Journal of Cryptologic Research
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
热点文章

一种适用于移动通信的超混沌数字语音加密算法

刘文浩, 孙克辉, 朱从旭
2017, 4(1): 85-98. 全文: PDF (2812KB) (101)
摘要

随着移动互联网、云计算技术的发展, 信息安全的问题日益凸显. 为了提高音频信号传输的安全性, 本文提出了一种适用于移动通信的超混沌数字语音加密算法. 在密码算法中, 首先, 采用G.711A律标准将16位音频信号压缩编码为8位二进制序列. 然后, 基于Folded-towel离散超混沌映射设计了一个伪随机序列发生器. 该超混沌系统具有两个正的Lyapunov指数, 呈超混沌态, 从而能生成更复杂的密钥序列. 在加密过程中, 为提高算法抵御差分攻击的能力, 设计了一种适用于二进制序列的非线性交错异或运算. 该算法以每帧采集的音频信号为一组, 结合密文交错扩散技术和交错异或运算施加了两轮替代加密, 并将本组最后密文扩散到下一组, 从而实现了密文的组间扩散. 之后, 将算法应用于Android平台, 开发了一款IP保密通话软件. 实验结果和性能分析表明, 该算法加密速度快、安全性高, 具有大的密钥空间和强的密钥敏感性, 且能够抵御统计、差分及穷举等攻击, 在音频信号实时保密传输中具有良好的应用前景.

基于广义多项式商的二元序列线性复杂度研究

万韫琦, 杜小妮
2017, 4(1): 79-84. 全文: PDF (498KB) (78)
摘要

具有良好性质的伪随机序列在模拟, 测距系统, 扩频通信, 尤其在流密码系统中有着广泛的应用. 自2011年A Ostafe, I E Shparlinski提出将费马商用于设计密码本原以来, 基于费马商及其扩展函数的伪随机序列的构造及其性质分析成为一个新兴的研究方向. 本文将模奇素数 的多项式商推广到模 (r>=1)的情形, 依据新商式构造了一类周期为pr+1的二元门限序列, 并结合分圆多项式和序列所满足的线性递归关系研究了w取任意值且2为模p2的本原根时序列的线性复杂度. 所得结论不仅是现有研究成果的推广, 而且新序列具有高的线性复杂度, 能够抵抗Berlekamp-Massey 算法的攻击, 在保密通信领域中具有潜在的应用.

Midori算法抗故障攻击安全性评估

王艺迪, 赵新杰, 张帆, 郭世泽, 吴礼发, 李文, 楼潇轩
2017, 4(1): 58-78. 全文: PDF (602KB) (90)
摘要

Midori是ASIACRYPT 2015上提出的一种轻量级分组密码算法, 密钥长度为128-bit, 分组长度为64/128-bit, 分别对应Midori64和Midori128, 可被用于保护物联网设备安全. 对Midori算法抗故障分析安全性进行了评估. 首先, 基于信息论通过分析故障传播路径, 对故障注入后的Midori密钥剩余熵进行了理论估计. 结果表明: 基于第R–3轮半字节和字节模型, 1次故障注入可分别将Midori64、Midori128密钥剩余熵大约降低到68.47-bit、8.03-bit, 但对倒数第2轮、第3轮故障分析复杂度较高, 多次故障注入分析可解决该问题. 然后, 利用差分故障分析方法, 对故障注入后的Midori密钥剩余熵进行了实际验证. 结果表明: 3次随机半字节、2次随机字节故障可分别将Midori64、Midori128的密钥剩余熵降低至8.10-bit和0-bit. 最后, 利用Midori代数方程简单特点, 将代数分析引入到故障分析中, 利用代数故障分析方法优化了Midori差分故障分析结果. 结果表明: 代数故障分析可将Midori64故障攻击扩展到复杂故障模型, 基于第R–3轮字节故障模型、R–4轮半字节故障模型, 可分别使用4次、10次故障注入恢复Midori64完整密钥; 代数故障分析可以降低Midori128攻击复杂度, 基于第R–3轮字节故障模型, 1次故障注入在94%的情况下可将Midori128密钥熵降低至16-bit以内. 因此, 必须对Midori算法倒数5轮进行故障攻击防护.

