零相关线性分析研究 被引量：10

1

作者 王美琴 温隆 《密码学报》 2014年第3期296-310,共15页

零相关线性分析由Bogdanov和Rijmen于2012年首次提出,该方法利用分组密码算法中广泛存在的相关度为零的线性逼近来区分密码算法与随机置换.为了解决零相关线性分析所依赖的高数据复杂度的问题,Bogdanov与Wang于FSE 2012提出利用多条零... 零相关线性分析由Bogdanov和Rijmen于2012年首次提出,该方法利用分组密码算法中广泛存在的相关度为零的线性逼近来区分密码算法与随机置换.为了解决零相关线性分析所依赖的高数据复杂度的问题,Bogdanov与Wang于FSE 2012提出利用多条零相关线性逼近,以区分统计分布的方式来降低数据复杂度.为了消除新模型所依赖的强烈假设条件,Bogdanov等人于ASIACRYPT 2012提出多维零相关线性分析的模型,进一步完善了零相关线性分析模型.零相关线性分析模型的有效性,在对诸多算法,包括TEA、XTEA、CAST-256、CLEFIA、Camellia等一系列重要算法的分析中得到验证.作为新的分析方法,零相关线性分析与其它密码分析技术之间的联系也被深入研究.线性分析领域的另一个研究进展是相关密钥下线性分析模型——相关密钥不变偏差线性分析模型的提出.本文详细介绍了零相关线性分析研究背景、发展历程以及线性分析领域当前的主要进展与取得的重要结果,以及存在的一些问题. 展开更多

关键词 密码分析 零相关线性分析 多维零相关线性分析 积分零相关 相关密钥不变偏差线性分析

在线阅读 下载PDF 职称材料

SMS4算法的多维零相关线性分析 被引量：10

2

作者 马猛 赵亚群 +1 位作者 刘庆聪 刘凤梅 《密码学报》 CSCD 2015年第5期458-466,共9页

SMS4算法是中国无线标准中使用的分组加密算法,2012年被国家商用密码管理局确定为国家密码行业标准.作为中国官方公布的第一个商用密码算法,SMS4算法的安全性分析是当前密码学界的研究热点之一.SMS4算法是一种32轮的迭代非平衡Feistel... SMS4算法是中国无线标准中使用的分组加密算法,2012年被国家商用密码管理局确定为国家密码行业标准.作为中国官方公布的第一个商用密码算法,SMS4算法的安全性分析是当前密码学界的研究热点之一.SMS4算法是一种32轮的迭代非平衡Feistel结构的分组密码算法,其加解密过程中使用的算法完全相同,唯一的不同点就是该算法的解密密钥是由它的加密密钥进行逆序变换后得到的,因此,SMS4算法在32轮非线性迭代之后有一个反序变换.本文证明了SMS4算法存在11轮零相关线性逼近,选取了其中一类特殊的零相关线性逼近,缩小了密钥猜测空间,分析了14轮SMS4算法对多维零相关线性攻击技术的安全性.结果显示:该攻击的数据复杂度为2123.5个已知明密文,时间复杂度为2120.7次14轮SMS4加密,存储复杂度为273个SMS4分组.虽然14轮SMS4算法对多维零相关线性攻击是不免疫的,但是其数据复杂度较其它攻击方法还很高,且14轮距离目前最高攻击轮数还有较大差距,因此SMS4算法在抗多维零相关线性分析方面仍然有足够的安全边界. 展开更多

