Journal of Cryptologic Research
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
热点文章

常量噪声下带辅助输入的LPN公钥密码

程海涛, 韩刚, 钱海峰
2017, 4(5): 506-516. 全文: PDF (616KB) (94)
摘要

在STOC 2009上, Dodis, Kalai和Lovett研究了(静态的)带有指数级难以求逆辅助输入的LPN (Learning Parity with Noise)问题的困难性, 他们通过引入一个新的假设(被称为带噪声的子空间学习问题, Learning Subspace with Noise)证明了LPN问题在高噪声条件下是准多项式(quasi-polynomial)困难的, 然而他们的结果并未在LPN 的标准假设下得到证明. 本文将介绍Yu(ePrint 2009/467) 以及Goldwasser等人在ITCS 2010上提出的``从子空间中取样(sampling from subspace)''技术, 利用该技术Yu等人(CRYPTO 2016)证明了标准LPN蕴含了一种新的健壮的(抗泄漏)工作模式. 换而言之, 常量噪声(constant-noise)的LPN在带有亚指数级难以求逆的辅助输入时仍具有与标准LPN假设下可比拟的安全性. 更进一步,在亚指数级困难(即),  n为密钥大小)常量噪声LPN假设下, Yu 等人(CRYPTO 2016)基于poly-logarithmic熵源得到一种LPN问题变体, 并进一步构造CPA/CCA 安全公钥加密(PKE)方案和不经意传输(oblivious transfer, OT) 协议, 从而证明了标准LPN蕴含公钥加密. 在此之前(特别是自Alekhnovich发表在FOCS 2003的工作以来), 如何在常量噪声LPN假设下构造PKE和OT一直是未解决的公开问题.

基于联立丢番图逼近的子集和问题启发式求解算法

王保仓, 卢珂
2017, 4(5): 498-505. 全文: PDF (490KB) (90)
摘要

子集和问题是计算机科学中的一个重要问题, 也被应用于公钥密码和伪随机函数的设计. 学界已提出多个求解一般子集和问题的通用求解算法及求解特定子集和问题的特殊求解算法. 本文通过建立子集和问题和联立丢番图逼近问题之间的联系, 提出一种新的子集和问题启发式求解算法. 该算法由给定的子集和问题构造联立丢番图逼近问题, 使用格归约算法寻找该联立丢番图逼近问题的解, 由此构造与原始子集和问题线性无关的新的子集和问题, 从而达到降低原始子集和问题维数的目的; 最后, 通过n-1个联立丢番图逼近问题的解来构造n-1个线性无关的子集和问题, 并通过求解一个由n个变量和n个线性方程构成的方程组来求解原始子集和问题. 基于联立丢番图逼近的子集和问题启发式求解算法为子集和问题研究提供了新的思路.

基于格的后量子密钥交换研究

刘亚敏, 李祥学, 刘晗林
2017, 4(5): 485-497. 全文: PDF (548KB) (215)
摘要

理论上量子算法可高效破解基于整数分解类和离散对数类等经典数论假设的密码体制; 近年来量子计算机的研制进展迅速, 使经典公钥密码面临现实威胁. 因此, 设计后量子密码系统是当前密码学研究以及标准制定中的重要课题. 其中以后量子密钥交换协议的需求最为迫切, 因此成为近年来的热点研究方向. 本文主要关注基于格上的计算困难问题, LWE, 环LWE和模LWE设计的后量子密钥交换协议, 尤其是最基础的无认证密钥交换协议, 包括BCNS15, NewHope/NewHope-Simple, Frodo, Kyber.KE等. 本文将介绍这些协议中的关键技术, 参数选取, 以及通信量, 计算效率和安全性等指标.

