密码学报
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
热点文章

基于电路计算的理性安全多方求和协议

张恩, 朱君哲, 范海菊, 李功丽
2019, 6(1): 123-132. 全文: PDF (4023KB) (0)
摘要

安全求和协议作为安全多方计算的一种实例, 在分布式数据挖掘、统计分析和电子选举等领域有着非常广泛的应用. 但是传统协议在求和过程中存在计算不公平的问题. 针对这个问题, 本文结合博弈论和密码算法, 提出了一种基于电路计算的理性安全多方求和协议. 首先对参与者在求和过程中的策略和效益进行了分析和设计, 构建了安全多方求和电路计算的概率效用模型; 然后利用改进之后的偏向0的投币协议所产生的随机字符串隐藏多方求和计算结果; 最后参与者通过逐步释放的方法揭示最后的计算结果, 同时不会泄露参与者自身的隐私输入. 本文所设计的协议不需要拥有大多数诚实参与者这个强条件, 可以有效验证成员欺诈行为、消除参与者在多方求和计算过程中的合谋动机, 从而保证每个成员在标准点对点通信网络下能够公平地获得求和结果.

理性外包计算的博弈论机制

岳朝跃, 田有亮, 张铎, 王琳杰, 王缵
2019, 6(1): 112-122. 全文: PDF (1584KB) (0)
摘要

理性外包计算是博弈论与外包计算相结合的产物, 是理性密码学研究领域的扩展. 理性外包计算的研究主要是通过设置激励, 从参与者自利的角度出发, 通过效用函数来保证计算结果的正确性、可靠性. 目前传统外包计算研究模型本身的结构较少, 特别对外包计算模型中因各参与者行为和偏好不同而可能导致外包计算任务的安全风险关注不够, 并且验证过程复杂、通信开销较高; 而现有的理性外包计算方案都需要用户执行验证才能保证外包计算结果的正确性. 针对上述问题, 本文在博弈论框架下, 基于纳什均衡设计外包计算结果正确性策略规则. 首先分析了外包计算中用户和服务器的偏好. 提出了外包计算扩展式博弈模型, 在该模型下定义了一个新的支付矩阵和效用函数; 其次, 根据博弈论的纳什均衡给出了理性外包计算模型的形式化定义; 最后, 通过实验仿真分析理性外包计算模型中的线性函数的选取条件, 确保参与者达到纳什均衡时用户不要验证外包计算结果, 也可以确保服务器诚实计算是它的最优策略. 同时, 该模型最大限度地减少了用户的费用.

博弈论在区块链中的应用研究

宋丽华, 李涛, 王伊蕾
2019, 6(1): 100-111. 全文: PDF (4274KB) (0)
摘要

区块链是比特币的底层技术, 用于分布式地存储比特币的历史交易信息. 区块链中的每个区块包含若干交易信息, 矿工一旦挖到新的区块, 就将其加入区块链, 并以密码学方式保证区块信息不可篡改和不可伪造. 为了保证系统正常运行, 区块链将经济因素集成到激励层, 为矿工提供充足的动机去寻找新的区块, 激励层主要包括经济激励的发行机制和分配机制等. 因此, 如何设计高效实用的激励层成为区块链中的关键问题. 博弈论作为现代数学的一个重要分支, 已经成为分析经济学理论的标准工具之一, 可以用来研究激励层的机制设计, 提高区块链的效率和实用性. 本文首先分析了博弈论、安全多方计算和比特币(区块链1.0)三者之间交叉的研究领域, 其中包括理性安全多方计算, 基于比特币的安全多方计算以及基于博弈论的比特币协议. 然后将智能合约(区块链2.0)应用在可验证云计算中, 使用博弈论为云计算中的委托人设计智能合约, 该智能合约可以有效地防止云服务器合谋. 最后在犯罪智能合约中引入随机参数, 构造了Random-PublicLeaks, 通过验证智能合约有效性, 发现随机性的引入降低了犯罪智能合约的成功概率.

