序列密码设计与分析发展趋势思考

1

作者 戚文峰 《密码学报(中英文)》 北大核心 2025年第4期I0001-I0002,共2页

序列密码是对称密码的重要分支.与分组密码相比,过去很长一段时间,序列密码的设计结构和设计模块缺乏标准化、安全性评估缺乏通用工具和准则,在很大程度上限制了序列密码的推广应用.在ASIACRYPT 2004的特邀报告中,Shamir分析了序列密码... 序列密码是对称密码的重要分支.与分组密码相比,过去很长一段时间,序列密码的设计结构和设计模块缺乏标准化、安全性评估缺乏通用工具和准则,在很大程度上限制了序列密码的推广应用.在ASIACRYPT 2004的特邀报告中,Shamir分析了序列密码影响力逐渐减弱而分组密码研究备受关注的现状及原因,同时指出序列密码应用的两个重点场景:资源受限的硬件环境和高速率的软件环境.之后的十年,序列密码设计与分析的发展主要围绕这两个方面的应用,例如欧洲eSTREAM序列密码征集项目及其后续影响.近十年,随着Sponge结构、认证加密、全同态密码的提出和发展,未来序列密码可能有更多的应用场景,并且序列密码设计与分析和分组密码、认证加密、Hash函数一体化的发展趋势越来越明显.面向未来十年,序列密码有以下四个值得关注的重要研究方向. 展开更多

关键词 安全性评估 序列密码 标准化 分组密码

在线阅读 下载PDF 职称材料

CRT-RSA的小d_(p),d_(q)实际攻击研究

2

作者 李强 郑群雄 戚文峰 《密码学报(中英文)》 北大核心 2025年第3期604-626,共23页

CRT-RSA是由Quisquater和Couvreur于1982年提出的RSA变种,广泛应用于数据加密、数字签名、协议、身份认证等领域.小d_(p),d_(q)攻击是分析CRT-RSA应用安全性的一种重要方法,其目前最好的理论攻击结果是2019年由Takayasu、Lu和Peng给出的... CRT-RSA是由Quisquater和Couvreur于1982年提出的RSA变种,广泛应用于数据加密、数字签名、协议、身份认证等领域.小d_(p),d_(q)攻击是分析CRT-RSA应用安全性的一种重要方法,其目前最好的理论攻击结果是2019年由Takayasu、Lu和Peng给出的d_(p),d_(q)<N^(0.122),其中N为模数.然而,由于格基约化算法在高维格中约化效率和输出格基质量的下降,实际攻击很难达到该理论界.目前已知最好的实际攻击结果为d_(p),d_(q)≤N^(0.062)(N为1000 bits)和d_(p),d_(q)≤N^(0.0645)(N为2000 bits),与理论界尚有不小的差距.本文在Takayasu等人攻击的基础上,探索CRT-RSA小dp,dq攻击的实际可攻击上界以及如何在实际攻击中进一步提升该攻击上界.第一,对2019年Takayasu等人的格(简记为TLP2019格)进行优化,在确保TLP2019格仍为方阵的条件下去掉了两个unhelpful多项式,使得TLP2019格降低了两维.第二,针对当前缺乏CRT-RSA小d_(p),d_(q)实际可攻击上界的有效估计方法这一现状,结合实验中发现的TLP2019格约化输出的前三向量长度远远小于随机格中最短向量长度这一事实,给出了一种基于参数拟合的可攻击上界的估计方法,其估计结果与实验结果很好地吻合.第三,根据实验中与RSA小解密指数实际攻击类似的“多值现象”,提出了基于二分搜索的小d_(p),d_(q)实际攻击方法,提升了实际可攻击的上界.具体而言,对于模数1000 bits和2000 bits的CRT-RSA,在两周内分别实现了d_(p),d_(q)≤N^(0.067)和d_(p),d_(q)≤N^(0.0665)的实际攻击;对于某些特殊情形,甚至能够能将实际可攻击上界提升至N^(0.07)以上.相信本文的实际攻击探索能为后续CRT-RSA的小d_(p),d_(q)攻击研究带来启发和帮助. 展开更多