基于格的哈希证明系统的构造综述

来齐齐, 杨波, 禹勇, 陈原, 顾小勇
2017, 4(5): 474-484. 全文: PDF (1015KB) (155)
摘要

自从2002年Cramer和Shoup首次提出哈希证明系统(Hash Proof System)的概念以来, 人们逐渐发现了其所蕴含的巨大密码学价值. 作为对某一个NP语言的特殊非交互式零知识证明系统, 哈希证明系统在密码学理论的发展过程中有着不可替代的作用. 到目前为止, 对哈希证明系统的研究依然是密码学界一个热点话题. 尤其是随着后量子密码时代的到来, 对具有抗量子计算攻击特性的哈希证明系统的研究显得更为重要. 本文首先概述了哈希证明系统的概念、密码学用途及在传统困难假设下的一般化构造方法. 然后分别给出哈希证明系统、基于身份哈希证明系统和基于属性哈希证明系统的形式化定义以及各个定义中的关键点. 最后, 着重对基于格困难问题构造哈希证明系统的研究现状进行了总结和梳理,分析了一些具有代表性的已有构造的特点, 并指出当前基于格构造哈希证明系统的研究过程中所面临的一些问题.

后量子密码专栏序言

郁昱
2017, 4(5): 472-473. 全文: PDF (140KB) (158)
摘要
密码技术是信息安全的核心技术, 是网络空间安全的基石. 随着互联网的普及和信息技术的迅猛发展, 密码学的重要性日益凸显. 早期的密码学仅用于军事外交等少数机要通信的应用场景, 所使用的密码算法也主要集中于流密码等对称密码算法. 直到1976年, Diffie和Hellman在《密码学的新方向》中首次提出了公钥密码的思想, 开启了密码学的新时代. 经过40余年的发展, 公钥密码算法取得了巨大成功, 诸多代表性算法(如RSA加密算法、Diffie-Hellman密钥交换协议、ECDSA签名算法)相继问世且被广泛应用于我们的现实生活中, 保障着我们的数据财产安全和个人隐私.
然而随着量子计算理论的发展, 一些经典(图灵机)模型下的困难问题被发现在量子计算模型下可以被有效求解, 如Shor算法能够在量子模型下多项式时间内解决经典的离散对数问题和大整数分解问题. 换而言之, 一旦有足够规模的量子计算机诞生, 这将给现有的公钥密码体系带来灾难性的后果.
虽然量子计算机能否实现或何时实现还存在争议, 但各国政府及研究机构已发起了设计在经典和量子计算模型下安全的各类公钥密码算法的重大研究计划, 从而达到逐步替代现有密码算法以确保信息安全的目的. 目前, 该研究方向已成为一个极重要和活跃的新兴密码学研究方向, 通常被称为``后量子密码学(Post-Quantum Cryptography)''或``抗量子密码学(Quantum-Resistant Cryptography)''. 许多发达国家已着力加强后量子密码的研究, 并设立了各类重大研究支持计划, 如欧盟的SAFEcrypto项目、日本的CryptoMathCREST密码项目等. 此外, 美国国家安全局(NSA)已于2015年8月宣布了抗量子密码算法的迁移计划. 同年, 美国国家标准与技术研究院(NIST)举行了``后量子世界的网络安全研讨会(Workshop on Cybersecurity in a Post-Quantum World)'', 并宣布将于2017开始征集后量子公钥密码算法, 并用3–5年的时间对征集的算法进行评估.
根据底层困难问题的不同, 后量子密码主要可以分为: 基于编码的密码, 基于格的密码, 基于哈希的密码, 以及基于多变量的密码. 除了之外, 近几年还有一些其它抗量子攻击特性的密码体制, 如David Jao 等人基于普通椭圆曲线或超奇异椭圆曲线同源问题提出的密码算法.
在本期《密码学报》``后量子密码''专栏中, 我们刊登了4篇论文, 希望对从事这一研究方向的同行有参考价值.
第1篇论文题目是《基于格的后量子密钥交换研究》. 对后量子密钥交换协议的需求在几种后量子公钥密码原语中是最紧迫的, 而基于格构造的密钥交换协议在参数尺寸和计算效率方面均有不错的表现, 因此广受关注. 该论文主要总结了近年来基于格构造的几类实用化密钥交换协议的发展, 介绍了其中使用的关键技术, 并对它们的计算效率和通信量等指标进行了比较.
第2篇论文题目是《基于格的哈希证明系统的构造综述》. 哈希证明系统是针对于某一个NP语言的特殊非交互式零知识证明系统, 在可证明安全的公钥密码学理论的发展过程中有着不可替代的重要作用. 虽然经过了十多年的深入研究, 该密码学原型依然是多种新型密码学方案和协议构造的基础. 本论文较全面地总结了基于格困难假设构造哈希证明系统的主要研究进展, 并指出了目前相关构造过程中所面临的一些问题.
第3篇论文题目是《基于联立丢番图逼近的子集和问题启发式求解算法》. 子集和问题是计算机科学中的一个重要问题, 也被应用于抗量子公钥密码和伪随机函数的设计. 本文通过建立子集和问题和联立丢番图逼近问题之间的联系, 利用联立丢番图逼近生成子集和问题, 这新生成的子集和问题与原始的子集和问题是线性无关的, 这样就可以构造一个线性方程组. 通过求解这个线性方程组, 进而得到原子集和问题的解.该启发式求解算法为子集和问题研究提供了新思路.
第4篇论文的题目是《常量噪声下带辅助输入的LPN公钥密码》. Learning Parity with Noise(LPN)是著名的解码线性随机码问题, 同时也是Learning With Errors(LWE)在二元域上的简化版. LPN在最坏意义下是NP完全问题, 也是在量子模型下计算困难问题. 该文介绍了如何基于常数噪音的LPN问题构造可证明安全的后量子公钥密码算法.
最后, 我们希望通过该专栏能进一步加深大家对后量子密码的认识与了解, 激发密码工作者对后量子密码的研究兴趣, 并积极投身于后量子密码算法的研究中, 为我国网络空间安全的发展作出贡献.