博弈论与密码协议研究进展

王秦, 朱建明, 高胜
2019, 6(1): 87-99. 全文: PDF (627KB) (0)
摘要

博弈论与密码协议研究的都是互不信任参与方之间的交互问题. 博弈论深化了密码协议的假设条件, 由对诚实或恶意参与方的研究延展到对理性参与方的研究, 对于解决秘密共享、安全多方计算等密码协议问题能够提供重要帮助. 博弈论目前已经成为密码协议研究领域的重要理论和工具之一. 本文对博弈论在密码协议研究中的应用进行了阐释, 在介绍博弈论基本概念的基础上, 主要依据不同的博弈方法对现有文献进行了分类总结, 分别介绍了完全信息静态博弈、完全信息动态博弈、不完全信息静态博弈、不完全信息动态博弈、随机博弈、演化博弈在信息安全研究中的应用, 对密码协议等信息安全问题中的攻防对抗、防御策略选取、定量安全投资、防御者相互依赖、社会最优达成等问题的博弈论建模方法做了简要介绍, 展示了行动次序、不完全信息、系统状态、有限理性等因素在博弈分析中的影响. 本文表明了博弈论的引入对于密码协议研究的重要价值, 也指出了博弈方法本身的局限性以及其他现有研究存在的不足, 并对未来可能的研究方向提供了建议.

理性密码协议专栏序言(中英文)

薛锐, 彭长根, 田有亮
2019, 6(1): 83-86. 全文: PDF (525KB) (0)
摘要

        理性密码协议是密码学与博弈论交叉研究的新兴方向, 它扩展了密码协议和博弈理论的研究领域, 已成为当前密码领域的研究热点. 在基于密码学的安全通信中, 无论参与者是诚实的还是恶意的, 当他们达到某种通信目的时都将付出一定代价. 而往往参与者会从最大化自身利益的角度出发选择自己的行动策略, 密码协议的这种理性参与者正好与博弈论中的理性局中人相符. 密码协议是使用密码学完成某项特定的任务并满足安全需求的协议, 它偏重于协议的设计与实现, 注重协议的安全性和效率等方面; 博弈理论侧重于博弈策略及规则设计, 博弈中的各参与者更关心他们的最终收益问题. 因此, 理性密码协议从参与者的自利的角度出发, 为密码协议的设计提供了新思路, 尤其在当前云计算、大数据背景下更是如此.
        然而, 在密码协议研究方面, 传统信息安全中多数都是假设参与者是诚实的或者恶意的, 但实际中参与者往往是理性且自私的, 在此众多学者主要集中对理性秘密共享、理性安全多方计算、理性交换协议、理性认证协议、理性门限签名和理性委托计算等的研究. 在信息安全攻防博弈研究方面, 信息安全攻防策略的分析也是博弈论的重要应用, 主要也包括对入侵检测系统、信息战、容忍入侵系统等的研究. 此外, 研究者利用博弈论与密码协议研究区块链中激励层的机制设计问题, 以提高区块链的效率和实用性, 并利用博弈论的思想, 为云计算中的委托方设计了抵抗合谋的智能合约. 在博弈论框架下应用效用函数保证外包计算中计算结果的完整性, 减少外包计算对计算结果的验证过程, 提高外包计算的效率. 通过对密码协议中参与者的策略进行分析与设计, 构建电路计算概率模型, 以保证通信网络的安全. 虽然对理性密码协议的研究已取得若干研究成果, 但理性密码协议的发展仍然处于起步阶段, 存在一些重要问题有待进一步研究.
本次专刊共收集四篇质量较高的论文, 反映了我国学者近期对理性密码协议的主要研究方向, 希望对国内理性密码协议的研究者有所启示.
        第一篇题为《博弈论与密码协议研究进展》, 针对博弈论在密码协议研究中的应用进行了阐释, 分别介绍了完全信息静态博弈、完全信息动态博弈、不完全信息静态博弈、不完全信息动态博弈、随机博弈、演化博弈在信息安全研究中的应用. 对密码协议等信息安全问题中的攻防对抗、防御策略选取、定量安全投资、防御者相互依赖、社会最优达成等问题的博弈论建模方法做了简要介绍, 展示了行动次序、不完全信息、系统状态、有限理性等因素在博弈分析中的影响.
        第二篇题为《博弈论在区块链中的应用研究》, 针对博弈论、安全多方计算和比特币(区块链1.0)三者之间交叉的研究领域进行了分析, 其中包括理性安全多方计算, 基于比特币的安全多方计算以及基于博弈论的比特币协议. 将智能合约(区块链2.0) 应用在可验证云计算中, 使用博弈论为云计算中的委托人设计智能合约, 该智能合约可以有效地防止云服务器合谋. 在犯罪智能合约中引入随机参数, 构造了Random-PublicLeaks, 通过验证智能合约有效性, 发现随机性的引入降低了犯罪智能合约的成功概率.
        第三篇题为《理性外包计算的博弈论机制》, 在博弈论框架下, 基于纳什均衡设计外包计算结果完整性策略规则. 首先分析了外包计算中用户和服务器的偏好, 提出了外包计算扩展式博弈模型, 在该模型下定义了一个新的支付矩阵和效用函数. 其次, 根据博弈论的纳什均衡给出了理性外包计算模型的形式化定义. 最后, 通过实验仿真分析理性外包计算模型中的线性函数的选取条件, 确保参与者达到纳什均衡时用户不要验证外包计算结果, 也可以确保服务器诚实计算是它的最优策略. 最为重要的是, 该模型能最大限度地减少用户的外包支付费用.
        第四篇题为《基于电路计算的理性安全多方求和协议》, 结合博弈论和密码算法, 提出了一种基于电路计算的理性安全多方求和协议. 首先对参与者在求和过程中的策略进行了分析和设计, 构建了电路计算的概率效用模型. 然后利用偏向0的投币协议对计算结果进行了隐藏. 最后参与者通过逐步释放的方法揭示最后的结果. 所设计的协议可以消除成员合谋的动机, 保证了每个成员在标准点对点通信网络下能够公平地获得求和结果.

