小说写作网站,摄影网站设计与实现,上城区建设局网站,网站开发人员分配ch3 分组密码的差分分析和相关分析方法
3.1 差分分析
评估分组密码安全性通用方法可用于杂凑函数和流密码安全性
预备知识#xff1a;
迭代性分组密码#xff08;分组密码一般结构#xff09;简化版本 mini-AES CipherFour算法
3.1.1 差分分析原理
现象#xff1a;密…ch3 分组密码的差分分析和相关分析方法
3.1 差分分析
评估分组密码安全性通用方法可用于杂凑函数和流密码安全性
预备知识
迭代性分组密码分组密码一般结构简化版本 mini-AES CipherFour算法
3.1.1 差分分析原理
现象密钥在异或运算过程中被抵消 → 直接从明文对异或值得到密文对异或值绕过密钥【不随机现象】
差分值: X和X’是两个长度为n的二进制比特串 Δ X X ⊕ X ′ { ΔXX \oplus X} ΔXX⊕X′ 称为X和X’的差分值
模加运算 模减差分
i轮差分、i轮差分对differential: P β 0 → i 轮 β i {P \beta_{0} \stackrel{i轮}\to \beta_{i} } Pβ0→i轮βi 差分经过i轮的传播特性
i轮差分概率 D P ( β 0 → i 轮 β i ) {DP(\beta_{0} \stackrel{i轮}\to \beta_{i}) } DP(β0→i轮βi)
理想分组密码 α {\alpha} α 是输入差分 β {\beta} β 是输出差分n是分组长度理想分组密码满足随机置换, ∀ β ∈ { 0 , 1 } n , D P ( α → i 轮 β ) 1 / 2 n { \forall \beta \in \{0,1\} ^{n},DP(\alpha \stackrel{i轮}\to \beta)1/2^{n} } ∀β∈{0,1}n,DP(α→i轮β)1/2n,构造区分器关键找到高概率的i轮差分 α → i 轮 β {\alpha \stackrel{i轮}\to \beta} α→i轮β满足 D P ( α → i 轮 β ) 1 / 2 n {DP(\alpha \stackrel{i轮}\to \beta)1/2^{n}} DP(α→i轮β)1/2n
差分分析原理
发现长轮数、高概率的i轮差分不随机现象建立与部分密钥有关的带概率的方程利用正误密钥下中间状态满足特定差分值的明密文对数服从不同分布恢复密钥分割密钥空间建立方程组/约束条件进行密钥恢复攻击
差分分析攻击模型
假设 D P ( α , β ) p 1 / 2 n ∣ K ~ ∣ k {DP(\alpha , \beta)p 1/2^{n}|\widetilde{K}|k} DP(α,β)p1/2n∣K ∣k,设置 2 k { 2^{k} } 2k 个计数器初始化为0
采样选取满足条件的差分明文对去噪根据β值过滤对应的密文恢复密钥对方程组每个解都设置1个计数器处理完所有明文对后从大到小排序前 2 k − a {2^{k-a}} 2k−a个作为正确密钥候选值,结合穷举攻击等确定正确密钥
3.1.2 CipherFour 算法差分分析
3.1.2.1 各运算部件差分传播特性
CipherFour算法
16bit分组长度r轮迭代密钥长度为16(r1)bits假设轮密钥相互独立
算法每一轮除最后一轮包含
16比特的轮密钥异或4个4比特的S盒16比特的比特置换
最后一轮包含
16比特的轮密钥异或4个4比特的S盒16比特的白化密钥异或
1.S盒
非线性变换S盒差分传播概率
输入差分α过S盒后变为输出差分β记为** α → S β {\alpha \stackrel{S}\to \beta} α→Sβ**满足 α → S β {\alpha \stackrel{S}\to \beta} α→Sβ 的明文对的个数为** N S ( α , β ) {N_{S}(\alpha,\beta)} NS(α,β)**相应的 α → S β {\alpha \stackrel{S}\to \beta} α→Sβ 的差分传播概率为** D P ( α → S β ) P r ( α → S β ) N S ( α , β ) 2 m {DP(\alpha \stackrel{S}\to \beta)Pr(\alpha \stackrel{S}\to \beta)\frac{N_{S}(\alpha,\beta)}{2^{m}} } DP(α→Sβ)Pr(α→Sβ)2mNS(α,β)**
S盒差分分布表DDT