一种新型抗功耗分析的电流平坦化电路有效性研究

顾勇, 王晨旭, 周童, 管旭光, 罗敏
2017, 4(5): 458-471. 全文: PDF (4689KB) (50)
摘要

差分功耗分析是一种有效的密码芯片侧信道攻击方法, 攻击者通过监测芯片的功耗曲线就可以分析出芯片内的密钥, 对密码设备的安全性造成了严重威胁. 为提高密码芯片抗功耗分析攻击的能力, 本文提出了一种基于功耗平衡原理的新型电流平坦化电路, 该电路独立于密码算法实现, 不影响密码芯片的原有设计流程. 电流平坦化电路增加了电路的可配置性控制电流, 实现了平坦电流的分级灵活控制, 减小了系统相对功耗, 又能够灵活适配于具有不同峰值电流的密码芯片, 使电流平坦化电路的应用变得更加灵活, 增强了系统的鲁棒性. 电流平坦化电路由可配置电流检测模块、可配置参考电压模块、电流补偿模块、基准电流模块、折叠共源共栅放大器、无源低通滤波器六部分组成. 本文采用SMIC 65 nm CMOS工艺对电路进行了设计与实现, 芯片核心电路面积0.071 mm2, 功耗小于5 mA. 实测结果表明: 该电路能在较宽的频率范围内有效工作, 2.17 ns响应时间及时隐藏密码芯片的电流变化, 平坦化电流值0--32 mA 可配置调节, 电源端的电流波动衰减可达96%.