一种基于分块采样方法的格基约减算法

曹金政, 程庆丰
2019, 6(1): 73-82. 全文: PDF (1586KB) (0)
摘要

基于格理论构造的密码方案普遍被认为可以抵抗量子计算攻击, 最近几年发展更是迅猛. 格密码的安全性依赖于格中困难问题, 如最短向量问题等, 而要解这些问题需要高效的格基约减算法. 国内外学者针对格中困难问题已提出了多种基于枚举法的格基约化算法, 如LLL算法、BKZ 算法和随机采样算法(RS)等. 本文针对最短向量问题的求解, 主要对RS算法进行了分析, 并指出了其不足之处在于过大的随机性导致格性质倒退及需要生成大量向量导致复杂度过高. 本文基于以上分析, 进一步结合了分块的思想和插入指数等方法, 提出了改进型随机采样约减算法, 简称I-RS 算法. 该算法通过在局部格中的随机化采样和调整基向量的排列顺序改进格基的内部性质, 进而提升约减效果. 初步的理论分析表明, I-RS 算法在O(n3(k/6)k/4)的时间内明显改进了输出格基的长度性质, 其中2k是分块的大小. 实验表明, 新算法比RS算法和BKZ算法在约减效果和稳定性等方面有所提升, 输出向量长度较BKZ算法缩短20%, 近似因子在BKZ算法的0.95 倍以下.

