收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

分组密码算法ARIA的不可能差分分析和中间相遇攻击

杜承航  
【摘要】:21世纪是信息化时代,人们天天遨游在信息的海洋里。越来越多的人通过计算机网络处理大量信息,如电子邮件、网上交易等。信息成为了人类社会发展的重要资源,成为了当今世界进步和发展的动力和核心。信息交互和信息传输过程中的信息安全问题变得越来越重要。信息安全直接关系到国家安全、电子商务的安全以及广大民众的个人隐私权的保护等问题。信息安全的重要性带动了对密码学的研究。密码学作为一门保证数据信息安全的科学,得到越来越广泛的研究和学习。 密码体制按照密钥共享的方式可以分为对称密码体制和公钥密码体制。对称密码主要包括分组密码、流密码和消息认证码(MAC),具有易于软硬件实现、运行速度快、存储量小等优点。 分组密码是一种有效的带密钥的置换,将定长的明文转换成等长的密文。分组密码的加密密钥和解密密钥相同,或者都能由同一个主密钥得出,而且加密和解密过程有典型的对称特性。分组密码在计算机通信和信息系统安全领域有着广泛的应用。分组密码的安全性分析是密码学研究领域的热点问题。本文重点研究分组密码的安全性。 分组密码算法的设计结构主要有两种:一种是Feistel网络结构。该结构每次只有一半的消息分组进入F函数,因此实现时具有占用硬件资源少的特点,适合在计算能力受限的条件下使用。1977年被确定为国际通用的分组加密标准的早期分组密码加密标准DES[50]就是这种结构的分组算法中的典型代表。DES是2000年前应用最为广泛的分组密码算法。DES的分组大小为64比特,密钥长度为56比特。另一种是代替-置换网络(SPN)结构。现行的高级加密标准AES[15]就是这种结构的代表。AES具有128比特的消息分组长度,密钥长度有128/192/256比特三种。 其它很多分组密码算法的设计也受到了DES和AES设计原理的影响,例如韩国分组密码加密标准ARIA算法[40,52,53]就具有与AES十分相似的结构。该算法由几名韩国密码学者在2003年提出[52],并于2004年改进到版本1.0[53]。它基于SPN网络结构,最大分支数为8,支持128比特消息分组及128/192/256比特的密钥长度,对应加密轮数分别为12/14/16轮。轮函数是SPN结构,由轮密钥异或、S盒变换和字节扩散变换组成。 2003年,ARIA首次在韩国的信息安全年会中公开[52]。此时的版本为0.8,算法具有128比特消息分组,有128/192/256比特三种密钥长度,分别对应10/12/14轮迭代。此版本中使用了两个不同的S盒。其中一个S盒是AES的S盒。后来,ARIA在版本0.9[40]中变为使用4个不同的S盒,迭代轮数没有发生变化。最后,在现行版本1.0[53]中,又将迭代轮数增加2轮,变为12/14/16轮,而且对密钥生成算法进行了适当的调整。2004年,韩国国家技术标准局(KATS)将这一版本在网页http://www.nsri.re.kr/ARIA/上公布,并在同年12月正式确定1.0版本的ARIA为韩国分组密码算法加密标准(KS X 1213)。 由于ARIA与AES在结构上有很高的相似性,所以很多AES的分析方法都对ARIA有效。反之,对ARIA有效的分析方法也很有可能用来分析和攻击AES。对ARIA安全性的分析也变得非常重要。 算法的设计者Daesung Kwon等人首先给出了ARIA的分析[40]。其中包括差分和线性分析,截断差分分析,不可能差分分析,积分攻击,高阶差分分析,插值攻击等。后来于2004年,Alex Biryukov等人对版本0.8进行了安全性评估[11]。他们主要进行了截断差分分析和专用线性分析。2007年吴文玲等人提出了对版本0.9的6轮不可能差分分析[61]。2008年李申华对吴文玲的6轮不可能差分分析进行了改进[44]。2009年李艳俊提出了最多攻击到7轮ARIA-256的积分攻击[45]。唐学海[60]等人在2010年提出最多攻击到8轮ARIA-256的中间相遇攻击。 