关键词 CRT-RSA 小d_(p) d_(q)攻击 实际攻击 高比特猜测 多值现象 二分搜索

在线阅读 下载PDF 职称材料

序列密码立方攻击研究进展综述

3

作者 田甜 戚文峰 《密码学报（中英文）》 CSCD 北大核心 2024年第1期145-158,共14页

立方攻击由Dinur和Shamir在2009年欧密会上首次提出,是一种高阶差分攻击和代数攻击.经过近十余年的研究,传统立方攻击不断发展,动态立方攻击、基于可分性的立方攻击、相关立方攻击相继提出,攻击思想不断丰富,攻击技术不断改进,逐渐成为... 立方攻击由Dinur和Shamir在2009年欧密会上首次提出,是一种高阶差分攻击和代数攻击.经过近十余年的研究,传统立方攻击不断发展,动态立方攻击、基于可分性的立方攻击、相关立方攻击相继提出,攻击思想不断丰富,攻击技术不断改进,逐渐成为针对基于非线性反馈移位寄存器的序列密码算法的重要攻击方法.特别地,立方攻击自2009年提出以来一直是国际轻量级序列密码标准Trivium最有效的密钥恢复攻击,动态立方攻击攻破了全轮Grain-128算法,Kreyvium、Grain-128AEAD、ACORN这些基于非线性反馈移位寄存器的序列密码算法都可以用立方攻击进行有效分析.本文介绍了立方攻击的基本原理和攻击方法,综述了实验立方攻击、基于可分性立方攻击、立方集构造、动态立方攻击、相关立方攻击等方面的研究进展. 展开更多

关键词 立方攻击 可分性 MILP 序列密码 Trivium

在线阅读 下载PDF 职称材料

满足扩散准则的元素之集的性质 被引量：1

4

作者 戚文峰 何德峰 《电子学报》 EI CAS CSCD 北大核心 2004年第2期290-293,共4页

设f(x)是Vn 上的布尔函数 ,本文研究了f(x)的满足扩散准则的元素集合Rcf 的性质 .证明了 ,若degf(x) =n ,则Rcf 为空集 .对于所有的二次布尔函数而言 ,均有Rcf 中的元素个数大于等于 2 n-1 .还对一类函数的雪崩性质进行了讨论 .给出布... 设f(x)是Vn 上的布尔函数 ,本文研究了f(x)的满足扩散准则的元素集合Rcf 的性质 .证明了 ,若degf(x) =n ,则Rcf 为空集 .对于所有的二次布尔函数而言 ,均有Rcf 中的元素个数大于等于 2 n-1 .还对一类函数的雪崩性质进行了讨论 .给出布尔函数不含有非零线性结构的充分必要条件是 ζf 中含有n个线性无关的元素 ,其中 ζf={ (αi|〈ζ ,li〉≠ 0 ,0≤i≤ 2 n- 1 } ,li为线性函数 φαi=〈x,αi〉的序列 .还给出了一种 展开更多

关键词 布尔函数 扩散准则 线性结构 线性子空间

在线阅读 下载PDF 职称材料

扩散准则与相关免疫 被引量：1

5

作者 戚文峰 何德峰 《通信学报》 EI CSCD 北大核心 2004年第6期40-49,共10页

对于布尔函数f(x),设不满足扩散准则的元素之集为Rf,不满足相关免疫的元素之集为zf ,即Rf={ai|(ai)0,0≤i≤2n-1},zf={ai|<x,ila>0,0≤i≤2n-1}。本文首先讨论了集合zf中元素的相关性, 并讨论了|zf|=1,2,3,4时函数的结构和性质。... 对于布尔函数f(x),设不满足扩散准则的元素之集为Rf,不满足相关免疫的元素之集为zf ,即Rf={ai|(ai)0,0≤i≤2n-1},zf={ai|<x,ila>0,0≤i≤2n-1}。本文首先讨论了集合zf中元素的相关性, 并讨论了|zf|=1,2,3,4时函数的结构和性质。其次讨论了Rf构成线性子空间时,Rf和线性结构之集Lf之间的关系,其中Lf={ai||(ai)|=2n, 0≤I≤2n-1},给出Rf构成线性子空间时,Rf中的元素全部是线性结构的充要条件。还给出一种2阶扩散准则函数的构造方法。 展开更多