高效防重放体域网IBS方案

黄一才, 张星昊, 郁滨
2017, 4(5): 447-457. 全文: PDF (899KB) (38)
摘要

对体域网中广播消息的认证是防止传感器节点接收攻击者恶意控制指令的关键步骤, 数字签名是解决消息认证的有效方法. 由于体域网层次结构及节点计算和存储资源的限制, 无法支撑基于数字证书的公钥密码体制. 基于身份的数字签名更适合在人为操作较少的传感器网络中实现, 但当前随机预言机模型下的IBS方案在现实场景中的安全性还存在争议, 而标准模型下的IBS方案往往计算量较大. 因此, 基于Paterson方案提出一种高效的体域网IBS方案, 并在标准模型下将方案的安全性归约于CDH问题假定. 首先对Paterson方案、$\text{李}$-姜方案和谷方案中存在的问题进行了分析和研究; 其次, 在体域网通信模型下, 设计了一种新的参数构造方式, 结合在线/脱线联票机制, 不仅降低了方案的在线计算量, 更大大减小了签名算法的公开参数规模, 且安全性证明在询问阶段不会中止; 最后, 通过理论分析和实验测试证明了签名的不可伪造性和方案的效率. 与以往标准模型下可证安全的签名方案相比, 该方案具有更高的效率, 更适合体域网等资源受限的应用场景.

缩减轮数的Keccak区分器攻击

刘新光, 周界, 于红波
2017, 4(5): 431-446. 全文: PDF (1911KB) (90)
摘要

2012年, Keccak在SHA-3算法竞赛中脱颖而出成为SHA-3算法标准. 自此之后对Keccak算法的分析成为研究热点. 本文探究的是对缩减轮Keccak杂凑函数的差分区分器攻击. 在已有研究中, Sourav 和Meier等提出了一种6轮的Keccak区分器, 该区分器基于TDA算法、Double Kernel结构和Keccak内部置换的差分传播特性, 得到的区分器复杂度为252. 本文在上述结果的基础上, 首先改进了Willi Meier等提出的差分路径, 得到了一个更优的6轮差分区分器, 该结果为目前已知最好的6轮差分区分器, 数据复杂度为228; 接着文章探究7轮的差分区分器,按照新的差分路径, 文章得到了新的7轮差分区分器, 但是因为在差分路径中Keccak内部函数的扩散作用, 增大了得到该差分路径的数据复杂度. 文章通过对于S盒性质的分析, 提出了一种S盒控制技术, 通过忽略一些对结果中的偏置位没有影响的S盒, 能够很好地降低得到该区分器的数据复杂度, 从而保证在7轮之后的输出中存在偏置位, 得到了一个复杂度为268的7 轮Keccak 区分器.

广义多项式函数单圈性判定的一个新证明

瞿成勤, 周学广
2017, 4(5): 423-430. 全文: PDF (356KB) (104)
摘要

T-函数是由Klimov和Shamir在2002年提出的一类新的非线性函数, 这种函数软硬件实现速度快、效率高, 而且所生成的序列线性复杂度高、稳定性强, 故有望代替线性反馈移位寄存器, 成为新的序列密码设计的非线性驱动环节. 多项式函数作为一类密码学中常用的T-函数, 其可逆性、周期性一直是相关研究中的重要问题, Klimov利用函数的代数正规型给出了多项式函数是单圈的充分条件, 同时借助于``bit-slice''方法和参数的概念给出了广义多项式函数是置换的充分条件. 进一步地, 刘卓军等借助于徐克舰的2-adic整数的乘法公式,给出了函数单圈性的判定定理. 本文利用1-Lipschitz函数模2-微分理论, 发展使用模4-微分确定遍历变换的技术, 并结合``bit-slice''方法, 给出函数遍历性判定的一种新方法, 进而给出了此类函数单圈性判定定理的一个新证明.

