Journal of Cryptologic Research
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
密码学报  
  密码学报--2016, 3 (6)   Published: 2016-12-30
选择 | 合并摘要
综述

流密码的设计与分析:回顾、现在与展望 Hot!

张斌, 徐超, 冯登国
密码学报. 2016, 3 (6): 527-545. ;  doi: 10.13868/j.cnki.jcr.000149
全文: HTML (1 KB)  PDF (1123 KB)  ( 1160 )
摘要 ( 408 )

流密码的设计与分析一直都是密码学中的核心问题之一. 上世纪40年代, Shannon证明了一次一密体制在唯密文攻击下在理论上的完善保密性, 激发了流密码研究的热潮, 自此流密码的设计都是围绕着如何产生接近完全随机的密钥流序列来进行, 发展出了基于线性反馈移位寄存器(LFSR)的若干设计范例, 许多基于此而设计的流密码纷纷被提出, 比如用于GSM通信安全的A5/1和蓝牙加密算法E0等, 同时也出现了像RC4等基于随机洗牌的设计范式. 在欧洲NESSIE和eSTREAM计划之后, 流密码的设计日趋多样化, 大量基于非线性反馈移位寄存器(NFSR)和基于分组密码扩散与混淆模块而设计的算法相继被提出, 以抵抗基于LFSR线性性质而发展的(快速)相关攻击与(快速)代数攻击等. 本文将首先回顾流密码设计与分析的发展历程, 系统地综述流密码设计与分析中的若干关键技术与方法, 同时介绍了目前最新的研究成果, 以及这个方向上目前需要解决的一些关键问题, 最后试着展望了一下未来流密码的发展方向.

学术论文

一种关于CRT-RSA算法的差分错误注入攻击 Hot!

李增局
密码学报. 2016, 3 (6): 546-554. ;  doi: 10.13868/j.cnki.jcr.000150
全文: HTML (1 KB)  PDF (431 KB)  ( 583 )
摘要 ( 271 )

自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后, CRT-RSA算法的错误注入攻击一直是学术界研究的热点. 研究人员针对CRT-RSA算法提出了很多防御方案, 并针对这些防御方案提出了不同的攻击方法, 但是, 后续提出的攻击方法都是基于Bellcore攻击思想, 通过错误的结果数据或者验签的数据和正确结果数据的差和模数求公约数的方法进行攻击. 该文针对CRT-RSA算法提出了一种新的攻击方法, 该攻击方法需要针对同一明文运算两次不同错误的结果即可实现. 该方法只是利用了整数分解定理和求最大公约数运算, 计算过程和复杂度都比较简单. 考虑到实际中攻击复杂度, 该文提出了针对该方法的优化方案, 使用了选择明文方式进行错误攻击攻击实验, 并通过仿真方式证明本方法的可行性. 仿真表明, 该方法具有较低的复杂度, 不到1秒钟即可实现1024位CRT-RSA算法密钥的破解. 该方法同样适用于密钥长度更长的CRT-RSA的破解. 由于只需要两次独立错误很大概率上即可恢复密钥, 因此, 本攻击方法具有很强的可行性, 本文针对这种攻击方法提出两种防御方案, 以抵御这种错误注入攻击手段.

应用于智能卡的真随机数发生器及其后处理算法的研究 Hot!

贾小艳, 乌力吉, 张向民, 吴行军
密码学报. 2016, 3 (6): 555-563. ;  doi: 10.13868/j.cnki.jcr.000151
全文: HTML (1 KB)  PDF (1505 KB)  ( 550 )
摘要 ( 241 )

本文介绍一种应用于智能卡的真随机数发生器, 并分析了以杂凑函数SM3作为后处理算法来提高其随机数的质量. 真随机数发生器是智能卡中不可缺少的一部分, 它用于智能卡中机密信息的加密和签名, 大多数加密系统的安全性依赖于随机数的不可预测性和不可重现性. 真随机数发生器的实现电路中使用固定低频时钟采样通过反馈模式来控制的的高频时钟, 采用环形振荡器在振荡过程中不断积累的抖动作为熵源,并通过三级级联的耦合方式提高输出的统计特性, 促进随机性的扩散,同时相较传统环形振荡器面积也得到了节省.电路采用SMIC 0.13μm工艺平台实现, 核心电路版图面积小于0.0156 mm2, 包括3个输入端口, 4个输出端口. 考虑到智能卡具有很高的安全需求, 本文也讨论了一些常见的攻击方式及对应的预防措施. 本文介绍的真随机数发生器已经完成了流片, 并已对芯片进行了完整的测试. 很多研究表明, 后处理算法可以提高随机数的质量, 本文表明测试数据在经过后处理之后, 可以通过随机性测试标准.