一种多访问级别的动态可搜索云存储方案

刘翔宇, 李会格, 张方国
2019, 6(1): 61-72. 全文: PDF (14980KB) (0)
摘要

私人数据的云存储是近年来互联网发展的一个重要分支. 但对于私人数据而言, 将其加密后上传至云端可以保障数据的隐私性, 但会降低搜索效率; 直接上传则无法保障数据的安全性. 对称可搜索加密技术的出现推动了云存储在安全性和效率之间的平衡发展, 使得用户可以放心地将隐私数据存放到云上, 同时保留可搜索性. 但目前的对称可搜索加密技术功能还不够完善, 存在没有划分数据文档的访问级别、用户权限单一等问题. 本文结合对称可搜索加密与属性加密算法, 提出了一种多访问级别的动态可搜索云存储方案, 能够实现密文存储、关键字搜索、用户分级访问、基于属性解密文档、动态更新等功能. 实验结果也表明本方案的搜索效率较高, 能够有效满足应用需要.

基于1 - r 编码的高效百万富翁问题协议及应用

李占利, 陈立朝, 陈振华, 刘娅茹, 高彤
2019, 6(1): 50-60. 全文: PDF (572KB) (0)
摘要

安全多方计算是近年来国际密码学的研究热点, 已经成为密码学的一个重要研究方向. 本文研究的百万富翁问题是安全多方计算最基本、最重要的问题, 其本质就是保密比较两数据的大小问题. 然而, 目前已有的方案效率低下, 影响实际应用, 而且, 大多数方案不能区分两数是否相等这种情况. 针对这些问题, 本文首先给出一种新的$1-r$编码方法, 应用这种方法和给定的全序集合对保密数据进行编码, 构造一个向量, 使得保密数据与所编码的向量是一一对应的. 基于此, 本文把百万富翁问题转化为计算此向量中两个元素的乘积问题, 通过乘积结果区分两个保密数据的大小, 进而解决了原问题. 此外, 因为要保护双方的隐私, 所以本文利用同态加密算法, 设计了一个解决百万富翁问题的高效协议, 并在半诚实模型下利用模拟范例的方法证明了协议的安全性. 分析表明, 相比已有的方案, 本文的新方案不仅简单、高效, 还能够更加细粒度地进行比较. 最后, 以新方案为基础, 构造了一个具有验证机制的百万富翁协议, 并应用协议\ref{alg1}设计一个高效的保密查询数据在有序集合中排序的协议.

可多次验证的关系数据可逆水印方案

侯瑞涛, 咸鹤群, 刘红燕, 高原, 张艺
2019, 6(1): 37-49. 全文: PDF (2257KB) (0)
摘要

数字水印技术作为信息隐藏技术的一个重要分支, 具有安全性、鲁棒性、隐蔽性等特点, 是实现关系数据版权保护的有效方法. 当数据所有者怀疑他人在未经自己授权的情况下, 非法使用或分发数据时, 可从数据中检测出水印, 实现版权声明. 绝大多数的关系数据数字水印方案都存在水印使用次数受限的问题, 即水印检测时, 由于密钥和其他秘密参数的公开, 导致水印只能实现一次版权声明. 针对该问题, 提出一种可多次验证的关系数据可逆水印方案. 设计了水印嵌入算法、水印检测算法和数据恢复算法. 通过控制相关参数选择水印检测量, 实现了水印的多次验证. 使用差值扩展技术, 实现了水印的可逆操作. 最后, 通过算法的计算性能实验验证了方案具有良好的可行性; 通过水印隐藏率实验分析了水印隐藏率和水印的抗攻击能力之间的关系; 通过水印抗攻击能力对比实验证明了方案具有良好的鲁棒性.