NORX算法G函数的线性性质研究

程文, 关杰
2017, 4(1): 49-57. 全文: PDF (625KB) (103)
摘要

NORX算法是2014年Jean-Philippe Aumasson等人提交CAESAR竞赛的一簇认证加密算法, 该算法基于海绵结构支持任意并行度, 其核心置换只用到了与, 循环移位, 异或和移位运算, 即所谓的LRX结构, 该比特级运算结构具有良好的硬件实现效能, 研究其核心置换的密码学性质具有重要作用. 此算法的两个变体NORX32与NORX64分别提供128比特与256比特安全度, 当前主要的分析结果有差分分析, 高阶差分分析, 猜测决定攻击等, 在线性分析方面缺乏系统深入的研究结果. 本文从底层函数H函数的线性性质出发, 利用逐比特概率分析的思想, 简化H函数并分析了其逐比特的概率分布, 通过堆积引理得到H函数的线性逼近相关系数快速计算算法, 得出H函数线性逼近相关系数的结构. 进一步拓展分析NORX算法H函数部件, 得到其线性逼近相关系数为零时输入输出掩码应满足的充要条件. 通过H函数部件线性逼近相关系数非零时输入掩码决定输出掩码形式的性质, 给出NORX算法核心置换G函数非零相关线性逼近的性质, 为下一步对NORX算法线性分析以及零相关线性分析提供了理论基础.

标准模型下适应性安全的BF-IBE方案

王学庆, 薛锐
2017, 4(1): 38-48. 全文: PDF (521KB) (174)
摘要

1984年, Shamir首次创造性地提出了基于身份加密(简称IBE)的概念, 但未给出具体方案, 直到2001年, Boneh和Franklin才构造出第一个IBE方案(简称BF-IBE方案), 并且给出了IBE方案IND-aID-CPA安全性(简称适应性安全性)的形式化定义. 然而, 该方案的安全性仅仅在Random Oracle(以下简称RO)模型中得到证明. 继BF-IBE方案之后, 虽然Boneh和Boyen与Waters分别于2004年、2005年构造出了两个具有代表性的、基于数论问题的、标准模型下适应性安全的IBE方案, 但是Boneh和Boyen方案的解密密钥和密文规模较大、Waters方案的安全性证明比较复杂. 相比于这两个典型方案, 由于BF-IBE方案具有解密密钥和密文规模较小的优点, 故将BF-IBE方案进行适当的改进, 使其在标准模型中安全, 是一个具有实际意义的问题. 本文的主要贡献在于: 在保持解密密钥和密文规模相对较小的同时, 将BF-IBE方案改造成标准模型下具有同等安全性的方案, 并且该方案的安全性证明简洁易懂. 本文采用类似于Hohenberger, Sahai和Waters在2014年提出的、对Full Domain Hash构造中的RO进行实例化的方法, 使得改造后的IBE方案除了实例化原方案中的哈希函数, 基本上保持了原来构造, 从而保持了原方案解密密钥和密文规模相对较小的优点, 并且安全性证明相比于原方案和Waters方案的证明更简洁易懂.

一种基于类名的大容量网页信息隐藏算法

杜耀刚, 薛 飞
2017, 4(1): 29-37. 全文: PDF (781KB) (84)
摘要

在信息技术飞速发展的今天, 信息隐藏领域已经成为信息安全的焦点. 因为每个Web站点以及网络通信都依赖于数字作品, 如音频、图像、网页等. 而信息隐藏这项技术将秘密信息嵌入到其中, 并且不损坏原有的载体. 在没有专门检测工具的情况下, 第三方觉察不到秘密信息的存在. 因此密钥、数字签名和私密信息都可以在Internet上安全的传送. 而网页文件因其信息冗余小, 所以研究成果较少. 但网页在信息传播方面应用非常广泛. 所以, 对网页信息隐藏算法进行研究, 具有很大的意义. 但现有网页信息隐藏算法并不能兼顾嵌入容量、鲁棒性和不可见性三个指标. 针对这个问题, 本文针对网页编写的过程, 提出了一种基于类名的网页信息隐藏算法. 该算法的基本思想有两点: 第一点是将信息隐藏在元素的class属性中, 第二点是将隐藏信息作为结构层、表现层和行为层之间联系的纽带, 作为网页的有机组成部分, 而不是将隐藏信息嵌入网页信息的冗余. 实验结果表明该算法极大的提高了网页的信息隐藏容量, 具有很强的鲁棒性和不可见性, 并且提取算法实现简单.