对PICO和RECTANGLE的零相关线性分析

马楚焱, 刘国强, 李超
2017, 4(5): 413-422. 全文: PDF (1177KB) (0)
摘要

混合整数线性规划是一种解决优化问题的常用方法. 2012 年, Mouha 等人首次将该方法应用于密码算法的安全性评估, 成功实现了对活跃S盒数下界的求解. PICO和RECTANGLE均为SPN型结构的轻量级分组密码算法, 目前对于这两种算法的零相关线性分析研究尚待完善. 本文首先针对PICO算法的零相关线性逼近问题, 建立基于混合整数线性规划的模型并进行路径搜索, 找到大量7 轮PICO算法的零相关线性逼近, 优于设计者给出的4轮零相关线性逼近. 进一步地, 通过构造7 轮多维零相关线性区分器, 对含白化密钥的10 轮PICO算法进行密钥恢复攻击. 该攻击能够恢复共50比特轮子密钥, 其时间复杂度为268.7次10轮PICO 加密, 数据复杂度为263.3个已知明文, 存储复杂度为242.3字节. 最后, 本文针对RECTANGLE算法的零相关线性逼近问题, 采用类似方法进行搜索, 同时借助算法本身的传播性质, 找到了208条8轮RECTANGLE的零相关线性逼近, 并给出了11 轮RECTANGLE 的零相关线性攻击. 该攻击可恢复共44比特轮子密钥, 其数据复杂度为263个已知明文, 时间复杂度为2107次11轮RECTANGLE 加密运算.

密码服务API通用可组合框架

徐开勇, 袁庆军, 谭磊, 陆思奇
2017, 4(4): 405-412. 全文: PDF (2138KB) (205)
摘要

密码服务API是各类信息系统获取密码服务的入口, 为信息系统的密钥协商、信息加密和身份认证等提供密码算法的调用与处理, 当前攻击者针对API设计缺陷或漏洞, 绕过系统安全策略或者非正常调用密码处理过程, 从而达到欺骗密码服务系统, 获取密码系统内部的密码资源或秘密信息. 本文通过研究密码服务API功能函数组合应用的安全性证明问题, 提出了密码服务API 的通用可组合框架, 旨在通过形式化分析方法对密码服务API的安全性进行验证. 在通用可组合安全框架下, 添加了支持密码服务API全局状态的记录、读取和操作, 提出了密码服务API通用可组合安全框架. 对理想模型下、现实模型下和混合模型下的密码服务API执行过程进行了形式化描述, 通过基础定理的证明验证了在API通用可组合框架下, 以API基础功能为基础, 验证复杂API安全性是可行的.

格上高效的基于身份的环签名体制

贾小英, 何德彪, 许芷岩, 刘芹
2017, 4(4): 392-404. 全文: PDF (1576KB) (277)
摘要

环签名由于具有无管理者和完全匿名的特性, 在电子投票、电子货币及匿名举报等方面有着广泛的应用. 基于身份的环签名是基于身份的公钥密码技术与环签名技术的融合, 既具有环签名的匿名性和不可伪造性, 又避免了传统公钥框架下复杂的用户数字证书管理. 传统的基于身份的环签名方案一般基于双线性对构造, 而量子计算技术的发展为密码带来新的挑战, 传统意义下的困难问题在量子计算环境下不再安全. 格密码作为一类抗量子计算攻击的公钥密码体制, 近年来备受关注. 本文提出了一种格上基于身份的环签名体制, 给出了基于身份的环签名方案安全模型的形式化定义, 将不可伪造性归约到格中小整数解的困难性, 在随机谕言模型下证明了所提出方案的完全匿名性和不可伪造性. 现有的格上基于身份的环签名方案还很少, 且离实用还有一定的距离. 由于采用了维数无扩展的格基委派技术和拒绝抽样技术, 本文方案与现有的方案相比, 具有更高的计算效率、更低的通信和存储开销, 更具有实用性.