轻量级分组密码mCrypton-64的biclique分析 Hot!

袁征, 李铎
密码学报. 2016, 3 (6): 564-572. ;  doi: 10.13868/j.cnki.jcr.000152
全文: HTML (1 KB)  PDF (711 KB)  ( 532 )
摘要 ( 325 )

Bogdanov等人在2011年亚密会上提出了一种新的针对分组密码的密钥恢复攻击, 称为biclique攻击, 该攻击方法在构造biclique结构的基础上结合了中间相遇攻击的思想, 可以有效降低攻击的时间复杂度和数据复杂度. 此后这一方法被广泛用于分组密码的安全性分析. mCrypton作为一种新的能够在资源有限的硬件环境下高效运行轻量级分组密码, 其安全性备受关注. 本文首先介绍了biclique攻击的一般方法, 并给出了一个d维biclique的完整定义. 接着, 我们说明了如何通过分析密码的密钥扩展算法, 找出两条较短的且相互独立的差分路径,进而完成biclique结构的构造并利用该biclique结构进行全轮攻击. 在此基础上, 我们给出轻量级分组密码mCrypton-64的算法描述, 并利用biclique攻击对其进行分析. mCrypton-64整体采用了SP结构, 其分组长度为64比特, 密钥长度为64比特, 其加密过程包括非线性替换、比特置换、行列换位和密钥加. 最后, 我们针对mCrypton-64的密钥扩展算法找到了两条相互独立的差分路径, 进而构造出一个11~12轮的4维biclique, 利用它对全轮mCrypton-64进行了攻击, 攻击的数据复杂度为232, 计算复杂度为263.115, 均好于已有的结果.

对16轮PRESENT算法差分分析的改进 Hot!

田亚, 陈少真, 戴艺滨
密码学报. 2016, 3 (6): 573-583. ;  doi: 10.13868/j.cnki.jcr.000153
全文: HTML (1 KB)  PDF (458 KB)  ( 365 )
摘要 ( 199 )

PRESENT算法是一个SPN结构的轻量级分组密码算法, 适用于计算资源有限的环境与设备. 差分分析是攻击分组密码最为基本和有效的方法之一, 对于迭代31轮的PRESENT算法, 目前最好的差分分析结果是16轮, 使用明文全空间264个选择明文. 本文在原有差分分析结果的基础上, 根据线性P置换的扩散性质, 得出在相邻两轮中活动S盒的数目与S盒差分值的汉明重量之间的关系. 搜索差分路径时取不同位置的活动S盒, 比较6轮差分路径的结果, 在得到最多结果的位置上寻找14轮概率为262的差分路径, 从解密方向找到119个, 从加密方向找到28个. 在成功率为99%的情况下, 将16轮多差分输入值-单差分输出值分析结果的数据量由原来的264个选择明文降低到259.16个, 时间复杂度由原来的264次内存访问降低到259.16次, 存储复杂度由原来的232个6比特计数器降低到232个3比特计数器. 同时给出单差分输入值-多差分输出值的差分分析结果, 数据量为261.16个选择密文, 时间复杂度为261.16次内存访问, 存储复杂度为232个4比特计数器.

对21轮SMS4算法的多差分攻击 Hot!

宋何颖秀, 高海英
密码学报. 2016, 3 (6): 584-595. ;  doi: 10.13868/j.cnki.jcr.000154
全文: HTML (1 KB)  PDF (424 KB)  ( 413 )
摘要 ( 196 )
 
SMS4算法一种是用于WAPI的分组密码算法, 也是国内官方公布的第一个商用密码算法, 该算法公布后即引起国内外密码学界的分析热潮. SMS4算法的分组长度为128比特, 密钥长度为128比特, 加密算法与密钥扩展算法都采用32轮迭代结构. 本文的分析方法是综合利用了22817轮的SMS4的差分特征, 采用基于最优区分器思想的多差分攻击方法对21轮的SMS4算法进行攻击和分析, 针对每个实验密钥, 构造出基于多个差分特征的统计量, 根据统计量的大小判决实验密钥是否是正确密钥. 给出了多差分分析方法的计算复杂度, 分析了正确密钥、错误密钥对应统计量的概率分布规律, 在此基础上给出了多差分分析方法的成功率和数据复杂度之间的关系. 最终得出结论可以2104的数据复杂度, 2114的计算复杂度,来恢复出该算法的128比特圈子密钥. 用该结果与目前已知的对21SMS4算法的差分攻击结果进行对比我们可以看出, 攻击的数据复杂度和计算复杂度都有所降低. 基于该研究结果,我们可以得出以下结论, 在成功率相同的条件下, 基于的差分特征越多, 需要的数据复杂度和计算复杂度越小.

