幾個(gè)國(guó)際標(biāo)準(zhǔn)分組密碼算法的安全性分析

1、幾個(gè)國(guó)際標(biāo)準(zhǔn)分組密碼算法的安全性分析分組密碼是加解密雙方用同一密鑰進(jìn)行加密和解密運(yùn)算的密碼算法 , 是保障 數(shù)據(jù)機(jī)密性與完整性的重要技術(shù)。 分組密碼的安全性分析有利于發(fā)現(xiàn)算法中存在 的不足, 以確保算法在實(shí)際應(yīng)用中的安全 , 并指導(dǎo)新的算法設(shè)計(jì)。上世紀(jì)末,隨著美國(guó)AES計(jì)劃1、歐洲NESSIE計(jì)劃2和日本CRYPTRE計(jì) 劃 3 的相繼實(shí)施 , 對(duì)相應(yīng)標(biāo)準(zhǔn)密碼算法的安全性分析被國(guó)際密碼學(xué)者廣泛關(guān)注 , 極大地推動(dòng)了分組密碼分析與設(shè)計(jì)工作的發(fā)展。 本文主要對(duì)三個(gè)國(guó)際標(biāo)準(zhǔn)分組密 碼算法AES Camellia和CLEFIA的安全性進(jìn)行分析,提出一些有意義的密碼學(xué)性 質(zhì), 并與國(guó)際上最前沿的分析結(jié)果

2、相比得到最優(yōu)的結(jié)果。1、分組密碼AES的安全性分析分組密碼 Rijndael是由兩位比利時(shí)密碼學(xué)者Daemer和Rijmen于1997年設(shè)計(jì)，并于2000年10月被美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究 所(NIST)公布為高級(jí)加密標(biāo)準(zhǔn) AES(Advaneed Encryption Standard)。之后,AES 被CRYPTRE工程和NESSIEX程推薦,并由國(guó)際標(biāo)準(zhǔn)化組織(ISO)選定為國(guó)際標(biāo)準(zhǔn) ISO/IEC18033-3。AES的分組長(zhǎng)度為128比特,采用SPN結(jié)構(gòu),密鑰長(zhǎng)度有128比特、192比特 和256比特三個(gè)版本,本文分別用 AES-128 AES-192與AES-256表示。AES的中

3、間相遇攻擊是由Demirei和Seleuk于2008年FSE會(huì)議上提出7,他們利用4 輪AES區(qū)分器給出了 7輪AES-192和8輪AES-256的分析結(jié)果。在 2010 年亞密會(huì)上 ,Dunkelman, Keller 和 Shamir 提出了差分列舉技術(shù)思 想和 Multiset 技術(shù), 有效的減少了 Demirei 和 Selquk 攻擊的存儲(chǔ)和時(shí)間復(fù)雜度。 同時(shí),利用數(shù)據(jù)/時(shí)間/存儲(chǔ)折衷技術(shù)給出了 7輪AES-128的中間相遇分析結(jié)果。在2013年歐密會(huì)上，Derbez, Fouque和Jean利用Hash函數(shù)分析中的反彈(Rebound)技術(shù),極大減少了 Dunkelman等人攻擊的

4、時(shí)間和存儲(chǔ)復(fù)雜度。并構(gòu)造了5 輪 AES-256 區(qū)分器 , 給出了 9 輪 AES-256 的分析結(jié)果。本文主要考慮單密鑰模式下 , 對(duì) AES-192/256 的中間相遇攻擊。我們提出了 一種改進(jìn)中間相遇攻擊的新方法基于密鑰的中間狀態(tài)過濾 , 并利用此方法構(gòu) 造了 5輪AES-192區(qū)分器,結(jié)合數(shù)據(jù)/時(shí)間/存儲(chǔ)折衷完成了對(duì)9輪AES-192的中 間相遇攻擊。我們的攻擊延續(xù)了 Dunkelman等人所提出的差分列舉的思想，但不同的是, 我們利用中間狀態(tài)的密鑰關(guān)系 , 用有序數(shù)列代替 Multiset 來獲取更多的信息量 , 以減少攻擊的復(fù)雜度。這是除Biclique方法之外10,首次對(duì)9輪A