构造α为行标β为列标行列交错处的项为 N S ( α , β ) {N_{S}(\alpha,\beta)} NS(α,β)构造的 2 m × 2 n {2^{m}×2^{n}} 2m×2n的表CipherFour的DDT特性 D P ( 0 x 0 → S 0 x 0 ) 1 {DP(0x0 \stackrel{S}\to 0x0)1} DP(0x0→S0x0)1 D P ( 0 x 0 → S 0 x i ) 1 , i ≠ 0 {DP(0x0 \stackrel{S}\to 0xi)1,i\neq0} DP(0x0→S0xi)1,i0若 N S ( α , β ) 0 {N_{S}(\alpha,\beta)0} NS(α,β)0记作 α ↛ β {\alpha \nrightarrow \beta} α↛β 如 D P ( 0 x f → S 0 x 1 ) 0 {DP(0xf \stackrel{S}\to 0x1)0} DP(0xf→S0x1)0 对随机置换RP(Random Permutation) P r ( α → R P β ) 1 2 4 {Pr(\alpha \stackrel{RP}\to \beta)\frac{1}{2^{4}}} Pr(α→RPβ)241 DDT中的数都是偶数
2.P置换
拉线操作只改变bit位置不改变取值
输出差分等于输入差分经过P置换后的结果 P ( X ) ⊕ P ( X ′ ) P ( X ⊕ X ′ ) {P(X)\oplus P(X)P(X \oplus X)} P(X)⊕P(X′)P(X⊕X′)
3.异或密钥AK X ⊕ K ) ⊕ ( X ′ ⊕ K ) X ⊕ X ′ {X\oplus K)\oplus (X\oplus K)X \oplus X} X⊕K)⊕(X′⊕K)X⊕X′
输出差分等于输入差分
总结可得差分在各部件的传播特性为
过线性变换差分值确定 异或密钥差分值不变 过非线性变换差分值不确定传播概率由S盒DDT决定
3.1.2.2 CipherFour算法的多轮差分路线
i轮差分路线 β 0 → 1 轮 β 1 → 1 轮 β 2 → 1 轮 . . . → 1 轮 β i {\beta_{0}\stackrel{1轮}\to \beta_{1}\stackrel{1轮}\to \beta_{2}\stackrel{1轮}\to... \stackrel{1轮}\to\beta_{i}} β0→1轮β1→1轮β2→1轮...→1轮βi
i轮差分路线概率
分组密码输入X以及轮密钥取值相互独立且均匀分布等于各轮差分路线概率乘积 D P ( β 0 → 1 轮 β 1 → 1 轮 β 2 → 1 轮 . . . → 1 轮 β i ) ∏ j 1 i D P ( β j − 1 → 1 轮 β j ) {DP(\beta_{0}\stackrel{1轮}\to \beta_{1}\stackrel{1轮}\to \beta_{2}\stackrel{1轮}\to... \stackrel{1轮}\to\beta_{i})\prod \limits_{j1}^iDP(\beta_{j-1}\stackrel{1轮}\to \beta_{j})} DP(β0→1轮β1→1轮β2→1轮...→1轮βi)j1∏iDP(βj−1→1轮βj)
i轮最优差分路线
所有i轮差分路线中概率最大的可能不止一条
活跃S盒
输入差分非零的S盒
影响i轮差分路线概率的主要因素
活跃S盒个数活跃S盒对应的输出差分
CipherFour 1轮最优差分路线
需要活跃S盒的个数≥1由DDT表可得 D P ( 0 x F → S 0 x D ) 10 2 4 5 8 {DP(0xF \stackrel{S}\to 0xD)\frac{10}{2^{4}}\frac{5}{8}} DP(0xF→S0xD)241085
2轮最优差分路线与1轮最优无关
直接以1轮最优差分路线的输出差分为输入差分得到的DP为 5 8 ⋅ ( 3 5 ) 3 ≈ 0.033 {\frac{5}{8}·(\frac{3}{5})^{3}≈0.033} 85⋅(53)3≈0.033保持每轮一个S盒概率为 D P ( 0 x 2 → S 0 x 2 ) 6 2 4 ( 3 8 ) 2 {DP(0x2 \stackrel{S}\to 0x2)\frac{6}{2^{4}}(\frac{3}{8})^{2}} DP(0x2→S0x2)246(83)2,更优
差分路线级联
迭代型差分概率