关键词 分组密码 SMS4算法 多维零相关线性分析 零相关线性逼近

在线阅读 下载PDF 职称材料

对PICO和RECTANGLE的零相关线性分析 被引量：5

3

作者 马楚焱 刘国强 李超 《密码学报》 CSCD 2017年第5期413-422,共10页

混合整数线性规划是一种解决优化问题的常用方法.2012年,Mouha等人首次将该方法应用于密码算法的安全性评估,成功实现了对活跃S盒数下界的求解.PICO和RECTANGLE均为SPN型结构的轻量级分组密码算法,目前对于这两种算法的零相关线性分析... 混合整数线性规划是一种解决优化问题的常用方法.2012年,Mouha等人首次将该方法应用于密码算法的安全性评估,成功实现了对活跃S盒数下界的求解.PICO和RECTANGLE均为SPN型结构的轻量级分组密码算法,目前对于这两种算法的零相关线性分析研究尚待完善.本文首先针对PICO算法的零相关线性逼近问题,建立基于混合整数线性规划的模型并进行路径搜索,找到大量7轮PICO算法的零相关线性逼近,优于设计者给出的4轮零相关线性逼近.进一步地,通过构造7轮多维零相关线性区分器,对含白化密钥的10轮PICO算法进行密钥恢复攻击.该攻击能够恢复共50比特轮子密钥,其时间复杂度为2^(68.7)次10轮PICO加密,数据复杂度为2^(63.3)个已知明文,存储复杂度为2^(42.3)字节.最后,本文针对RECTANGLE算法的零相关线性逼近问题,采用类似方法进行搜索,同时借助算法本身的传播性质,找到了208条8轮RECTANGLE的零相关线性逼近,并给出了11轮RECTANGLE的零相关线性攻击.该攻击可恢复共44比特轮子密钥,其数据复杂度为2^(63)个已知明文,时间复杂度为2^(107)次11轮RECTANGLE加密运算. 展开更多

关键词 零相关线性分析 混合整数线性规划 PICO算法 RECTANGLE算法

在线阅读 下载PDF 职称材料

多维零相关线性分析模型的改进及在23轮LBlock-s算法中的应用 被引量：1

4

作者 李灵琛 吴文玲 汪艳凤 《计算机学报》 EI CSCD 北大核心 2017年第5期1192-1202,共11页

基于相关性为零的线性逼近的多维零相关线性密码分析是目前最重要的分组密码分析手段之一.该文主要对多维零相关线性分析模型的密钥恢复阶段进行了深入的研究,通过定义等价密钥的距离来刻画等价密钥在压缩表达式中的位置关系,进一步约... 基于相关性为零的线性逼近的多维零相关线性密码分析是目前最重要的分组密码分析手段之一.该文主要对多维零相关线性分析模型的密钥恢复阶段进行了深入的研究,通过定义等价密钥的距离来刻画等价密钥在压缩表达式中的位置关系,进一步约简区分器候选集合同时优化密钥猜测顺序,从而改进了原有的多维零相关线性分析的攻击模型.改进的模型首先找到所有最长的多维零相关线性区分器,然后利用密钥编排算法求得密钥恢复阶段所涉及的独立猜测密钥量,以此筛选区分器候选集合.最后,根据等价密钥的距离对候选区分器进行再次筛选,同时得到相应的密钥猜测顺序.LBlock-s算法是CAESAR竞赛中所提交的认证加密算法LAC的核心分组算法.与Lblock算法不同,LBlock-s采用具有更快混淆速度的密钥编排算法.基于改进的优化模型,该文分析了该算法抵抗多维零相关线性攻击的能力.研究表明,攻击23轮LBlock-s算法所需的数据复杂度为2^(62.3)个选择明文,时间复杂度为2^(73.75)次23轮LBlock-s加密,存储复杂度为2^(56)字节.这是目前针对LBlock-s算法的最优攻击结果. 展开更多

关键词 分组密码 LBlock-s 多维零相关线性分析 逐步压缩技术 等价密钥

在线阅读 下载PDF 职称材料

Zodiac密码算法的多维零相关线性分析

5

作者 程璐 魏悦川 +1 位作者 潘晓中 李安辉 《计算机应用》 CSCD 北大核心 2017年第6期1605-1608,1624,共5页

分组密码算法Zodiac支持3种密钥长度,分别为Zodiac-128、Zodiac-192、Zodiac-256。利用零相关线性分析方法评估了Zodiac算法的安全性,首先根据算法的结构特性,构造了一些关于Zodiac算法的10轮零相关线性逼近,然后对16轮Zodiac-192进行... 分组密码算法Zodiac支持3种密钥长度,分别为Zodiac-128、Zodiac-192、Zodiac-256。利用零相关线性分析方法评估了Zodiac算法的安全性,首先根据算法的结构特性,构造了一些关于Zodiac算法的10轮零相关线性逼近,然后对16轮Zodiac-192进行了多维零相关分析。分析结果显示:攻击过程中一共恢复了19个字节的密钥,其数据复杂度约为2^(124.40)个明密文对,计算复杂度为2^(181.58)次16轮加密。由此可得:16轮(即全轮)192 bit密钥的Zodiac算法(Zodiac-192)对于零相关线性分析方法是不安全的。 展开更多