Type-3 型广义Feistel 结构的中间相遇攻击

邓元豪, 金晨辉, 赵杰卿
2019, 6(1): 27-36. 全文: PDF (334KB) (0)
摘要

Feistel结构是设计迭代型分组密码的几种主流结构之一, 其安全性分析受到了广大密码研究人员的关注. 在Feistel结构的基础上, 又发展出多种Feistel结构的衍生结构. 郑玉良等人于1989 年提出了Type-1、Type-2和Type-3型三类广义Feistel结构, 其继承了Feistel结构加解密相似性的优点且各有特点. 董乐等人于2017年利用中间相遇攻击的方法分析了3分支的Type-1型广义Feistel结构. 邓元豪等人在Inscrypt 2017上给出了d(d>=4)分支Type-1型广义Feistel结构的中间相遇攻击. 对于Type-2型和Type-3型广义Feistel结构, 尚未有学者给出通用密钥恢复方案. 本文给出了Type-3型广义Feistel结构的一类特殊差分, 发现在该差分模式下差分特征的所有可能值小于理论上的最大值, 从而构造了区分器. 对于分组规模为n比特, 且含有d个分支的Type-3 型广义Feistel结构, 我们利用该性质构造了d+1轮中间相遇区分器. 通过在区分器头部添加1轮, 我们给出了Type-3型广义Feistel结构的d+2轮密钥恢复攻击, 恢复了第一轮全部d-1个轮函数的子密钥. 攻击的数据复杂度为2n/2个选择明文, 存储复杂度为2(d-1)n/d个分组, 每个分组n比特, 时间复杂度为2(d-1)n/d次加密. 该攻击方法是已知的对Type-3型广义Feistel 结构最好的密钥恢复攻击结果. 本文的攻击方法在密钥规模k>=n时有效.

对轻量级分组密码算法LBlock 的差分故障攻击

王涛, 王永娟, 高杨, 张诗怡
2019, 6(1): 18-26. 全文: PDF (2073KB) (0)
摘要

本文首先分析差分故障攻击的故障模型与原理, 利用S盒的差分不均匀性, 通过建立输入差分、输出差分和可能输入值之间的对应关系, 给出差分故障分析的优化方案, 实现快速归约, 提高差分故障攻击的效率. 本文通过对LBlock 算法建立对应关系, 可以快速直观缩小输入值取值空间, 进而快速确定对应扩展密钥. 对于不同故障值(输入差分), 对应的输出差分和可能输入值均不相同, 可以得到二元关系集合. 由于轻量级分组密码S 盒多为4*4 S盒, 该集合中元素较少, 注入少量不同故障值, 通过查表, 对可能输入值取交集即可快速确定唯一可能输入值. 将优化方案应用于LBlock轻量级分组密码算法, 在最后一轮输入处注入2次宽度为16 bit 的故障可恢复最后一轮轮密钥, 然后将状态回推一轮, 在倒数第二轮输入处注入2次宽度为16 bit的故障可恢复倒数第二轮密钥. 根据密钥扩展方案, 恢复两轮轮密钥后将恢复主密钥的计算复杂度降为219.

公钥密码方案构造及安全证明的知识要点和方法论

赵臻, 吴戈, 赖建昌, 蒋芃, 朱斌瑞, 穆怡, 苏西洛, 郭福春
2019, 6(1): 1-17. 全文: PDF (711KB) (0)
摘要

公钥密码是现代密码学的重要组成部分, 其研究的难点在于方案构造技巧以及安全证明技巧的双重多样性. 本文首先归纳总结了构造可证明安全的公钥密码方案所需要掌握的知识要点, 包括基本概念、数学基础、简单问题和困难问题、算法、安全模型以及安全归约证明. 这些知识要点是学习方案构造以及安全证明的不可或缺的基础部分, 也是最先需要掌握的部分. 其次, 根据作者自身的学习经历、指导学生的经验以及来自学生的反馈, 本文给出了学习构造可证明安全的公钥密码方案的方法, 包括方案构造学习、安全证明学习以及构造可证明安全密码方案. 我们推荐了30个经典的方案及其证明用于该阶段的练习. 最后, 本文列出了在学习过程中所需要思考与总结的内容, 这些内容是对所掌握的知识与技巧的提炼. 通过反复地思考与总结能够进一步加深对知识与技巧的理解. 希望这些工作能够对读者, 尤其是对基础比较薄弱的读者, 在掌握如何构造可证明安全的公钥密码方案方面起到一定的指引作用.