全同态加密函数库调试分析

陆思奇, 王绍峰, 韩旭, 程庆丰
2017, 4(1): 16-28. 全文: PDF (2322KB) (186)
摘要
本文选取了HElib库、FHE-CODE库和FHE-master基于三种不同算法的全同态加密程序, 一方面, 通过对程序本身的调试运行, 不断更改噪声、运行时间、所占存储空间等运行参数, 对程序性能进行动态比较分析. 提高安全参数可以实现较高精度的加密, 安全参数越高, 则其对应的密文长度越长、所占存储空间越大, 所以增加密文长度、重加密密文的长度等可以提高算法的安全级别. 同时, 减小模数、适当减小安全参数, 可以减小噪声比并提高运行效率. 另一方面, 分析了三种软件对应的三种全同态算法: Gentry提出的理想格算法、DGHV算法和BGV算法, 从安全性、有效性、实现程序以及相互联系对三种方案进行对比研究. 其中, HElib库操作较为复杂, 运行时间较长, 但安全性较高, FHE-CODE代码的逻辑相对比较清晰, 运行效率较高, FHE-master库利用文件读取操作实现了对于密文的检索功能, 针对不同密钥读写操作效率参差不齐. 本文一方面验证算法在理论研究的相关性质, 另一方面从程序实现方面分析算法的相关属性, 为全同态加密研究提供实践基础.

密码学与博弈论的交叉研究综述

彭长根, 田有亮, 刘海, 丁红发
2017, 4(1): 1-15. 全文: PDF (706KB) (288)
摘要

博弈论与密码学的学科相似性催生了博弈密码学这个新兴的交叉研究方向, 博弈论为解决密码协议中的一些安全目标提供了一种契机. 传统的密码系统只考虑诚实参与者或恶意参与者, 本文从博弈论和密码学的共性出发, 通过自利参与者的引入, 介绍了博弈密码学研究的出发点和思路, 形式化描述了密码系统博弈模型及相关概念; 进一步介绍了理性密码协议安全性定义, 初步从博弈均衡的角度探讨了密码协议的公平性, 并基于均衡理论对密码协议的安全性和公平性模型及定义进行分析; 对理性公平交换、理性秘密共享和理性安全多方计算的研究现状进行了综述和分析, 指出了存在的相关问题; 阐述了经济学中的机制设计及其在博弈密码协议设计中的应用及前景; 最后简单叙述了我们的一些工作, 介绍了基于特殊博弈模型、混合偏好模型和均衡理论的理性密码协议设计思路, 重点探讨了理性密码协议的公平机制设计问题. 针对博弈密码学作为极具挑战性的研究领域, 本文同时给出了一些需要深入探讨的相关问题.

基于随机预言模型的量子仲裁签名方案安全性分析

雷奇, 尚涛, 刘建伟
2016, 3(6): 619-628. 全文: PDF (480KB) (167)
摘要

量子密码协议的安全性分析是量子密码学中一个重要的研究方向. 随机预言(Random Oracle, RO)模型作为经典密码学中密码协议分析的有效工具,在量子密码学中的有效性是值得探讨的研究问题. 目前,量子密码协议仍然缺少通用的分析方法. 本文选取了基于非正交量子态的量子仲裁签名方案作为分析对象, 来说明基于随机预言模型的安全性分析方法的有效性. 其中, 量子仲裁签名方案采用了非正交量子比特传输信息来保证共享密钥的无条件安全, 并运用了经典密码学中常用的哈希函数鉴别消息的完整性. 针对量子仲裁签名方案的特点, 本文选择了不可克隆原理作为可证明安全的难解问题. 此分析方法运用了“无偏见选择基”(unbiased chosen basis, UCB) 假设来分析量子仲裁签名方案的可证明安全. 相较经典密码学的计算难解性, 量子的物理性质更能保证安全. 安全证明过程中设置了不同的敌手提问, 用来模拟敌手的攻击能力, 如攻击经典信道的能力、攻击共享密钥的能力、伪造签名的能力等, 从而更全面地分析协议的安全性. 量子仲裁签名方案的安全性分析表明随机预言模型在量子密码协议分析方面的有效性.