本文中,我们对现行的1.0版本的ARIA算法进行了安全性分析,主要使用了不可能差分分析及中间相遇攻击的分析方法,并有如下结果: (1)7轮ARIA不可能差分分析 2007年,吴文玲等人首次发现了4轮不可能差分特征,该特征如下:(c,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0)(?)(0,j,0,0,0,0,0,0,j,j,j,0,0,0,j,0),其中c和j非零。基于此,吴文玲等人提出了第一个约减至6轮的ARIA不可能差分分析。 李申华又于2008年对ARIA的不可能差分分析进行了改进,发现了新的不可能差分特征。利用这类特征对六轮ARIA进行攻击时,相对于吴文玲的不可能差分分析,可以分别减少猜测第1轮和第7轮轮密钥的1字节,从而使需猜测的密钥数由12字节减少到10字节,有效降低了不可能差分攻击的时间复杂度。 这个四轮不可能差分特征可以描述为:(0,c1,0,0,0,0,0,0,0,0,0,0,c12,0,0,0)(?)(0,0,0,j,0,0,0,0,0,0,0,j,j,j,0,0),其中c1,c12和j非零。 李的攻击需要2 120个选择明文和2 96次六轮加密运算,时间复杂度比吴文玲的攻击降低了2 16。 在此基础上,我们对ARIA的不可能差分性质展开了进一步的研究。我们发现想进一步减少猜测密钥的字节数几乎是不可能的了。因此我们从其他方面入手。我们发现了扩散层的一种重要性质,然后结合我们构造的新的4轮不可能差分特征,我们给出了7轮ARIA-256的不可能差分分析。扩散层性质. 由扩散层(DL)的线性表达式,及扩散层变换的自逆特性,我们发现了第一轮中进行扩散变换前状态的各字节之间的4个关系式,利用这4个关系式,我们可以有效过滤攻击过程中无用的明文对,从而大大降低了时间复杂度,使得对ARIA的不可能差分分析能够攻击到7轮。 这4个等式如下通过使状态ΔX1(SL)的各字节满足上述4个等式,我们能在进行扩散变换前以2-48的概率过滤明文对。我们也构造出了对应此4等式的4轮不可能差分特征,形式如下: 4轮不可能差分特征. 给定一对只在第3字节有差分且其他字节无差分的明文(X3,X'3),经过4轮加密运算后,密文对差分ΔX7不可能产生如下形式:(j,0,j,0,0,0,0,0,j,0,0,j,0,0,0,0),即密文对只在(0,2,8,11)4字节处有非零差分,在其他字节无差分。这一不可能差分性质可用下式表示:(0,0,c,0,0,0,0,0,0,0,0,0,0,0,0,0)(?)(j,0,j,0,0,0,0,0,j,0,0,j,0,0,0,0)其中c和j为任意非零值。 我们在4轮不可能差分特征前边加两轮,后边加一轮,构造我们的7轮不可能差分路线,并在第一轮中通过置换层后的状态用4个等式进行过滤。 我们的攻击共需2 125选择明文和大约2 238 7轮加密。 (2)改进的7轮ARIA-256不可能差分分析 在上述7轮不可能差分分析结果基础上,我们经进一步的研究,又发现了扩散层与上述性质类似的性质,不同的是,这次我们得到7个等式,并由此降低了上述7轮攻击的数据和时间复杂度。 这7个等式为:我们也构造了适用于此7个等式的4轮不可能差分特征,并在特征前加2轮,后边加1轮,构成新的7轮不可能差分路线。差分特征为: 4轮不可能差分特征. 给定一对在第(10,15)字节有差分且其他字节无差分的明文(X3,X'3),经过4轮加密运算后,密文对差分ΔX7不可能产生如下形式:(0,j,0,j,0,0,0,0,0,j,j,0,0,0,0,0),即密文对只在(1,3,9,10)4字节处有非零差分,在其他字节无差分。这一不可能差分性质可用下式表示(0,0,0,0,0,0,0,0,0,c,0,0,0,0,0,c)(?)(0,j,0,j,0,0,0,0,0,j,j,0,0,0,0,0)其中c和j为任意非零值。这一攻击需要2[2]选择明文和大约2 219 7轮加密。 (3) ARIA中间相遇攻击 ARIA算法的中间相遇攻击最早由唐学海[60]等人提出,他们最多攻击到8轮ARIA-256。8轮攻击的数据复杂度为2 56,时间复杂度为2 25.6,预计算复杂度为2 252。而7轮ARIA-192攻击需要2 120个明文,2 1853次7轮ARIA-192加密运算,和2 187次预计算。