幾個國際標(biāo)準(zhǔn)分組密碼算法的安全性分析

1、幾個國際標(biāo)準(zhǔn)分組密碼算法的安全性分析分組密碼是加解密雙方用同一密鑰進(jìn)行加密和解密運(yùn)算的密碼算法 , 是保障 數(shù)據(jù)機(jī)密性與完整性的重要技術(shù)。 分組密碼的安全性分析有利于發(fā)現(xiàn)算法中存在 的不足, 以確保算法在實際應(yīng)用中的安全 , 并指導(dǎo)新的算法設(shè)計。上世紀(jì)末,隨著美國AES計劃1、歐洲NESSIE計劃2和日本CRYPTRE計 劃 3 的相繼實施 , 對相應(yīng)標(biāo)準(zhǔn)密碼算法的安全性分析被國際密碼學(xué)者廣泛關(guān)注 , 極大地推動了分組密碼分析與設(shè)計工作的發(fā)展。 本文主要對三個國際標(biāo)準(zhǔn)分組密 碼算法AES Camellia和CLEFIA的安全性進(jìn)行分析,提出一些有意義的密碼學(xué)性 質(zhì), 并與國際上最前沿的分析結(jié)果

2、相比得到最優(yōu)的結(jié)果。1、分組密碼AES的安全性分析分組密碼 Rijndael是由兩位比利時密碼學(xué)者Daemer和Rijmen于1997年設(shè)計，并于2000年10月被美國國家標(biāo)準(zhǔn)和技術(shù)研究 所(NIST)公布為高級加密標(biāo)準(zhǔn) AES(Advaneed Encryption Standard)。之后,AES 被CRYPTRE工程和NESSIEX程推薦,并由國際標(biāo)準(zhǔn)化組織(ISO)選定為國際標(biāo)準(zhǔn) ISO/IEC18033-3。AES的分組長度為128比特,采用SPN結(jié)構(gòu),密鑰長度有128比特、192比特 和256比特三個版本,本文分別用 AES-128 AES-192與AES-256表示。AES的中

3、間相遇攻擊是由Demirei和Seleuk于2008年FSE會議上提出7,他們利用4 輪AES區(qū)分器給出了 7輪AES-192和8輪AES-256的分析結(jié)果。在 2010 年亞密會上 ,Dunkelman, Keller 和 Shamir 提出了差分列舉技術(shù)思 想和 Multiset 技術(shù), 有效的減少了 Demirei 和 Selquk 攻擊的存儲和時間復(fù)雜度。 同時,利用數(shù)據(jù)/時間/存儲折衷技術(shù)給出了 7輪AES-128的中間相遇分析結(jié)果。在2013年歐密會上，Derbez, Fouque和Jean利用Hash函數(shù)分析中的反彈(Rebound)技術(shù),極大減少了 Dunkelman等人攻擊的

4、時間和存儲復(fù)雜度。并構(gòu)造了5 輪 AES-256 區(qū)分器 , 給出了 9 輪 AES-256 的分析結(jié)果。本文主要考慮單密鑰模式下 , 對 AES-192/256 的中間相遇攻擊。我們提出了 一種改進(jìn)中間相遇攻擊的新方法基于密鑰的中間狀態(tài)過濾 , 并利用此方法構(gòu) 造了 5輪AES-192區(qū)分器,結(jié)合數(shù)據(jù)/時間/存儲折衷完成了對9輪AES-192的中 間相遇攻擊。我們的攻擊延續(xù)了 Dunkelman等人所提出的差分列舉的思想，但不同的是, 我們利用中間狀態(tài)的密鑰關(guān)系 , 用有序數(shù)列代替 Multiset 來獲取更多的信息量 , 以減少攻擊的復(fù)雜度。這是除Biclique方法之外10,首次對9輪A

5、ES-192的分 析結(jié)果。同時,我們利用攻擊中預(yù)計算與在線階段的密鑰關(guān)系 ,將整個攻擊分割為一 系列的子攻擊 , 每個子攻擊都是相互獨(dú)立的。當(dāng)所有的子攻擊工作于串行模式的 時候, 相應(yīng)的存儲空間可以重復(fù)使用。利用此方法，我們降低了整個攻擊的存儲復(fù)雜度。對于9輪AES-256，與2013 年歐密會的結(jié)果 9 相比, 存儲復(fù)雜度降低了 232,但數(shù)據(jù)復(fù)雜度和時間復(fù)雜度不 受影響。2、分組密碼Camellia的安全性分析分組密碼算法Camellia由日本NTT和 三菱公司于 2000年設(shè)計,其分組長度為 128比特,密鑰長度有 128比特、 192比 特和256比特三個版本。Camellia被CRY

6、PTRE工程推薦為日本的e-government 算法，也是NESSIEX程最終選取的算法之一，并且由國際標(biāo)準(zhǔn)化組織(ISO)選定 為國際標(biāo)準(zhǔn) ISO/IEC18033-3。本文研究了 Camellia 算法的不可能差分分析和中間相遇攻擊。 首先, 我們給 出了帶 FL/FL-1 層 Camellia 算法的 7 輪不可能差分特征利用該不可能差分特征 ,我們分析了不帶白化密鑰的 10輪 Camellia-128, 以 及帶白化密鑰的10輪Camellia-192和11輪Camellia-256算法。同時，我們給 出了在 3/4 弱密鑰空間里 , 帶 FL/FL-1 層的 7 輪不可能差分特征。

7、之后利用該特征給出了弱密鑰條件下、 10/11/12 輪 Camellia-128/192/256 的不可能差分分析。在此基礎(chǔ)上 , 我們提出了復(fù)合攻擊的思想：即利用每次失敗 的攻擊來推出2比特的密鑰條件，經(jīng)過a次攻擊，推出2Xa比特密鑰信息。從而,將弱密鑰條件下的攻擊轉(zhuǎn)化為對全密鑰空間的攻擊。 除此之外, 我們還 給出了中間14輪Camellia-256 和12輪Camellia-192的分析結(jié)果。其次,結(jié)合2010年亞密會上Dunkelman等人所提出的差分列舉思想和 Mulitset 技術(shù), 我們給出了 7輪 Camellia-192 的中間相遇性質(zhì)。并以此構(gòu)造了 12輪 Camelli

8、a-192 的中間相遇攻擊 , 復(fù)雜度比當(dāng)前最優(yōu)結(jié)果快大約 28倍。此外,我們給出了 8輪 Camellia-256 的中間相遇性質(zhì) , 并以此構(gòu)造了帶兩個FL/FL-1層的13輪Camellia-256的中間相遇攻擊，據(jù)我們所知,這是第一個對首 輪開始 13輪 Camellia-256 的分析結(jié)果。我們同樣給出了不帶白化密鑰的 14輪 Camellia-256 的分析結(jié)果。3、分組密碼CLEFIA的安全性分析CLEFIA是由索尼公司(Sony Corporaten) 于2007年設(shè)計,2012 年被 ISO/IEC29192-2 選舉為輕量級分組密碼算法標(biāo) 準(zhǔn),2013年被日本CRYP-TRE項目推薦為e-Government建議算法。CLEFIA采用 四路廣義 Fesitel 結(jié)構(gòu), 分組長度為 128比特, 密鑰長度有 128比特、 192比特和 256 比特三個版本。本文給出了一個10輪的CLEFIA截斷差分特征,并給出了 13輪CLEFIA-128 的分析結(jié)果。之后 , 結(jié)合 Isobe 等人提出的函數(shù)歸約