关键词 布尔函数 扩散准则 相关免疫 线性结构

在线阅读 下载PDF 职称材料

Z/(2~e)上本原序列不同压缩映射的导出序列

6

作者 戚文峰 王锦玲 《高校应用数学学报（A辑）》 CSCD 北大核心 2001年第4期493-498,共6页

设 f( x)是 Z/ ( 2 e)上 n次强本原多项式 ,对形如 xe- 1 +η( x0 ,… ,xe- 2 )的二个 e元布尔函数 Φ( x0 ,… ,xe- 1 )和 Ψ( x0 ,… ,xe- 1 )及二条序列 a,b∈G( f( x) ) e,若Φ( a0 ,… ,ae- 1 ) =Ψ ( b0 ,… ,be- 1 ) ,给出了函数... 设 f( x)是 Z/ ( 2 e)上 n次强本原多项式 ,对形如 xe- 1 +η( x0 ,… ,xe- 2 )的二个 e元布尔函数 Φ( x0 ,… ,xe- 1 )和 Ψ( x0 ,… ,xe- 1 )及二条序列 a,b∈G( f( x) ) e,若Φ( a0 ,… ,ae- 1 ) =Ψ ( b0 ,… ,be- 1 ) ,给出了函数Φ ( x0 ,… ,xe- 1 )和Ψ ( x0 ,… ,xe- 1 )之间的关系与序列 a和 b之间的关系 . 展开更多

关键词 线性递归序列 本原序列 权位序列 压缩序列 压缩映射 二元序列 密码 强本原多项式

在线阅读 下载PDF 职称材料

环Z／（2^e）上压缩序列的0,1分布

7

作者 戚文峰 朱凤翔 《应用数学》 CSCD 2000年第1期102-108,共7页

本文研究环 Z/( 2 e)上本原序列最高权位的 0 ,1分布 ,证明了当 e≥ 8,次数 n≥2 0时 ,本原序列 a的最高权位序列 ae- 1 在一个周期中 0 (或 1 )所占的比例λ( ae- 1 )满足 43.6 76 8 <λ( ae- 1 ) <5 6 .32

关键词 线性递归序列 本原序列 环 (0-1)分布 压缩序列

在线阅读 下载PDF 职称材料

Z／（P^e）上分裂环的结构

8

作者 戚文峰 王锦玲 《应用数学》 CSCD 北大核心 1996年第4期491-494,共4页

本文研究了环ｚ／（ｐｅ）上多项式的性质和分裂环的结构．主要分析了分裂环中元素的极小多项式，零化理想的结构，和分裂环子环性质．

关键词 多项式 分裂环 零化理想 环 极小多项式

在线阅读 下载PDF 职称材料

NBC算法 被引量：14

9

作者 徐洪 段明 +2 位作者 谭林 戚文峰 王中孝 《密码学报》 CSCD 2019年第6期760-767,共8页

NBC算法是一种广义Feistel结构的分组密码算法,支持128/128比特、128/256比特和256/256比特三种分组和密钥尺寸.非线性部分采用16比特的S盒,该S盒基于16级非线性反馈移位寄存器迭代构造,具有很低的硬件实现成本.密钥扩展算法也采用类似... NBC算法是一种广义Feistel结构的分组密码算法,支持128/128比特、128/256比特和256/256比特三种分组和密钥尺寸.非线性部分采用16比特的S盒,该S盒基于16级非线性反馈移位寄存器迭代构造,具有很低的硬件实现成本.密钥扩展算法也采用类似的基于字的16级非线性反馈移位寄存器.算法能够抵抗差分、线性、不可能差分、零相关线性、积分等主要密码分析方法,具有足够的安全冗余. 展开更多