关键词 分组密码 Zodiac密码算法 线性掩码 线性逼近 零相关线性分析

在线阅读 下载PDF 职称材料

Fox密码的多维零相关线性分析 被引量：7

6

作者 伊文坛 陈少真 《密码学报》 CSCD 2015年第1期27-39,共13页

Fox密码算法是由欧洲学者Junod和Vaudenay是基于Mediacrypt公司的实际需求而设计的系列分组密码.由于在各种平台上的性能表现良好,该算法在许多安全产品中取代了IDEA算法,成为欧洲应用最普遍的密码算法之一.本文首先关注了Fox密码的零... Fox密码算法是由欧洲学者Junod和Vaudenay是基于Mediacrypt公司的实际需求而设计的系列分组密码.由于在各种平台上的性能表现良好,该算法在许多安全产品中取代了IDEA算法,成为欧洲应用最普遍的密码算法之一.本文首先关注了Fox密码的零相关线性逼近问题,构造出一些关于Fox密码的4轮零相关线性逼近;然后利用合适的线性逼近,结合部分和技术,分析了减缩轮Fox密码针对多维零相关分析技术的安全性,并且成功地恢复部分轮子密钥信息.结果显示:攻击对5轮Fox-64的计算复杂度大约是260.9次5轮Fox加密,对6轮Fox-64分析大约需要2119.4次6轮Fox加密.额外添加1轮并穷举轮子密钥,结果显示零相关分析方法对7轮Fox密码轮子密钥恢复依然有效.本文是第一个关于Fox密码零相关线性分析的结果. 展开更多

关键词 分组密码 Fox密码算法 零线性相关分析 线性逼近

在线阅读 下载PDF 职称材料

CLEFIA动态密码结构的零相关线性区分器构造研究

7

作者 沈霞民 熊涛 +1 位作者 李华 沈璇 《信息网络安全》 CSCD 北大核心 2024年第6期948-958,共11页

随着分组密码应用研究的不断深入,研究者发现,“动态可变”分组密码设计可有效提升分组密码算法的应用灵活性和部署安全性。CLEFIA算法遵循“动态可变”思想,一些学者对CLEFIA算法的线性变换层加以改进,使得第6t(t≥1)轮中的扩散层可以... 随着分组密码应用研究的不断深入,研究者发现,“动态可变”分组密码设计可有效提升分组密码算法的应用灵活性和部署安全性。CLEFIA算法遵循“动态可变”思想,一些学者对CLEFIA算法的线性变换层加以改进,使得第6t(t≥1)轮中的扩散层可以从{0,1}4上的多个线性双射变换中任意选取。为分析评估CLEFIA动态密码结构的安全性能,文章主要采取零相关线性分析理论,利用中间相错技术和矩阵表示方法,分析构造CLEFIA动态密码结构的零相关线性区分器。研究证明,在轮函数为双射的前提条件下,CLEFIA动态密码结构动态线性层控制参数μ_(i)∈F_(2),(0≤i≤4)无论取何值,总存在8轮零相关线性区分器;当控制参数μ_(0)=0时,存在9轮零相关线性区分器。 展开更多

关键词 分组密码 CLEFIA动态密码结构 零相关线性分析 中间相错技术 矩阵表示

在线阅读 下载PDF 职称材料

嵌套SP网络的New-Structure系列结构的零相关线性逼近与不可能差分性质研究 被引量：3

8

作者 付立仕 崔霆 金晨辉 《电子学报》 EI CAS CSCD 北大核心 2017年第6期1367-1374,共8页

分组密码的安全性分析是密码学的重要研究内容,其中不可能差分分析和零相关线性分析是密码算法安全性分析的重要方法.本文利用中间相错方法,通过对扩散层进行限制,给出了嵌套SP网络的New-Structure系列结构的零相关线性逼近.给出了New-S... 分组密码的安全性分析是密码学的重要研究内容,其中不可能差分分析和零相关线性分析是密码算法安全性分析的重要方法.本文利用中间相错方法,通过对扩散层进行限制,给出了嵌套SP网络的New-Structure系列结构的零相关线性逼近.给出了New-Structure I和New-Structure IV结构中概率非零的差分传递链和相关优势非零的线性逼近传递链在结构上的一致性.此外也给出了嵌套SP网络New-Structure I、III的16/22轮不可能差分特征.最后给出在分组规模和密钥规模均为128比特时,对New-Structure I,III,IV进行21/28/22轮的不可能差分攻击和19/28/22轮的多维零相关线性逼近攻击所需要的时间复杂度和数据复杂度.本文的结果对基于New-Structure结构设计的密码算法的安全性分析提供了理论依据. 展开更多