单能量迹线水平分析及其延伸性分析

张翌维, 王宇建, 唐有, 张亮亮
2017, 4(4): 384-391. 全文: PDF (18574KB) (83)
摘要

针对密码算法硬件实现的侧信道分析技术可以利用芯片执行密码操作时采集到的功耗或电磁辐射能量迹线将秘密信息提取出来. 差分功耗分析、相关性功耗分析、互信息分析等许多攻击方式需要对大量的能量迹线进行统计处理. 模板攻击尽管有可能在攻击阶段采用一条能量迹线匹配成功, 但是模板建立阶段也需要大量的能量曲线进行建模. 这些攻击可以归为垂直攻击. 对于公钥密码系统中的模幂操作, 可以利用一条能量迹线的不同部分进行水平相关攻击获取指数的全部比特. 这种攻击的威胁相对会更大. 与简单功耗分析不同, 水平相关攻击采用了统计处理, 可以攻击受到保护的模幂实现. Clevier 等展示了水平相关攻击的一个实际例子. 它攻击了Square-and-Multiply模幂的软件实现, 从RSA明文已知的加密操作能量迹线中提取出迹线片段, 给出如何决定幂指数的比特值. 针对常用的安全模幂算法, Square-and-Multiply Always和Montgomery Ladder算法, 本文分析了不同操作数的算法演化过程以及如何开展水平相关攻击. 本文还给出了在硬件VLSI实现下的验证实验结果, 仅采用一条电磁辐射能量迹线, 对这些模幂算法都取得了显著的相关性分析效果. 为水平分析应用于更多的非对称密码安全实现, 提供了有效例证和延伸性思路.

GL(4,F2)上4*4轻量级MDS矩阵分析

蔡彩玲,唐春明,余玉银,高隆,赖媛
2017, 4(4): 372-383. 全文: PDF (1362KB) (166)
摘要

MDS 矩阵广泛地应用于密码设计中, 其中构造轻量级 MDS 矩阵成为越来越多研究者的关注热点. 首先, 本文通过分析GL(4, F2)上 44轻量级 MDS 矩阵的结构特点, 给出 MDS 矩阵的搜索算法和设置初始搜索条件为所有满足 Rank(A)=m, Rank(A+I)=m 且 # A=1的矩阵A. 运用 Magma 软件, 得到类型L1, L2, L3 在GL(m, F2)上互相不等价且异或数等于 10 的44 MDS 矩阵的个数分别为24,24,12(m=4), 80640,80640,0 (m=8). 接着, 我们通过对比分析GL(4, F2)上异或数等于10的60个 MDS 矩阵的构成矩阵, 指出虽然类型1与类型2的结构不同且相应的 MDS 矩阵都互相不等价, 但类型1的24 个构成矩阵 A、B、X都分别与类型2的24 个构成矩阵A、B、X一一对应相同, 并详细地总结了3 种类型间对应的异同点. 其次, 我们对满足搜索条件的矩阵A进行分类并研究矩阵A的逆、转置、平方等形式在GL(4, F2)上的异或数和性质. 运用这些性质, 可以简洁明了地说明类型1 与类型2的构成矩阵存在一一对应相同关系以及两种类型2 得到的 MDS 矩阵是等价关系的原因. 最后, 本文把在 GL(4, F2)上分析矩阵性质的方法推广到 GL(8, F2) 上, 该方法不仅可以排除大量不满足要求的矩阵, 而且对设计和搜索GL(8, F2)上的轻量级 MDS 矩阵都起着重要的作用.

一种基于SRAM PUF的安全双向认证协议

刘丹,郭丽敏,俞军,王立辉,单伟君
2017, 4(4): 360-371. 全文: PDF (11607KB) (205)
摘要

物联网时代, 海量的各种设备通过网络相互连接, 在带来了方便的同时, 也把这些资源有限的设备暴露在攻击者的面前. 为了对抗攻击, 数据加密和访问控制是必不可少的防护措施, 因此密钥存储和身份认证就成为关键点. 物理不可克隆函数(Physical Unclonable Function, PUF)是一种硬件安全组件, 它基于芯片制造过程中的随机偏差, 使得每个PUF具有唯一性并且物理不可克隆, 它的常见应用是密钥存储和身份认证. SRAM PUF是利用芯片中广泛存在的SRAM作为PUF, 由于制造的随机偏差使得SRAM的cell中, 设计上对称的晶体管, 实际上却存在微小的差异, 最终表现在不同的SRAM上电初始值完全不同. 由于环境噪声的影响, 同一个SRAM上电初始值不完全相同, 呈现出一定的随机性. 目前通用的双向认证协议中, 使用对称加密算法加密随机数来实现, 加密的密钥是固定的, 存在被侧信道分析获得的风险. 本文提出一种基于SRAM PUF的双向认证协议, 在原有的协议基础上, 使用认证双方能够一致获得的随机密钥, 这样使得侧信道分析不再有效, 只增加了很小的开销就可以明显提升安全性, 非常适合于资源有限的轻量级设备.