关键词 NBC算法 广义Feistel结构 非线性反馈移位寄存器

在线阅读 下载PDF 职称材料

F2上2^n-周期序列的k-错误序列 被引量：13

10

作者 谭林 戚文峰 《电子与信息学报》 EI CSCD 北大核心 2008年第11期2592-2595,共4页

为了更好地刻画和研究序列的随机性,该文提出了序列的k-错误序列的概念,并对k=1,2,确定了F2上2n-周期序列的k-错误序列的计数,还给出了F2上2n-周期序列的1-错误序列个数的均值。

关键词 序列密码 线性复杂度 融错误线性复杂度 k-错误序列

在线阅读 下载PDF 职称材料

基于NFSR的分组密码算法SPRING 被引量：11

11

作者 田甜 戚文峰 +1 位作者 叶晨东 谢晓锋 《密码学报》 CSCD 2019年第6期815-834,共20页

本文详细介绍分组密码算法SPRING的设计.根据分组长度和密钥长度的不同,SPRING具体包括三个算法版本SPRING-128-128、SPRING-128-256、SPRING-256-256,其中SPRING-n-m表示分组长度为n且密钥长度为m.SPRING是SP结构的分组密码,主要面向... 本文详细介绍分组密码算法SPRING的设计.根据分组长度和密钥长度的不同,SPRING具体包括三个算法版本SPRING-128-128、SPRING-128-256、SPRING-256-256,其中SPRING-n-m表示分组长度为n且密钥长度为m.SPRING是SP结构的分组密码,主要面向硬件实现设计,采用基于非线性反馈移位寄存器(NFSR)的32-比特S-盒和基于非线性反馈移位寄存器的密钥扩展算法.由于没有S-盒的存储,SPRING算法的硬件实现面积比较小.根据不同的应用需求,例如面积小或加/解密速率高,可以采用不同的实现方式.基于轮的实现,硬件面积最小,在TSMC 16 nm工艺库下,SPRING-128-128算法的硬件实现面积约1046μm^2;全轮展开实现,加/解密速率最大,SPRING-128-128算法的加密速率可以达到17482 Mbps,此时硬件实现面积约8079μm^2.SPRING的含义为SP结构分组密码和环状串联非线性反馈移位寄存器(A ring-like cascade connection of NFSRs). 展开更多

关键词 分组密码 非线性反馈移位寄存器 轻量密码 SPRING

在线阅读 下载PDF 职称材料

减轮SPECK算法的不可能差分分析 被引量：6

12

作者 徐洪 苏鹏晖 戚文峰 《电子与信息学报》 EI CSCD 北大核心 2017年第10期2479-2486,共8页

SPECK系列算法是2013年由美国国家安全局提出的轻量分组密码算法。算法整体为变形的Feistel结构,轮函数为模整数加法、循环移位和异或的组合,即所谓的ARX模块。在不可能差分研究方面,目前仅有LEE等人给出了SPECK 64算法的一些6轮不可能... SPECK系列算法是2013年由美国国家安全局提出的轻量分组密码算法。算法整体为变形的Feistel结构,轮函数为模整数加法、循环移位和异或的组合,即所谓的ARX模块。在不可能差分研究方面,目前仅有LEE等人给出了SPECK 64算法的一些6轮不可能差分特征。该文进一步找到了SPECK 32/64算法和SPECK 48/96算法的一些6轮不可能差分特征,并在其前面添加1轮后面添加3轮,给出了对两个算法的10轮不可能差分分析。 展开更多