给定概率为 p i {p_{i}} pi的i轮差分路线 β 0 → 1 轮 β 1 → 1 轮 β 2 → 1 轮 . . . → 1 轮 β i {\beta_{0}\stackrel{1轮}\to \beta_{1}\stackrel{1轮}\to \beta_{2}\stackrel{1轮}\to... \stackrel{1轮}\to\beta_{i}} β0→1轮β1→1轮β2→1轮...→1轮βi若 β 0 β i {\beta_{0}\beta_{i}} β0βi,迭代该路线k次得到一条ki轮的差分路线 β 0 → 1 轮 β 1 → 1 轮 . . . → 1 轮 β 0 → 1 轮 β 1 → 1 轮 . . . → 1 轮 β 0 {\beta_{0}\stackrel{1轮}\to \beta_{1}\stackrel{1轮}\to ...\stackrel{1轮}\to\beta_{0}\stackrel{1轮}\to \beta_{1} \stackrel{1轮}\to ... \stackrel{1轮}\to\beta_{0}} β0→1轮β1→1轮...→1轮β0→1轮β1→1轮...→1轮β0
3.1.2.3 CipherFour算法的多轮差分
实验得到i轮差分概率大于单条差分路线的概率。
没有必要固定中间状态的差分
基于独立性假设r轮差分的概率
共s条输入差分为 β 0 {\beta_{0}} β0,输出差分为 β i {\beta_{i }} βi的i轮差分路线 D P ( b e t a 0 → i 轮 β 1 ) ∑ t 1 s D P ( β 0 → 1 轮 β 1 t → . . . → β i − 1 t → 1 轮 β i t ) ∑ t 1 s ( ∏ j 1 i D P ( β j − 1 t → 1 轮 β j t ) ) DP(beta_{0}\stackrel{i轮}\to \beta_{1})\sum\limits_{t1}^{s}DP(\beta_{0}\stackrel{1轮}\to \beta_{1}^{t}\to ... \to \beta_{i-1}^{t}\stackrel{1轮}\to\beta_{i}^{t}) \\\sum\limits_{t1}^{s}\big (\prod\limits_{j1}^{i}DP(\beta_{j-1}^{t}\stackrel{1轮}\to\beta_{j}^{t}) \big) DP(beta0→i轮β1)t1∑sDP(β0→1轮β1t→...→βi−1t→1轮βit)t1∑s(j1∏iDP(βj−1t→1轮βjt))
Markov密码算法满足独立性假设的算法
通过不随机现象区分4轮CipherFour算法和随机置换 0.080.000015
3.1.2.4 5轮CipherFour算法的密钥恢复攻击
5轮等于4轮CipherFour算法1 “41”
4轮加密后的输出是 中间变量猜测 k 5 {k_{5}} k5的取值
采样 选择m对满足输入差分的输入对计算5轮加密后的密文对 去噪 筛选并删除错误对若四轮加密后中间状态为(0,0,2,0)由DDT得到 ( 0 , 0 , 2 , 0 ) → S ( 0 , 0 , h , 0 ) , h ∈ 1 , 2 , 9 , a {(0,0,2,0) \stackrel{S}\to (0,0,h,0), h∈{1,2,9,a}} (0,0,2,0)→S(0,0,h,0),h∈1,2,9,a正确对相应的密文差分只有四种可能 (0,0,1,0), (0,0,2,0), (0,0,9,0), (0,0,a,0) 恢复密钥 解方程 S − 1 ( k 5 , 2 ⊕ c 2 ) ⊕ S − 1 ( k 5 , 2 ⊕ c 2 ′ ) 2 {S^{-1}(k_{5,2}\oplus c_{2})\oplus S^{-1}(k_{5,2}\oplus c_{2}^{})2} S−1(k5,2⊕c2)⊕S−1(k5,2⊕c2′)2并对每个解设置计数器按计数器取值由大到小对去噪的明文对进行排序前 2 4 − a {2^{4-a}} 24−a个作为正确密钥的候选值恢复4-bit k 5 , 2 {k_{5,2}} k5,2,实现分割剩余密钥差分或者穷举
正确对:
一定满足区分器的头尾差分代入S盒有关方程 解一定包括正确密钥
错误对:
一定不满足区分器的头部或尾部差分代入S盒有关方程 解只包含错误密钥
复杂度重要的是选择明文的个数
信噪比 S N {S_{N}} SN 正确密钥(信息)的计数/错误密钥噪声的平均计数 1 ≤ S N {S_{N}} SN ≤2需保证有20-40正确对 S N {S_{N}} SN较大 S N {S_{N}} SN ≥100时需保证有3-4个正确对