基于超奇异同源的认证密钥交换

徐秀, 李宝, 王鲲鹏, 薛海洋
2018, 5(6): 695-704. 全文: PDF (816KB) (163)
摘要

本文主要研究超奇异同源密码, 该密码是一种新兴的抵抗量子计算机的后量子密码. 本文利用twin版本的Diffie-Hellman问题, 提出一种基于超奇异同源的可证明安全的两轮认证密钥协议. 该协议是一种MQV-型的密钥交换协议, 继承了(H)MQV 协议的属性. 该协议是基于计算超奇异椭圆曲线间的同源的困难性问题. 针对提出的协议, 本文不仅给出了安全属性的启发式讨论, 而且在Canetti-Krawczyk的认证链路模型下证明了方案的安全性. 为了证明安全性, 本文提出了twin 版本的超奇异同源假设. 同时本文也指出, 虽然该协议与格上的方案相比密钥长度较短, 但是计算量要更大.

4 × 4 形式化 MDS 矩阵的构造与应用

张诗怡, 王永娟, 王磊,王涛
2018, 5(6): 680-694. 全文: PDF (470KB) (222)
摘要

$GL(4, F_{2})$上$4\times4$的MDS矩阵由于能提供最大分支数, 可有效抵抗差分分析与线性分析, 因此被广泛应用于分组密码线性扩散层的设计. 随着密码算法在物联网等领域的轻量化应用的急速发展, 具有较少异或总数的MDS矩阵能显著节约电路成本, 轻量级MDS矩阵的快速搜索方案在实际应用中需求迫切. 本文在研究轻量级MDS 矩阵的构造时, 提出了形式化MDS矩阵的概念: 构成元素部分已知, 且位置已定, 同时所有位置元素满足MDS矩阵的判定条件. 基于该定义, 本文首先实现了只含3个矩阵元素的$4\times4$ 形式化MDS 矩阵, $L_{i}[I, A, A^{d}]$ 的构造. 其中$I$是$4\times4$ 的单位矩阵, $i$代表形式化MDS 矩阵中$I$的个数, $o(A)=15$, $d=2, 3, \cdots, 14$. 利用有限域理论, 通过遍历$F_{2}$上阶为15的$4\times4$矩阵$A$, 本文共获得了18 432 个异或总数为13 与17 280 个异或总数为12 的轻量级$4\times4$\ MDS矩阵. 在此基础上, 通过增加构成矩阵的元素, 变换各元素间代数关系等, 进一步给出了推广的形式化MDS矩阵的构造算法. 利用该算法, 本文实现了$GL(4, F_{2})$上最优异或数为10 的$4\times4$\ MDS 矩阵的快速构造, 并分析了这些矩阵的代数结构. 本文的方法较一般穷举搜索方法极大地减小了搜索空间, 提高了搜索效率与准确率.

口令中的热词发现与分析

颜锐荣, 陈虎
2018, 5(6): 671-679. 全文: PDF (954KB) (189)
摘要

词汇是口令集的重要特征, 但是对其定量分析一直没有得到足够重视. 本文首先提出了基于有效频度的高频词汇(热词)发现方法, 较传统方法可以有效排除热词子串的干扰, 提升了热词发现的准确性. 在我们开发的热词发现软件中, 使用了压缩字典树以提高热词发现的性能. 使用上述方法, 我们得到了CSDN和RockYou两个口令集中的热词集合. 通过分析频度最高的100条热词, 我们发现了中国大陆用户和西方国家用户在口令用词方面的区别. 与现有语料库的相关性分析, 也进一步证实了两者的显著差异. 本文还提出通过余弦相似度方法来定量衡量两个口令集合在热词方面的差异. 对多个口令集合的分析表明, 这种方法可以有效区分不同地域的口令集合. 本文所做的研究工作定量地描述了口令集用词特征, 对于构造具有针对性的语料库和提升口令猜测效率具有重要意义.