6轮攻击的数据/时间/预计算复杂度分别为2 56,2 121.5,及2 122.5轮攻击需要25个明文,时间复杂度为2 65.4,预计算复杂度为2 122.5。 在此基础上,我们结合2010年由Orr Dunkelman, Nathan Keller, and Adi Shamir~([24])等人提出的针对AES的中间相遇攻击,提出了新的ARIA中间相遇攻击的4轮区分器,并以此为基础提出了新的最多攻击到8轮的中间相遇攻击,改进了唐学海等人的结果。 4轮区分器 如果δ-集的活性字节是第2字节,用4轮ARIA加密δ-集。则(无序)多重集[△X3,2 0 ,△X6,2 1,…,△X6,2 255]完全由以下30字节变量决定:-状态X 3 0(IN)的7字节1,4,6,10,11,12,15;-状态X 4 0(IN)的全部16字节;-轮密钥k5的7字节1,4,6,10,11,12,15。所以,多重集完全由232字节变量决定。这一多重集共有2 232个可能值。因此如果密钥的猜测值使得对应的多重集产生了上述的2232个值中的一个值,那么这个密钥的猜测值以很高的概率是正确密钥。我们在此区分器前边加1轮,后边加3轮,构造8轮ARIA的中间相遇攻击。我们的8轮攻击需要2 56选择明文,2 248.5加密及2 238预计算。而7轮攻击的数据/时间/预计算复杂度分别为2 112,2 176.7,2 182.2。我们也把6轮攻击的预计算由之前的2 122.5降到了2 110.5。最后我们平衡了5轮攻击的数据/时间/预计算复杂度到2 2.85,2 85.7,285.7。我的结果是目前ARIA算法中间相遇攻击中最好的结果。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 唐学海;李超;王美一;屈龙江;;3D密码的不可能差分攻击[J];电子与信息学报;2010年10期
2 张磊;郭建胜;;6轮ARIA的最优不可能差分分析[J];中国科学院研究生院学报;2011年02期
3 梅振宇;张虹;;基于非S盒变换的DES分组密码的改进[J];计算机工程与设计;2007年17期
4 陈少真;鲁林真;;对8轮ARIA算法的差分枚举攻击[J];电子与信息学报;2011年07期
5 彭军;张伟;杨治明;廖晓峰;;一种基于Feistel网络的反馈式分组混沌密码的研究[J];计算机科学;2006年01期
6 罗岚;瞿泽辉;周世杰;张凤荔;秦志光;魏正耀;;带延迟的分组密码算法密钥结合模式设计[J];电子科技大学学报;2007年03期
7 唐明;汪波;杨欣;张焕国;;分组密码的硬件实现[J];哈尔滨工业大学学报;2006年09期
8 张玲;杨晓利;梁士利;;基于混沌链C细胞自动机的加密方法研究[J];液晶与显示;2009年06期
9 师国栋;康绯;顾海文;;分组密码统一描述模型研究[J];计算机工程;2010年01期
10 杨宏志;韩文报;李光松;;AES和Camellia算法的可重构硬件实现[J];计算机工程;2010年16期
11 权安静;蒋国平;左涛;陈婷;;基于超混沌序列的分组密码算法及其应用[J];南京邮电学院学报;2005年04期
12 罗岚;魏正耀;秦志光;;分组密码算法链接模式构造单向函数的可证安全性[J];信息安全与通信保密;2007年08期
13 褚有睿;欧阳旦;王志远;;一种改进的分组密码可重构处理结构设计[J];计算机系统应用;2010年08期
14 韦宝典;;欧洲分组密码标准SHACAL-2算法的研究分析[J];计算机工程;2006年05期
15 罗岚;魏正耀;范明钰;张涛;瞿泽辉;;分组密码算法芯片的模块保护设计[J];信息安全与通信保密;2006年07期
16 禤少茵;;面向移动商务分组密码算法的改进[J];科技情报开发与经济;2007年22期
17 胡廉民;张九华;;分组密码算法的测试方法研究[J];电子科技大学学报;2007年04期
18 戴紫彬;孟涛;朱忠义;张永福;;可适配模乘运算指令研究[J];电子技术应用;2007年10期
19 张丽丽;张玉清;;基于分布式计算的暴力破解分组密码算法[J];计算机工程;2008年13期
20 韦永壮;胡予濮;;42轮SHACAL-2新的相关密钥矩形攻击[J];通信学报;2009年01期