关键词 轻量分组密码算法 SPECK算法 不可能差分分析 不可能差分特征

在线阅读 下载PDF 职称材料

非线性反馈移位寄存器串联分解唯一性探讨 被引量：4

13

作者 王中孝 戚文峰 《电子与信息学报》 EI CSCD 北大核心 2014年第7期1656-1660,共5页

非线性反馈移位寄存器(NFSR)是目前序列密码研究的热点问题之一。假定一个NFSR可以分解为更低级数NFSR的串联,该文讨论此分解是否唯一的问题。首先,对线性反馈移位寄存器(LFSR)而言,其串联分解等价于二元有限域2F上单变元多项式的分解,... 非线性反馈移位寄存器(NFSR)是目前序列密码研究的热点问题之一。假定一个NFSR可以分解为更低级数NFSR的串联,该文讨论此分解是否唯一的问题。首先,对线性反馈移位寄存器(LFSR)而言,其串联分解等价于二元有限域2F上单变元多项式的分解,因而是唯一的。其次,针对给定NFSR可以分解为更低级数NFSR到LFSR串联的情形,该文给出了此NFSR具有这样分解的一个充分必要条件,并据此指出所有这样分解中级数最大的LFSR是唯一的。该文的最后构造了一类反例,此类反例表明对一般情形而言,NFSR的串联分解并不唯一。 展开更多

关键词 流密码 非线性反馈移位寄存器 非线性反馈移位寄存器的串联 分解唯一性

在线阅读 下载PDF 职称材料

二元周期序列的k错误线性复杂度 被引量：5

14

作者 赵耀东 戚文峰 《电子学报》 EI CAS CSCD 北大核心 2005年第1期12-16,共5页

随着k的增大 ,序列k错误线性复杂度的值会从线性复杂度递减到 0 .对于周期为 2的方幂的二元序列 ,Kurosawa讨论了线性复杂度和k错误线性复杂度的关系 ,给出了使得序列的k错误线性复杂度严格小于序列的线性复杂度最小的k值 .本文利用多... 随着k的增大 ,序列k错误线性复杂度的值会从线性复杂度递减到 0 .对于周期为 2的方幂的二元序列 ,Kurosawa讨论了线性复杂度和k错误线性复杂度的关系 ,给出了使得序列的k错误线性复杂度严格小于序列的线性复杂度最小的k值 .本文利用多项式的权重关系给出了使得序列k错误线性复杂度再次减小的最小k值 . 展开更多

关键词 序列密码 线性复杂度 k错误线性复杂度

在线阅读 下载PDF 职称材料

Bent序列和Gold-like序列的构造 被引量：4

15

作者 王劲松 戚文峰 《电子与信息学报》 EI CSCD 北大核心 2006年第1期80-85,共6页

该文研究Bent序列和Gold-like序列,设计了3类快速生成的Bent序列,此外,基于Klapper(1993)对几何 序列相关性的分析,递归地构造了一类Gold-like序列,所得的Gold-like序列涵括了Khoo,Gong和Stinson(2002)递 归生成的Gold-like序列。根据Ol... 该文研究Bent序列和Gold-like序列,设计了3类快速生成的Bent序列,此外,基于Klapper(1993)对几何 序列相关性的分析,递归地构造了一类Gold-like序列,所得的Gold-like序列涵括了Khoo,Gong和Stinson(2002)递 归生成的Gold-like序列。根据Olsen,Scholtz和Welch(1982)给出的Bent序列簇的构造方法,该文得到的Bent序 列可以迅速地构造Bent序列簇。此外,该文得到的Gold-like序列可以用来设计大周期的扩频序列簇。 展开更多

关键词 Bent序列 Gold-1ike序列 HADAMARD变换

在线阅读 下载PDF 职称材料

2~mp^n周期二元序列的线性复杂度和k错线性复杂度 被引量：3

16

作者 谭林 戚文峰 《通信学报》 EI CSCD 北大核心 2008年第7期44-49,61,共7页

序列线性复杂度的稳定性是衡量其随机性好坏的一个重要指标。针对2mpn周期二元序列,利用多项式分解等工具,确定了使得序列的k错线性复杂度严格小于其线性复杂度的最小k值的上下界,其中n是正整数,m是非负整数,p是奇素数,2是模p2的原根。