对两个 SM4 白盒方案的分析

潘文伦, 秦体红, 贾音, 张立廷
2018, 5(6): 651-671. 全文: PDF (711KB) (165)
摘要

传统密码算法在设计时并未考虑算法运行平台的安全风险.  Chow等在2002年提出了白盒攻击模型, 假定攻击者具有完全控制算法运行过程的能力, 可以获取算法的运行状态、更改算法运行的中间值等.  此模型更符合密码设备在失控环境下的应用情况, 因为一个合法的用户也可能变为一个潜在的攻击者. 在这种环境下, 传统攻击模型中设计的密码算法将不再安全. 如何保护密码算法在白盒环境下的安全性, 在数字版权保护、移动终端安全等领域具有强烈的现实需求. Chow 等使用混淆与查找表等方式设计了AES、DES白盒方案, 肖雅莹等在2009年使用类似方法设计了SM4 算法的白盒方案(肖\,-\,来方案), 白鲲鹏等进一步通过复杂化内部解码编码过程以及引入更多随机数的方式设计了一个新的SM4白盒方案(白\,-\,武方案). 本文分析了这两个SM4白盒方案. 首先指出林婷婷等对肖\,-\,来方案分析的复杂度计算存在偏差(林\,-\,来分析). 具体来讲, 该分析中唯一确定了编码矩阵及仿射常数, 而实质上根据该分析方法, 编码矩阵与仿射常数存在$61 200\cdot 2^{32}$种可能取值. 进一步地, 我们改进了林\,-\,来的分析方法, 通过调整仿射常数的恢复顺序, 大幅降低了计算复杂度. 如恢复查找表外部编码的仿射常数时, 我们通过搜索等价密钥再确定仿射常数的方式只需不超过$2^{10}$次查表运算就可确定该仿射常数, 而林\,-\,来分析中获取该仿射常数的计算复杂度为$2^{46}$. 同时, 我们提出了首个针对白\,-\,武方案的第三方分析, 指出其密钥和外部编码的取值空间大小为$61 200\cdot 2^{128}$.  我们的分析表明, 肖\,-\,来、白\,-\,武方案的安全性主要依赖外部编码中仿射常数的安全性. 两个方案的线性变换部分对安全性的影响有限, 且复杂化内部编码解码过程并不能有效提高线性变换的安全性. 另外, 通过对仿射矩阵或仿射常数进行拆分来增大白盒多样性的策略只会增大白盒方案的实现难度, 而对方案的安全性并无明显加强. 这一系列发现将对白盒密码的分析与设计提供借鉴作用.

一种 SM4 算法 S 盒的门限实现方案

李新超, 钟卫东, 张帅伟, 杨晓元
2018, 5(6): 641-650. 全文: PDF (15636KB) (653)
摘要

侧信道攻击自诞生以来, 对密码算法的实现安全产生了巨大的威胁. 以DPA攻击为代表的功耗攻击作为典型的侧信道攻击方法之一, 由于具有攻击性强, 实施简单的特点, 已成为侧信道攻击领域研究最多, 应用最广的攻击方法. SM4算法作为我国的分组密码标准, 自公布之日起就受到了业界的广泛关注, 其安全性也迅速成为密码算法领域的研究热点. 在SM4算法公布后不久, 即被业内学者利用DPA 攻击成功破解密钥, SM4算法的实现安全面临重大挑战. 本文针对SM4算法如何防御二阶 DPA攻击的问题, 提出了一种基于门限实现理论抵抗二阶 DPA 攻击的新方案. 该方案通过利用正规基将 S 盒的输入变换到复合域中求逆, 再结合门限实现理论构造了一个新型 S 盒. 新的 S 盒通过将输入分成 3 组, 保证了本文方案具有抵抗二阶DPA攻击的能力; 通过引入环掩码结构和分解法求逆, 减小了方案的实现面积. 经过安全性分析, 本文方案所构造的 S盒可以有效地抵御二阶 DPA攻击. 实验结果表明, 与常规复合域掩码方案相比, 本文方案的面积减小6\%, 所需随机掩码数处于较低水平.