关键词 信息安全 不可能差分分析 零相关线性分析 New-Structure系列

在线阅读 下载PDF 职称材料

SIMON不可能差分及零相关路径自动化搜索算法 被引量：4

9

作者 张仕伟 陈少真 《软件学报》 EI CSCD 北大核心 2018年第11期3544-3553,共10页

对于分组密码,不可能差分和零相关线性分析都是很重要的分析手段.通过研究非线性组件与(AND)的性质,首先得到用于刻画SIMON轮函数差分及线性传播特性的约束式,再基于布尔可满足约束问题(SAT),提出一种普适性不可能差分和零相关路径自动... 对于分组密码,不可能差分和零相关线性分析都是很重要的分析手段.通过研究非线性组件与(AND)的性质,首先得到用于刻画SIMON轮函数差分及线性传播特性的约束式,再基于布尔可满足约束问题(SAT),提出一种普适性不可能差分和零相关路径自动化搜索算法,并利用该算法搜索得到SIMON更多的不可能差分及零相关路径.除用于自动化搜索外,该算法还可判断特定的差分对(掩码对)是否能构成一条有效不可能差分和零相关路径.此外,基于该算法,从抵抗不可能差分攻击的角度出发,给出SIMON轮函数设计中循环移位常数的选取依据. 展开更多

关键词 分组密码 不可能差分分析 零相关线性分析 自动搜索算法 SIMON

在线阅读 下载PDF 职称材料

结构密码分析 被引量：1

10

作者 孙兵 李超 《密码学报》 CSCD 2016年第4期321-329,共9页

衡量密码算法安全性的重要指标是该算法抵抗已知攻击的能力。所谓结构密码分析指的是与密码算法非线性组件无关的密码分析方法,比如不可能差分分析、零相关线性分析以及计算活跃S盒数目的下界等。本文以SPN结构为例,介绍结构密码分析的... 衡量密码算法安全性的重要指标是该算法抵抗已知攻击的能力。所谓结构密码分析指的是与密码算法非线性组件无关的密码分析方法,比如不可能差分分析、零相关线性分析以及计算活跃S盒数目的下界等。本文以SPN结构为例,介绍结构密码分析的基本原理和方法。文章首先提出了结构的概念,并研究了结构的差分传播规律,文章指出,若α_1→β_1和α_2→β_2均是SPN结构的可能差分,则α_1|α_2→β_1|β_2也是该SPN结构的可能差分;其次将这些规律用于分组密码针对不可能差分分析的可证明安全中,针对SPN结构线性扩散层P,提出了本原指数的概念,并利用线性扩散层P的本原指数刻画了SPN结构最长不可能差分的轮数,指出了在不考虑S盒细节的情况下,AES算法不可能差分最长轮数恰好为4,因此,若想利用不可能差分密码分析方法对AES算法取得突破,我们必须充分研究AES算法S盒的性质;文章进一步提出了对偶结构的概念,证明了密码结构的不可能差分与对偶结构的零相关线性掩码是等价的,从而可同时给出分组密码针对零相关线性分析的可证明安全。 展开更多

关键词 密码结构 不可能差分分析 零相关线性分析 AES

在线阅读 下载PDF 职称材料

缩减轮数的CAST-256积分分析 被引量：2

11

作者 郑向前 张文英 +1 位作者 肖祯 李情情 《计算机应用研究》 CSCD 北大核心 2017年第1期221-223,共3页

CAST-256是在CAST-128基础上改进的Feistel结构分组密码,作为首轮AES候选算法,该算法的分析成果已有不少。目前,已知的攻击方法分析中,多维零相关线性分析和积分分析能实现28轮的密钥恢复攻击。根据已有的文献资料,详细分析了如何利用... CAST-256是在CAST-128基础上改进的Feistel结构分组密码,作为首轮AES候选算法,该算法的分析成果已有不少。目前,已知的攻击方法分析中,多维零相关线性分析和积分分析能实现28轮的密钥恢复攻击。根据已有的文献资料,详细分析了如何利用积分分析与零相关分析两种方法之间联系,实现28轮CAST-256算法积分分析,并且密钥恢复算法的复杂度达到2247Enc。 展开更多

关键词 CAST-256 零相关线性分析 积分分析 Feistel分组密码

在线阅读 下载PDF 职称材料