基于动态变色龙认证树的一次签名方案

王红伟, 徐剑, 倪盼, 周福才
2016, 3(6): 607-618. 全文: PDF (496KB) (159)
摘要

一次签名是数字签名的一种,主要使用单向函数对消息进行签名. 一次签名相对于公钥签名更加高效, 因而在传感器网络等轻量级计算环境中有着很好的应用前景. 然而, 为了保障安全性, 一对密钥只能用于对一条消息的签名, 为不同的消息生成不同的密钥造成了密钥管理过程过于复杂. 已有的一次签名方案只能支持有限数量的一次签名, 且代价开销较大. 因此, 构建了一种基于动态变色龙认证树的一次签名方案. 首先, 将可扩展的动态变色龙认证树与一次签名结合, 给出了方案的形式化定义, 包括密钥生成算法、签名算法和验证算法, 并且介绍了每个算法的详细设计,同时对方案的构建过程进行了详细描述; 其次, 在动态变色龙认证树的结构保持性和单向性定义的基础上, 对方案的安全性进行分析, 所构造的方案在适应性选择明文攻击下是不可伪造的; 最后, 将本方案与已有方案进行比较, 结果表明该方案不仅支持无上限数量的一次签名, 同时, 方案的平均签名长度更短, 密钥生成、签名以及验证的效率更高.

针对NTRU算法的新型广播攻击

杨智超, 付绍静, 屈龙江, 李超, 谢端强
2016, 3(6): 596-606. 全文: PDF (951KB) (151)
摘要

本文结合多次加密传送攻击和广播攻击的双重特征, 提出了一种针对NTRU算法的新型广播攻击, 并对该攻击进行了理论分析和实验验证. 攻击者首先在不稳定信道C中利用多次加密传送攻击的思想, 恢复噪声多项式ri的部分系数, 从而建立有关明文m的线性方程组. 然后在广播模型下获得足够多的线性方程组, 从而快速求解出明文m. 为充分挖掘噪声多项式的信息, 进一步减少攻击所需要的信道数量, 本文一方面利用噪声多项式之间发生的“伪碰撞”, 缩小未知系数的取值范围; 另一方面通过直接猜测ri中未知系数, 牺牲一定的正确率来获得更多信息. 通过这些方法能在有限的信道中, 建立更多关于m的方程. 理论分析表明新的攻击方法不仅将建立关于明文的方程所需引入的变量个数从原来的N+[N/2]降低到N. 而且完成一次攻击所需要的信道数也由原来的N+[N/2]-1+l减少到N/V(N,dr,k), 这里, 并且能够在O(N3)的时间复杂度下恢复明文. 实验结果表明, 新广播攻击比原有的多次加密传送攻击、广播攻击更加高效, 它对于更高安全等级的NTRU算法攻击仍然有效.

对21轮SMS4算法的多差分攻击

宋何颖秀, 高海英
2016, 3(6): 584-595. 全文: PDF (424KB) (154)
摘要
 
SMS4算法一种是用于WAPI的分组密码算法, 也是国内官方公布的第一个商用密码算法, 该算法公布后即引起国内外密码学界的分析热潮. SMS4算法的分组长度为128比特, 密钥长度为128比特, 加密算法与密钥扩展算法都采用32轮迭代结构. 本文的分析方法是综合利用了22817轮的SMS4的差分特征, 采用基于最优区分器思想的多差分攻击方法对21轮的SMS4算法进行攻击和分析, 针对每个实验密钥, 构造出基于多个差分特征的统计量, 根据统计量的大小判决实验密钥是否是正确密钥. 给出了多差分分析方法的计算复杂度, 分析了正确密钥、错误密钥对应统计量的概率分布规律, 在此基础上给出了多差分分析方法的成功率和数据复杂度之间的关系. 最终得出结论可以2104的数据复杂度, 2114的计算复杂度,来恢复出该算法的128比特圈子密钥. 用该结果与目前已知的对21SMS4算法的差分攻击结果进行对比我们可以看出, 攻击的数据复杂度和计算复杂度都有所降低. 基于该研究结果,我们可以得出以下结论, 在成功率相同的条件下, 基于的差分特征越多, 需要的数据复杂度和计算复杂度越小.