SPECK 系列算法不可能差分特征的分析

李明明, 郭建胜, 崔竞一, 徐林宏
2018, 5(6): 631-640. 全文: PDF (533KB) (120)
摘要

SPECK 系列算法是美国国家安全局于2013年提出的一族轻量分组密码算法. 徐洪等人通过分析模加法运算的差分扩散性质, 找到了SPECK 32/64和SPECK 48/96算法的一些新的6 轮不可能差分特征, 并给出了SPECK 32/64和SPECK 48/96算法的10轮不可能差分分析, 这是目前最好的不可能差分攻击结果. 本文进一步分析了SPECK系列算法在模整数加法差分扩散性质下的最长不可能差分特征. 首先利用徐洪等人给出的模整数加法的差分扩散性质, 分析SPECK 32算法加密方向与解密方向的差分扩散规律, 从而证明了在该模整数加法的差分扩散性质下SPECK 32算法的不可能差分特征至多6轮, 并给出了所有6轮不可能差分特征. 其次, 将该结果推广至SPECK 2$n$ (2$n$=48, 64, 96, 128)算法, 利用类似的方法, 可证明在该模整数加法的差分扩散性质下SPECK 2$n$算法的不可能差分特征至多6轮, 最后给出了其全部6轮不可能差分特征.

基于 Polar 码的 Niederreiter 公钥密码体制

杨超, 肖东亮, 顾珍珍, 储汪兵
2018, 5(6): 623-630. 全文: PDF (941KB) (179)
摘要

近几年量子计算机取得了飞速发展, 这势必会对传统密码学产生一定的影响, 而基于纠错码的公钥密码体制被认为是一类可以抵抗量子攻击的密码体制. 本文首先回顾了基于各种纠错码的公钥密码体制的研究背景, 其次重点介绍了Polar码的SC快速译码算法, 利用SC译码算法, 提出了基于Polar码的Niederreiter公钥密码体制, 其安全性建立在大矩阵分解困难性与线性分组码的译码是NP完全问题的双重基础上. 该密码体制比基于其他纠错码的Niederreiter公钥密码体制复杂度更小、实现效率更高; 通过仿真和安全性、计算效率上的分析得出该体制能抵御多种攻击, 如解方程攻击、选择明文攻击和选择密文攻击等, 是一种工作因子能达到$2^{82}$的密码体制, 可以用在需要传输的信息量小, 而对安全性要求高的场景.

对 RC4 算法的明文恢复算法研究

徐蜜雪, 斯雪明, 苑超
2018, 5(6): 612-622. 全文: PDF (3050KB) (246)
摘要

随着RC4算法输出密钥流偏差规律的不断暴露, RC4算法面临极大的安全挑战. 2013年Al Fardan 等学者利用RC4 算法输出密钥流偏差规律, 提出了一种明文恢复算法. 在他们的算法中, 利用$13\cdot2^{30}$个不同种子密钥加密同一明文得到的密文, 可以以100\%的成功率恢复明文的前256字节. 同年, 为了恢复经RC4算法加密的明文任意字节, Ohigashi 等学者提出了猜测确定攻击算法, 利用$2^{35}$个不同种子密钥加密同一明文得到的密文, 可以以100\%的成功率恢复明文的任意字节. 但是当密文量小于$2^{35}$时, 恢复成功率下降明显. 本文用$t$值统计量代替传统概率统计, 充分利用现有偏差规律, 改进了算法的猜测部分, 提出了一种更有效的猜测确定攻击算法. 利用$2^{34}$ 个不同种子密钥加密同一明文得到的密文, 可以以接近100\%的概率恢复明文的任意字节, 当密文量为$2^{33}$时, 能以超过98\%的概率恢复任意字节.

Page 1 of 15 289 records
版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司