5、ES-192的分 析結(jié)果。同時(shí),我們利用攻擊中預(yù)計(jì)算與在線階段的密鑰關(guān)系 ,將整個(gè)攻擊分割為一 系列的子攻擊 , 每個(gè)子攻擊都是相互獨(dú)立的。當(dāng)所有的子攻擊工作于串行模式的 時(shí)候, 相應(yīng)的存儲(chǔ)空間可以重復(fù)使用。利用此方法，我們降低了整個(gè)攻擊的存儲(chǔ)復(fù)雜度。對(duì)于9輪AES-256，與2013 年歐密會(huì)的結(jié)果 9 相比, 存儲(chǔ)復(fù)雜度降低了 232,但數(shù)據(jù)復(fù)雜度和時(shí)間復(fù)雜度不 受影響。2、分組密碼Camellia的安全性分析分組密碼算法Camellia由日本NTT和 三菱公司于 2000年設(shè)計(jì),其分組長(zhǎng)度為 128比特,密鑰長(zhǎng)度有 128比特、 192比 特和256比特三個(gè)版本。Camellia被CRY

6、PTRE工程推薦為日本的e-government 算法，也是NESSIEX程最終選取的算法之一，并且由國(guó)際標(biāo)準(zhǔn)化組織(ISO)選定 為國(guó)際標(biāo)準(zhǔn) ISO/IEC18033-3。本文研究了 Camellia 算法的不可能差分分析和中間相遇攻擊。 首先, 我們給 出了帶 FL/FL-1 層 Camellia 算法的 7 輪不可能差分特征利用該不可能差分特征 ,我們分析了不帶白化密鑰的 10輪 Camellia-128, 以 及帶白化密鑰的10輪Camellia-192和11輪Camellia-256算法。同時(shí)，我們給 出了在 3/4 弱密鑰空間里 , 帶 FL/FL-1 層的 7 輪不可能差分特征。

7、之后利用該特征給出了弱密鑰條件下、 10/11/12 輪 Camellia-128/192/256 的不可能差分分析。在此基礎(chǔ)上 , 我們提出了復(fù)合攻擊的思想：即利用每次失敗 的攻擊來推出2比特的密鑰條件，經(jīng)過a次攻擊，推出2Xa比特密鑰信息。從而,將弱密鑰條件下的攻擊轉(zhuǎn)化為對(duì)全密鑰空間的攻擊。 除此之外, 我們還 給出了中間14輪Camellia-256 和12輪Camellia-192的分析結(jié)果。其次,結(jié)合2010年亞密會(huì)上Dunkelman等人所提出的差分列舉思想和 Mulitset 技術(shù), 我們給出了 7輪 Camellia-192 的中間相遇性質(zhì)。并以此構(gòu)造了 12輪 Camelli

8、a-192 的中間相遇攻擊 , 復(fù)雜度比當(dāng)前最優(yōu)結(jié)果快大約 28倍。此外,我們給出了 8輪 Camellia-256 的中間相遇性質(zhì) , 并以此構(gòu)造了帶兩個(gè)FL/FL-1層的13輪Camellia-256的中間相遇攻擊，據(jù)我們所知,這是第一個(gè)對(duì)首 輪開始 13輪 Camellia-256 的分析結(jié)果。我們同樣給出了不帶白化密鑰的 14輪 Camellia-256 的分析結(jié)果。3、分組密碼CLEFIA的安全性分析CLEFIA是由索尼公司(Sony Corporaten) 于2007年設(shè)計(jì),2012 年被 ISO/IEC29192-2 選舉為輕量級(jí)分組密碼算法標(biāo) 準(zhǔn),2013年被日本CRYP-TRE項(xiàng)目推薦為e-Government建議算法。CLEFIA采用 四路廣義 Fesitel 結(jié)構(gòu), 分組長(zhǎng)度為 128比特, 密鑰長(zhǎng)度有 128比特、 192比特和 256 比特三個(gè)版本。本文給出了一個(gè)10輪的CLEFIA截?cái)嗖罘痔卣?并給出了 13輪CLEFIA-128 的分析結(jié)果。之后 , 結(jié)合 Isobe 等人提出的函數(shù)歸約