对16轮PRESENT算法差分分析的改进

田亚, 陈少真, 戴艺滨
2016, 3(6): 573-583. 全文: PDF (458KB) (146)
摘要

PRESENT算法是一个SPN结构的轻量级分组密码算法, 适用于计算资源有限的环境与设备. 差分分析是攻击分组密码最为基本和有效的方法之一, 对于迭代31轮的PRESENT算法, 目前最好的差分分析结果是16轮, 使用明文全空间264个选择明文. 本文在原有差分分析结果的基础上, 根据线性P置换的扩散性质, 得出在相邻两轮中活动S盒的数目与S盒差分值的汉明重量之间的关系. 搜索差分路径时取不同位置的活动S盒, 比较6轮差分路径的结果, 在得到最多结果的位置上寻找14轮概率为262的差分路径, 从解密方向找到119个, 从加密方向找到28个. 在成功率为99%的情况下, 将16轮多差分输入值-单差分输出值分析结果的数据量由原来的264个选择明文降低到259.16个, 时间复杂度由原来的264次内存访问降低到259.16次, 存储复杂度由原来的232个6比特计数器降低到232个3比特计数器. 同时给出单差分输入值-多差分输出值的差分分析结果, 数据量为261.16个选择密文, 时间复杂度为261.16次内存访问, 存储复杂度为232个4比特计数器.

轻量级分组密码mCrypton-64的biclique分析

袁征, 李铎
2016, 3(6): 564-572. 全文: PDF (711KB) (187)
摘要

Bogdanov等人在2011年亚密会上提出了一种新的针对分组密码的密钥恢复攻击, 称为biclique攻击, 该攻击方法在构造biclique结构的基础上结合了中间相遇攻击的思想, 可以有效降低攻击的时间复杂度和数据复杂度. 此后这一方法被广泛用于分组密码的安全性分析. mCrypton作为一种新的能够在资源有限的硬件环境下高效运行轻量级分组密码, 其安全性备受关注. 本文首先介绍了biclique攻击的一般方法, 并给出了一个d维biclique的完整定义. 接着, 我们说明了如何通过分析密码的密钥扩展算法, 找出两条较短的且相互独立的差分路径,进而完成biclique结构的构造并利用该biclique结构进行全轮攻击. 在此基础上, 我们给出轻量级分组密码mCrypton-64的算法描述, 并利用biclique攻击对其进行分析. mCrypton-64整体采用了SP结构, 其分组长度为64比特, 密钥长度为64比特, 其加密过程包括非线性替换、比特置换、行列换位和密钥加. 最后, 我们针对mCrypton-64的密钥扩展算法找到了两条相互独立的差分路径, 进而构造出一个11~12轮的4维biclique, 利用它对全轮mCrypton-64进行了攻击, 攻击的数据复杂度为232, 计算复杂度为263.115, 均好于已有的结果.