针对NTRU算法的新型广播攻击 Hot!

杨智超, 付绍静, 屈龙江, 李超, 谢端强
密码学报. 2016, 3 (6): 596-606. ;  doi: 10.13868/j.cnki.jcr.000155
全文: HTML (1 KB)  PDF (951 KB)  ( 379 )
摘要 ( 204 )

本文结合多次加密传送攻击和广播攻击的双重特征, 提出了一种针对NTRU算法的新型广播攻击, 并对该攻击进行了理论分析和实验验证. 攻击者首先在不稳定信道C中利用多次加密传送攻击的思想, 恢复噪声多项式ri的部分系数, 从而建立有关明文m的线性方程组. 然后在广播模型下获得足够多的线性方程组, 从而快速求解出明文m. 为充分挖掘噪声多项式的信息, 进一步减少攻击所需要的信道数量, 本文一方面利用噪声多项式之间发生的“伪碰撞”, 缩小未知系数的取值范围; 另一方面通过直接猜测ri中未知系数, 牺牲一定的正确率来获得更多信息. 通过这些方法能在有限的信道中, 建立更多关于m的方程. 理论分析表明新的攻击方法不仅将建立关于明文的方程所需引入的变量个数从原来的N+[N/2]降低到N. 而且完成一次攻击所需要的信道数也由原来的N+[N/2]-1+l减少到N/V(N,dr,k), 这里, 并且能够在O(N3)的时间复杂度下恢复明文. 实验结果表明, 新广播攻击比原有的多次加密传送攻击、广播攻击更加高效, 它对于更高安全等级的NTRU算法攻击仍然有效.

基于动态变色龙认证树的一次签名方案 Hot!

王红伟, 徐剑, 倪盼, 周福才
密码学报. 2016, 3 (6): 607-618. ;  doi: 10.13868/j.cnki.jcr.000156
全文: HTML (1 KB)  PDF (496 KB)  ( 476 )
摘要 ( 333 )

一次签名是数字签名的一种,主要使用单向函数对消息进行签名. 一次签名相对于公钥签名更加高效, 因而在传感器网络等轻量级计算环境中有着很好的应用前景. 然而, 为了保障安全性, 一对密钥只能用于对一条消息的签名, 为不同的消息生成不同的密钥造成了密钥管理过程过于复杂. 已有的一次签名方案只能支持有限数量的一次签名, 且代价开销较大. 因此, 构建了一种基于动态变色龙认证树的一次签名方案. 首先, 将可扩展的动态变色龙认证树与一次签名结合, 给出了方案的形式化定义, 包括密钥生成算法、签名算法和验证算法, 并且介绍了每个算法的详细设计,同时对方案的构建过程进行了详细描述; 其次, 在动态变色龙认证树的结构保持性和单向性定义的基础上, 对方案的安全性进行分析, 所构造的方案在适应性选择明文攻击下是不可伪造的; 最后, 将本方案与已有方案进行比较, 结果表明该方案不仅支持无上限数量的一次签名, 同时, 方案的平均签名长度更短, 密钥生成、签名以及验证的效率更高.

基于随机预言模型的量子仲裁签名方案安全性分析 Hot!

雷奇, 尚涛, 刘建伟
密码学报. 2016, 3 (6): 619-628. ;  doi: 10.13868/j.cnki.jcr.000157
全文: HTML (1 KB)  PDF (480 KB)  ( 418 )
摘要 ( 211 )

量子密码协议的安全性分析是量子密码学中一个重要的研究方向. 随机预言(Random Oracle, RO)模型作为经典密码学中密码协议分析的有效工具,在量子密码学中的有效性是值得探讨的研究问题. 目前,量子密码协议仍然缺少通用的分析方法. 本文选取了基于非正交量子态的量子仲裁签名方案作为分析对象, 来说明基于随机预言模型的安全性分析方法的有效性. 其中, 量子仲裁签名方案采用了非正交量子比特传输信息来保证共享密钥的无条件安全, 并运用了经典密码学中常用的哈希函数鉴别消息的完整性. 针对量子仲裁签名方案的特点, 本文选择了不可克隆原理作为可证明安全的难解问题. 此分析方法运用了“无偏见选择基”(unbiased chosen basis, UCB) 假设来分析量子仲裁签名方案的可证明安全. 相较经典密码学的计算难解性, 量子的物理性质更能保证安全. 安全证明过程中设置了不同的敌手提问, 用来模拟敌手的攻击能力, 如攻击经典信道的能力、攻击共享密钥的能力、伪造签名的能力等, 从而更全面地分析协议的安全性. 量子仲裁签名方案的安全性分析表明随机预言模型在量子密码协议分析方面的有效性.

版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司