关键词 序列密码 二元周期序列 线性复杂度 K错线性复杂度

在线阅读 下载PDF 职称材料

周期序列谱免疫度的上界 被引量：2

17

作者 吴迪 戚文峰 陈华瑾 《密码学报》 2014年第4期391-399,共9页

谱攻击是一种针对序列密码的新型代数攻击,它利用初始密钥和密钥流序列的谱值关系来建立方程系统,该方程系统的规模由密钥流序列的谱免疫度,即密钥流序列或其补序列的(非零)零化序列的最低线性复杂度决定.于是,谱免疫度成为衡量序列密... 谱攻击是一种针对序列密码的新型代数攻击,它利用初始密钥和密钥流序列的谱值关系来建立方程系统,该方程系统的规模由密钥流序列的谱免疫度,即密钥流序列或其补序列的(非零)零化序列的最低线性复杂度决定.于是,谱免疫度成为衡量序列密码抵抗谱攻击的指标.由于谱攻击和传统代数攻击建立方程系统的方法不同,谱免疫度和代数免疫度并不等同.事实上,拥有最优代数免疫度的布尔函数其过滤生成密钥流序列的谱免疫度不一定高.相比较代数免疫度领域丰富的研究成果而言,由于提出较晚,人们对于谱免疫度的研究还不是很多.本文通过讨论周期序列特征多项式的分解,给出了其谱免疫度的紧的上界,并说明了当密钥流序列的谱免疫度达到该上界时,该序列所对应的布尔函数拥有最优或次最优代数免疫度. 展开更多

关键词 代数攻击 谱攻击 谱免疫度 上界 周期序列

在线阅读 下载PDF 职称材料

Klimov-Shamir T-函数的代数结构 被引量：2

18

作者 罗永龙 戚文峰 《通信学报》 EI CSCD 北大核心 2008年第10期143-148,共6页

研究了Klimov-Shamir T-函数的代数结构,给出了关于该T-函数生成序列比特间的几个代数关系式,同时结合这些关系式,初步讨论了选择什么样的C该T-函数的代数结构会更复杂。

关键词 序列密码 代数结构 T-函数 Klimov-Shamir T-函数

在线阅读 下载PDF 职称材料

Bent序列簇的迹表示 被引量：2

19

作者 王劲松 戚文峰 《通信学报》 EI CSCD 北大核心 2006年第1期8-13,共6页

Bent序列簇主要通过线性满射和Bent函数来生成,但是长期以来,对其构造中使用的线性满射一直没有给出一个清晰的表达式。基于这一点,首先分析线性满射所满足的条件,再根据有限域的理论和m?序列的分布性质,给出它的具体表达式,从而得到Ben... Bent序列簇主要通过线性满射和Bent函数来生成,但是长期以来,对其构造中使用的线性满射一直没有给出一个清晰的表达式。基于这一点,首先分析线性满射所满足的条件,再根据有限域的理论和m?序列的分布性质,给出它的具体表达式,从而得到Bent序列簇的迹表示;其次由Bent序列簇的迹表示和一类Bent函数构造了一类可快速生成的Bent序列簇。 展开更多

关键词 CDMA扩频通信 Bent序列簇 BENT函数 迹表示

在线阅读 下载PDF 职称材料

一类由交织方式构造的二元ZCZ序列簇 被引量：2

20

作者 王劲松 戚文峰 《电子与信息学报》 EI CSCD 北大核心 2007年第7期1573-1575,共3页

2000年,Tang,Fan和Matsufuji给出(L,M,Zcz)-ZCZ序列簇的理论界为Zcz≤L/M-1。给定正整数n和L,本文给出一个交织ZCZ序列簇的构造算法,该算法由L条周期为L的正交序列簇生成一类(2n+1L,2L,2n-1)-ZCZ序列簇。若n≥2且4|τ,该类ZCZ序列簇中... 2000年,Tang,Fan和Matsufuji给出(L,M,Zcz)-ZCZ序列簇的理论界为Zcz≤L/M-1。给定正整数n和L,本文给出一个交织ZCZ序列簇的构造算法,该算法由L条周期为L的正交序列簇生成一类(2n+1L,2L,2n-1)-ZCZ序列簇。若n≥2且4|τ,该类ZCZ序列簇中编号为奇数的序列与编号为偶数的序列在移位为τ时相关值为零。此外,选择不同的正交序列簇或不同的移位序列,经构造算法可以生成不同的ZCZ序列簇。 展开更多

关键词 准同步CDMA通信系统 ZCZ序列簇 正交序列簇

在线阅读 下载PDF 职称材料