轻量杂凑函数LHash快速软件实现

郎欢, 张蕾, 吴文玲
2017, 4(4): 345-359. 全文: PDF (22838KB) (159)
摘要

轻量级密码算法是适宜物联网等资源受限环境的密码算法. 随着物联网等应用的推广普及, 物联网设备采集的数据经轻量级密码算法处理后大量汇集到云端, 在云端高性能计算机需要对加密数据进行快速解密, 因此, 轻量级密码算法的快速软件实现技术成为一个重要的研究内容. LHash 是一个低功耗的轻量级杂凑函数, 具有灵活可调的参数, 设计者给出了4种建议规模. 本文探讨LHash算法的软件优化实现方法. 利用SSE指令和nibble-slice技术, 我们给出了轻量杂凑函数LHash的软件优化实现, 和目前基于查表的软件实现相比有明显优势. 对于LHash的4种建议规模, 在Intel Core i7-2600 处理器上, 相比于查表方法, 采用SSE指令的软件实现性能分别提高了 ;采用nibble-slice 技术的软件实现性能分别提高了 倍. 采用SSE指令和nibble-slice 技术的LHash 软件实现不存在内存或高速缓存查表21.85%, 21.85%, 32.03%, 33.33%; 采用nibble-slice 技术的软件实现性能分别提高了2.74, 2.74, 3.02, 3.16倍. 采用SSE 指令和nibble-slice 技术的LHash软件实现不存在内存或高速缓存查表, 因此, 该软件实现方法可抵抗缓存计时攻击等侧信道攻击. 此外, 本文中所使用的方法同样适用于轻量分组密码算法LED.

轻量级分组密码算法ESF的相关密钥差分分析

尹军, 宋健, 曾光, 马传贵
2017, 4(4): 333-344. 全文: PDF (2109KB) (493)
摘要

差分密码分析是对分组密码比较有效的攻击方法之一, 寻找高概率的差分特征是攻击的第一步. Matsui的分枝定界算法是第一个经典搜索差分特征的方法, 获取能够抵抗差分攻击的安全界; 此外, 计算活跃S盒数量的下界是另外一种评估分组密码抵抗差分攻击的方法. 在2011 年, Mouha等人将计算活跃S盒数量的问题转化成混合整数线性规划问题, 应用于面向字的分组密码. 在2014 年亚密会上, Sun等人扩展了Mouha等人的方法, 对面向比特的分组密码, 在单密钥和相关密钥模型下计算最小活跃S盒数量的下界. 本文基于Sun等人的自动化差分特征搜索方法, 结合轻量级分组密码ESF 设计特点, 建立相关密钥下的MILP 模型, 得到10 轮和11轮ESF 最优相关密钥差分特征概率分别为2-16和2-20. 最后, 利用搜索得到的11轮相关密钥差分特征, 将相应的相关密钥差分区分器向后扩展2轮, 提出了13 轮的相关密钥差分攻击, 攻击的数据复杂度为247, 时间复杂度为266.

