本文采用“邊猜邊定”的思想，利用函數(shù)的“差分分布表”，改進(jìn)了CAST-128和CAST-256的差分分析結(jié)果。首先，本文提出了對(duì)9輪CAST-128的差分分析，恢復(fù)了9輪CAST-128所有子密鑰信息。時(shí)間復(fù)雜度為273次9輪加密，數(shù)據(jù)復(fù)雜度為258個(gè)選擇明文。相較于M.Wang等人的結(jié)果，本文的結(jié)果雖然沒有增加攻擊輪數(shù)，但是時(shí)間復(fù)雜度明顯降低了。其次，本文也改進(jìn)了對(duì)CAST-256的差分分析結(jié)果。本文