应用于智能卡的真随机数发生器及其后处理算法的研究

贾小艳, 乌力吉, 张向民, 吴行军
2016, 3(6): 555-563. 全文: PDF (1505KB) (163)
摘要

本文介绍一种应用于智能卡的真随机数发生器, 并分析了以杂凑函数SM3作为后处理算法来提高其随机数的质量. 真随机数发生器是智能卡中不可缺少的一部分, 它用于智能卡中机密信息的加密和签名, 大多数加密系统的安全性依赖于随机数的不可预测性和不可重现性. 真随机数发生器的实现电路中使用固定低频时钟采样通过反馈模式来控制的的高频时钟, 采用环形振荡器在振荡过程中不断积累的抖动作为熵源,并通过三级级联的耦合方式提高输出的统计特性, 促进随机性的扩散,同时相较传统环形振荡器面积也得到了节省.电路采用SMIC 0.13μm工艺平台实现, 核心电路版图面积小于0.0156 mm2, 包括3个输入端口, 4个输出端口. 考虑到智能卡具有很高的安全需求, 本文也讨论了一些常见的攻击方式及对应的预防措施. 本文介绍的真随机数发生器已经完成了流片, 并已对芯片进行了完整的测试. 很多研究表明, 后处理算法可以提高随机数的质量, 本文表明测试数据在经过后处理之后, 可以通过随机性测试标准.

一种关于CRT-RSA算法的差分错误注入攻击

李增局
2016, 3(6): 546-554. 全文: PDF (431KB) (199)
摘要

自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后, CRT-RSA算法的错误注入攻击一直是学术界研究的热点. 研究人员针对CRT-RSA算法提出了很多防御方案, 并针对这些防御方案提出了不同的攻击方法, 但是, 后续提出的攻击方法都是基于Bellcore攻击思想, 通过错误的结果数据或者验签的数据和正确结果数据的差和模数求公约数的方法进行攻击. 该文针对CRT-RSA算法提出了一种新的攻击方法, 该攻击方法需要针对同一明文运算两次不同错误的结果即可实现. 该方法只是利用了整数分解定理和求最大公约数运算, 计算过程和复杂度都比较简单. 考虑到实际中攻击复杂度, 该文提出了针对该方法的优化方案, 使用了选择明文方式进行错误攻击攻击实验, 并通过仿真方式证明本方法的可行性. 仿真表明, 该方法具有较低的复杂度, 不到1秒钟即可实现1024位CRT-RSA算法密钥的破解. 该方法同样适用于密钥长度更长的CRT-RSA的破解. 由于只需要两次独立错误很大概率上即可恢复密钥, 因此, 本攻击方法具有很强的可行性, 本文针对这种攻击方法提出两种防御方案, 以抵御这种错误注入攻击手段.

流密码的设计与分析:回顾、现在与展望

张斌, 徐超, 冯登国
2016, 3(6): 527-545. 全文: PDF (1123KB) (506)
摘要

流密码的设计与分析一直都是密码学中的核心问题之一. 上世纪40年代, Shannon证明了一次一密体制在唯密文攻击下在理论上的完善保密性, 激发了流密码研究的热潮, 自此流密码的设计都是围绕着如何产生接近完全随机的密钥流序列来进行, 发展出了基于线性反馈移位寄存器(LFSR)的若干设计范例, 许多基于此而设计的流密码纷纷被提出, 比如用于GSM通信安全的A5/1和蓝牙加密算法E0等, 同时也出现了像RC4等基于随机洗牌的设计范式. 在欧洲NESSIE和eSTREAM计划之后, 流密码的设计日趋多样化, 大量基于非线性反馈移位寄存器(NFSR)和基于分组密码扩散与混淆模块而设计的算法相继被提出, 以抵抗基于LFSR线性性质而发展的(快速)相关攻击与(快速)代数攻击等. 本文将首先回顾流密码设计与分析的发展历程, 系统地综述流密码设计与分析中的若干关键技术与方法, 同时介绍了目前最新的研究成果, 以及这个方向上目前需要解决的一些关键问题, 最后试着展望了一下未来流密码的发展方向.