矩阵乘积的高效可验证安全外包计算

武朵朵,来齐齐,杨波
2017, 4(4): 322-332. 全文: PDF (1314KB) (231)
摘要

云外包作为近年来各科研团队热点研究课题, 各类复杂的科学计算问题与云外包课题的结合也备受关注. 基于各类科学计算, 矩阵的高效外包计算是云计算和大数据背景下的一个非常有意义的研究方向. 通过分析得知, 目前的矩阵外包计算协议还不能高效的实现所有矩阵之间的计算, 尤其是任意非方阵之间的乘积运算. 如何在不泄露用户信息的情况下, 设计出高效可验证安全的矩阵乘积外包协议是一个有意义的研究问题. 为此, 首先利用几何学中的填补法和分割法将矩阵进行分块处理, 并结合置换函数和可逆矩阵相乘的处理操作, 设计出一个高效可验证且安全的矩阵乘积外包协议. 其次, 对提出新的矩阵乘积外包协议给出正确性、合理性、隐私性、可验证性、高效性分析及证明. 并重点分析和证明本文所提出的新的高效验证方式. 最后, 与近几年相关矩阵运算的外包协议进行对比, 我们协议不需要任何的密码学假设, 合理利用盲化技术实现矩阵外包计算, 且满足任意矩阵之间的乘积外包计算.

功能加密的紧规约安全

陈洁, 巩俊卿
2017, 4(4): 307-321. 全文: PDF (2330KB) (0)
摘要

功能加密(又译作函数加密)系统提供了比传统公钥加密更强的表达能力, 正在逐渐成为未来互联网安全机制的核心技术之一. 随着格技术和多线性技术的提出和发展, 我们已经能够为一大类功能加密系统提供具体构造. 于是, 寻找更优的解决方案也慢慢成为学术界关注的问题, 其中就包括探索紧规约安全的功能加密系统. 在证明一个功能加密系统安全性时, 我们需要构造一个规约算法, 它通过调用目标功能加密系统的一个攻击算法来解决某个计算难题. 一般情况下, 规约算法的成功概率将小于攻击算法的成功概率. 我们将两者之间的差距称为规约损失. 所谓紧规约安全的功能加密就是指, 在证明安全性时规约损失较小的功能加密方案. 紧规约安全性不但意味着好的理论结果, 也对方案的具体工程实现有积极意义. 作为最基本的功能加密系统, 身份基加密的紧规约安全构造已经出现; 但是在面对复杂功能加密系统(如属性基加密、内积加密等)时, 这些技术方法并不能带来令人满意的结果. 本文将重点总结身份基加密的紧规约构造方法, 并简单讨论目前紧规约安全的复杂功能加密的主要问题. 最后我们还将介绍功能加密领域的紧规约技术对其他密码学问题的影响.

具有高维输出的半bent弹性S盒的构造

杨婷婷, 李路阳
2017, 4(3): 299-306. 全文: PDF (456KB) (152)
摘要

在流密码的设计与分析中, 如何构造具有高非线性度的弹性S盒是一个重要的研究课题.  通常情况下, 一个性质良好的S盒需要满足以下指标: 高非线性度、弹性、高代数次数等.  但是这些指标又在不同程度上存在着相互制约关系.  寻找对这些指标进行折中优化的方法, 是构造高非线性度弹性S盒亟需解决的关键问题.  特别是非线性度和弹性, 作为衡量用于流密码中S盒安全性最重要的两个指标, 对其研究具有重大的意义.  本文提出了一种具有高维输出的半bent弹性S盒的构造方法. 设输入维数为$n$, 当$n=2k+1$为奇数时,利用映射$F_2^k\rightarrow F_2^{k+1}$, 分别通过$2^k$个不同的$k+1$ 元线性函数来构造S盒的分量函数. 类似的, 当$n=2k$为偶数时, 利用映射$F_2^{k-1}\rightarrow F_2^{k+1}$, 通过$2^{k-1}$个$k+1$元线性函数来构造S盒的分量函数. 证明了这种方法所构造出来的S 盒的非线性度都达到几乎最优, 并且与已有结果相比, 在保证相同弹性阶的情况下, 其输出维数也更高.

Page 1 of 11 202 records
版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司