中国重要会议论文全文数据库 前10条
1 权安静;蒋国平;左涛;;基于Logistic映射的分组密码算法研究及其应用[A];江苏省自动化学会七届四次理事会暨2004学术年会青年学者论坛论文集[C];2004年
2 罗岚;魏正耀;张凤荔;申兵;周世杰;;一种基于分组密码算法认证方案的RFID可信计算平台接入方案[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
3 刘凡保;谢涛;;MD5碰撞攻击的差分路径构建[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年
4 刘莹光;孔宪京;邹德高;;高土石坝加筋抗震措施的快速拉格朗日差分分析[A];第15届全国结构工程学术会议论文集(第Ⅱ册)[C];2006年
5 张彤;张平;;金融电子化与高强度密码体制[A];第14届全国计算机安全学术交流会论文集[C];1999年
6 李小春;;CO_2地质封存:潜力与测试技术[A];全国MTS岩土混凝土试验研讨会论文集[C];2009年
7 张涛;范明钰;王光卫;王治;;基于掩码技术的密码芯片抗能量分析防御方法[A];第四届中国测试学术会议论文集[C];2006年
8 丁学仁;吴绍祖;刘序俨;李祖宁;陈光;;利用GPS资料分析地震前兆异常特征[A];中国地球物理学会第二十三届年会论文集[C];2007年
9 王强;王建初;顾宇丹;;电场时序差分在雷电预警中的有效性分析[A];第四届长三角科技论坛论文集(下册)[C];2007年
10 田晓霞;赵刚;;IDEA加密算法在智能传感器中的应用[A];第四届中国测试学术会议论文集[C];2006年
中国博士学位论文全文数据库 前10条
1 杜承航;分组密码算法ARIA的不可能差分分析和中间相遇攻击[D];山东大学;2011年
2 孙悦;轻量级与非满射S-box的分组密码算法的分析[D];山东大学;2011年
3 陈佳哲;几个分组密码算法的安全性分析[D];山东大学;2012年
4 杨林;轻量级分组密码算法分析与基于诱骗态的实用量子密钥分发协议[D];山东大学;2010年
5 李玮;若干分组密码算法的故障攻击研究[D];上海交通大学;2009年
6 李志敏;哈希函数设计与分析[D];北京邮电大学;2009年
7 郭伟;混沌Hash函数安全性分析和构造[D];西南交通大学;2011年
8 王美琴;分组密码算法Serpent-256的差分代数分析[D];山东大学;2007年
9 郑世慧;动态对等网的群密钥协商和分组加密算法Safer++的安全性分析[D];山东大学;2006年
10 李立;高突发性自相似网络业务流量理论及建模分析研究[D];华中科技大学;2008年
中国硕士学位论文全文数据库 前10条
1 师国栋;分组密码算法统一描述模型研究[D];解放军信息工程大学;2009年
2 鲁林真;分组密码算法IDEA和ARIA的分析[D];解放军信息工程大学;2011年
3 鲁艳蓉;分组密码算法的设计与分析研究[D];西安电子科技大学;2011年
4 于国苹;基于petri网的分组密码算法的硬件实现[D];山东科技大学;2011年
5 李刚;分组密码ARIA的低轮差分分析[D];西安电子科技大学;2007年
6 邹又姣;Rijndael算法的研究[D];西安理工大学;2002年
7 戴艺滨;分组密码算法MISTY1的分析[D];解放军信息工程大学;2012年
8 于艳艳;轻量级分组密码算法的碰撞能量攻击[D];山东大学;2012年
9 王余刚;基于FPGA的分组密码算法能量分析软件系统[D];西安电子科技大学;2011年
10 马锁堂;第三代移动通信系统中加密与认证算法的分析及仿真[D];电子科技大学;2002年
中国重要报纸全文数据库 前4条
1 ;WAPI:全新实现WLAN安全[N];人民邮电;2003年
2 陈代寿;WLAN 还有三道坎[N];中国计算机报;2004年
3 赵铭;WAPI借力安全叫板迅驰[N];中国高新技术产业导报;2003年
4 冯文;WLAN国标出台的背后[N];计算机世界;2003年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978