论文部分内容阅读
分组密码是加解密双方用同一密钥进行加密和解密运算的密码算法,是保障数据机密性与完整性的重要技术。分组密码的安全性分析有利于发现算法中存在的不足,以确保算法在实际应用中的安全,并指导新的算法设计。上世纪末,随着美国AES计划[1]、欧洲NESSIE计划[2]和日本CRYPTREC计划[3]的相继实施,对相应标准密码算法的安全性分析被国际密码学者广泛关注,极大地推动了分组密码分析与设计工作的发展。本文主要对三个国际标准分组密码算法AES、Camellia和CLEFIA的安全性进行分析,提出一些有意义的密码学性质,并与国际上最前沿的分析结果相比得到最优的结果。1、分组密码AES的安全性分析分组密码Rijndael是由两位比利时密码学者Daemen和Rijmen于1997年设计,并于2000年10月被美国国家标准和技术研究所(NIST)公布为高级加密标准AES (Advanced Encryption Standard)。之后,AES被CRYPTREC工程和NESSIE工程推荐,并由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。AES的分组长度为128比特,采用SPN结构,密钥长度有128比特、192比特和256比特三个版本,本文分别用AES-128、AES-192与AES-256表示。AES的中间相遇攻击是由Demirci和Selcuk于2008年FSE会议上提出[7],他们利用4轮AES区分器给出了7轮AES-192和8轮AES-256的分析结果。在2010年亚密会上,Dunkelman, Keller和Shamir提出了差分列举技术思想和Multiset技术,有效的减少了Demirci和Selquk攻击的存储和时间复杂度。同时,利用数据/时间/存储折衷技术给出了7轮AES-128的中间相遇分析结果。在2013年欧密会上,Derbez, Fouque和Jean利用Hash函数分析中的反弹(Rebound)技术,极大减少了Dunkelman等人攻击的时间和存储复杂度。并构造了5轮AES-256区分器,给出了9轮AES-256的分析结果。本文主要考虑单密钥模式下,对AES-192/256的中间相遇攻击。我们提出了一种改进中间相遇攻击的新方法——基于密钥的中间状态过滤,并利用此方法构造了5轮AES-192区分器,结合数据/时间/存储折衷完成了对9轮AES-192的中间相遇攻击。我们的攻击延续了Dunkelman等人所提出的差分列举的思想,但不同的是,我们利用中间状态的密钥关系,用有序数列代替Multiset来获取更多的信息量,以减少攻击的复杂度。这是除Biclique方法之外[10],首次对9轮AES-192的分析结果。同时,我们利用攻击中预计算与在线阶段的密钥关系,将整个攻击分割为一系列的子攻击,每个子攻击都是相互独立的。当所有的子攻击工作于串行模式的时候,相应的存储空间可以重复使用。利用此方法,我们降低了整个攻击的存储复杂度。对于9轮AES-256,与2013年欧密会的结果[9]相比,存储复杂度降低了232,但数据复杂度和时间复杂度不受影响。2、分组密码Camellia的安全性分析分组密码算法Camellia由日本NTT和三菱公司于2000年设计,其分组长度为128比特,密钥长度有128比特、192比特和256比特三个版本。Camellia被CRYPTREC工程推荐为日本的e-government算法,也是NESSIE工程最终选取的算法之一,并且由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。本文研究了Camellia算法的不可能差分分析和中间相遇攻击。首先,我们给出了带FL/FL-1层Camellia算法的7轮不可能差分特征。利用该不可能差分特征,我们分析了不带白化密钥的10轮Camellia-128,以及带白化密钥的10轮Camellia-192和11轮Camellia-256算法。同时,我们给出了在3/4弱密钥空间里,带FL/FL-1层的7轮不可能差分特征。之后利用该特征给出了弱密钥条件下、10/11/12轮Camellia-128/192/256的不可能差分分析。在此基础上,我们提出了复合攻击的思想:即利用每次失败的攻击来推出2比特的密钥条件,经过a次攻击,推出2×a比特密钥信息。从而,将弱密钥条件下的攻击转化为对全密钥空间的攻击。除此之外,我们还给出了中间14轮Camellia-256和12轮Camellia-192的分析结果。其次,结合2010年亚密会上Dunkelman等人所提出的差分列举思想和Mulitset技术,我们给出了7轮Camellia-192的中间相遇性质。并以此构造了12轮Camellia-192的中间相遇攻击,复杂度比当前最优结果快大约28倍。此外,我们给出了8轮Camellia-256的中间相遇性质,并以此构造了带两个FL/FL-1层的13轮Camellia-256的中间相遇攻击,据我们所知,这是第一个对首轮开始13轮Camellia-256的分析结果。我们同样给出了不带白化密钥的14轮Camellia-256的分析结果。3、分组密码CLEFIA的安全性分析CLEFIA是由索尼公司(Sony Corporation)于2007年设计,2012年被ISO/IEC29192-2选举为轻量级分组密码算法标准,2013年被日本CRYP-TREC项目推荐为e-Government建议算法。CLEFIA采用四路广义Fesitel结构,分组长度为128比特,密钥长度有128比特、192比特和256比特三个版本。本文给出了一个10轮的CLEFIA截断差分特征,并给出了13轮CLEFIA-128的分析结果。之后,结合Isobe等人提出的函数归约技术,我们给出了14/15轮CLEFIA-192/256的分析结果。复杂度比当前最优结果快大约240倍。最后,结合轮函数的密钥关系,我们给出了14轮CLEFIA-128的分析结果,据我们所知,这是第一个对14轮CLEFIA-128的分析结果。