REESSE3+算法抵抗差分攻击的分析

董大强, 殷新春, 苏盛辉
2016, 3(5): 516-526. 全文: PDF (567KB) (189)
摘要

REESSE3+算法是2014年由苏盛辉教授提出的一个8轮迭代的分组密码算法. 由于REESSE3+算法受到了来学嘉教授提出的IDEA算法的启发, 采用了混合3个不相容的群运算来保证其安全性, 因此对于REESSE3+算法在遇到差分攻击时的安全性问题, 本文采用了来学嘉教授提出的马尔可夫密码模型进行论证. 马尔可夫密码模型通过马尔可夫密码所对应的概率转移矩阵或其对应的马尔可夫链来得到该马尔可夫密码在面对差分攻击时是否是安全的, 或者至少需要多少轮迭代才能安全. 在本文中我们首先给出了REESSE3+(m)算法的定义, 然后我们证明了REESSE3+(m)是属于马尔可夫密码的, 并且我们还给出了REESSE3+(16)算法所对应的概率转移矩阵的生成算法, 再通过REESSE3+(16)算法所对应的概率转移矩阵证明了REESSE3+(16)算法需要16轮迭代才能抵抗差分攻击. 由于REESSE3+算法只有8轮迭代, 所以在分组长度为16位时, 该算法是不能抵抗差分攻击的; 之后我们证明了REESSE3+算法所对应的概率转移矩阵具有非对称性, 并且其对应的马尔可夫链具有非周期性, 结合IDEA算法的证明过程, 我们推测REESSE3+算法在16轮迭代后是足够抵抗差分攻击的, 至于REESSE3+算法中给出的8轮迭代的安全性还有待进一步考证.

信息集攻击算法的改进

李梦东, 蔡坤锦, 邵玉芳
2016, 3(5): 505-515. 全文: PDF (537KB) (179)
摘要

在信息论和密码学中, 线性码有各种不同的应用. 其中随机线随性码有很多困难问题, 如伴随式译码问题是已知的NP-hard问题. 随机线性码的译码问题是基于纠错码的密码方案所依赖的计算困难问题. 它是抵抗量子计算机攻击的候选方案之一. 关于这一问题的求解方法目前仍然是指数时间的, 但最优译码算法的运行时间也在不断改善,其中信息集译码的Stern算法[4], 其运行时间复杂度为. 最近, May等人设计了MMT算法[6], 使得运行时间复杂度降为, 空间复杂度降为. May等人提出伴随式译码的子问题, 即子矩阵匹配问题, 这使得我们可以寻找更加有效的方法来解决进而解决伴随式译码问题. 针对May提出的MMT算法及其优化的参数, 我们提出一种改进MMT算法, 主要的改进有两方面, 首先, 分解索引的枚举范围, 然后是索引集合的大小; 主要的思路依然是集中在列表的生成方式上, 得到的时间复杂度为, 空间复杂度为. 改进后的MMT算法不但在时间上有所提高, 而且在空间上占有一定的优势. 近期May等提出了Nearest Neighbor算法, 它的在时间复杂度上占有绝对的优势, 以后的工作可以分析Nearest Neighbor算法, 对MMT算法进一步提高.

对约减轮数Skein-1024的Boomerang区分攻击

吴广辉, 于红波, 郝泳霖.
2016, 3(5): 492-504. 全文: PDF (598KB) (155)
摘要

Skein算法是美国国家标准与技术研究所(NIST)开启的SHA-3竞赛中的五个候选算法之一, 虽然Skein没有成为最终的SHA-3标准, 但其在实现效率及安全性方面也十分优秀, 尤其是软件实现方面, 要高于SHA-3获胜算法Keccak, 所以在一些领域也会有潜在应用价值, 对其的分析依然有着重要意义. 目前已经有很多学者对该算法进行了安全性分析. Boomerang攻击方法是一种自适应选择明密文攻击, 由Wagner在1999年提出. 它起初是一种分组密码分析方法, 在近几年相继被应用于BLACK、SHA-256等杂凑算法分析中并取得了不错的结果, 目前这种方法已经成为杂凑算法的一种重要分析方法. 本文以Boomerang攻击为主要攻击手段, 首次对Skein-1024算法进行了Boomerang区分攻击. 根据文中给出的差分路线, 我们对Skein-1024算法进行了33轮、34轮和36轮的Boomerang区分攻击, 攻击的复杂度分别为2258.34、2345.52和2890. 同时, 本文找到28轮的Boomerang四元组验证了攻击的正确性. 最后, 基于Boomerang区分器, 本文也给出了39轮Threefish-1024的相关密钥恢复攻击, 可以恢复1024比特的主密钥, 攻击的时间、数据和存储复杂度分别为2593.3, 2414和245. 这是目前对Skein-1024算法最好的Boomrang区分攻击结果.

Page 1 of 9 164 records
版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司