几个国际标准分组密码算法的安全性分析

【摘要】分组密码是加解密双方用同一密钥进行加密和解密运算的密码算法,是保障数据机密性与完整性的重要技术。分组密码的安全性分析有利于发现算法中存在的不足,以确保算法在实际应用中的安全,并指导新的算法设计。上世纪末,随着美国AES计划[1]、欧洲NESSIE计划[2]和日本CRYPTREC计划[3]的相继实施,对相应标准密码算法的安全性分析被国际密码学者广泛关注,极大地推动了分组密码分析与设计工作的发展。本文主要对三个国际标准分组密码算法AES、Camellia和CLEFIA的安全性进行分析,提出一些有意义的密码学性质,并与国际上最前沿的分析结果相比得到最优的结果。1、分组密码AES的安全性分析分组密码Rijndael是由两位比利时密码学者Daemen和Rijmen于1997年设计,并于2000年10月被美国国家标准和技术研究所(NIST)公布为高级加密标准AES(AdvancedEncryptionStandard)。之后,AES被CRYPTREC工程和NESSIE工程推荐,并由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。AES的分组长度为128比特,采用SPN结构,密钥长度有128比特、192比特和256比特三个版本,本文分别用AES-128、AES-192与AES-256表示。AES的中间相遇攻击是由Demirci和Selcuk于2008年FSE会议上提出[7],他们利用4轮AES区分器给出了7轮AES-192和8轮AES-256的分析结果。在2010年亚密会上,Dunkelman,Keller和Shamir提出了差分列举技术思想和Multiset技术,有效的减少了Demirci和Selquk攻击的存储和时间复杂度。同时,利用数据/时间/存储折衷技术给出了7轮AES-128的中间相遇分析结果。在2013年欧密会上,Derbez,Fouque和Jean利用Hash函数分析中的反弹(Rebound)技术,极大减少了Dunkelman等人攻击的时间和存储复杂度。并构造了5轮AES-256区分器,给出了9轮AES-256的分析结果。本文主要考虑单密钥模式下,对AES-192/256的中间相遇攻击。我们提出了一种改进中间相遇攻击的新方法——基于密钥的中间状态过滤,并利用此方法构造了5轮AES-192区分器,结合数据/时间/存储折衷完成了对9轮AES-192的中间相遇攻击。我们的攻击延续了Dunkelman等人所提出的差分列举的思想,但不同的是,我们利用中间状态的密钥关系,用有序数列代替Multiset来获取更多的信息量,以减少攻击的复杂度。这是除Biclique方法之外[10],首次对9轮AES-192的分析结果。同时,我们利用攻击中预计算与在线阶段的密钥关系,将整个攻击分割为一系列的子攻击,每个子攻击都是相互独立的。当所有的子攻击工作于串行模式的时候,相应的存储空间可以重复使用。利用此方法,我们降低了整个攻击的存储复杂度。对于9轮AES-256,与2013年欧密会的结果[9]相比,存储复杂度降低了232,但数据复杂度和时间复杂度不受影响。2、分组密码Camellia的安全性分析分组密码算法Camellia由日本NTT和三菱公司于2000年设计,其分组长度为128比特,密钥长度有128比特、192比特和256比特三个版本。Camellia被CRYPTREC工程推荐为日本的e-government算法,也是NESSIE工程最终选取的算法之一,并且由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。本文研究了Camellia算法的不可能差分分析和中间相遇攻击。首先,我们给出了带FL/FL-1层Camellia算法的7轮不可能差分特征。利用该不可能差分特征,我们分析了不带白化密钥的10轮Camellia-128,以及带白化密钥的10轮Camellia-192和11轮Camellia-256算法。同时,我们给出了在3/4弱密钥空间里,带FL/FL-1层的7轮不可能差分特征。之后利用该特征给出了弱密钥条件下、10/11/12轮Camellia-128/192/256的不可能差分分析。在此基础上,我们提出了复合攻击的思想：即利用每次失败的攻击来推出2比特的密钥条件,经过a次攻击,推出2×a比特密钥信息。从而,将弱密钥条件下的攻击转化为对全密钥空间的攻击。除此之外,我们还给出了中间14轮Camellia-256和12轮Camellia-192的分析结果。其次,结合2010年亚密会上Dunkelman等人所提出的差分列举思想和Mulitset技术,我们给出了7轮Camellia-192的中间相遇性质。并以此构造了12轮Camellia-192的中间相遇攻击,复杂度比当前最优结果快大约28倍。此外,我们给出了8轮Camellia-256的中间相遇性质,并以此构造了带两个FL/FL-1层的13轮Camellia-256的中间相遇攻击,据我们所知,这是第一个对首轮开始13轮Camellia-256的分析结果。我们同样给出了不带白化密钥的14轮Camellia-256的分析结果。3、分组密码CLEFIA的安全性分析CLEFIA是由索尼公司(SonyCorporation)于2007年设计,2012年被ISO/IEC29192-2选举为轻量级分组密码算法标准,2013年被日本CRYP-TREC项目推荐为e-Government建议算法。CLEFIA采用四路广义Fesitel结构,分组长度为128比特,密钥长度有128比特、192比特和256比特三个版本。本文给出了一个10轮的CLEFIA截断差分特征,并给出了13轮CLEFIA-128的分析结果。之后,结合Isobe等人提出的函数归约技术,我们给出了14/15轮CLEFIA-192/256的分析结果。复杂度比当前最优结果快大约240倍。最后,结合轮函数的密钥关系,我们给出了14轮CLEFIA-128的分析结果,据我们所知,这是第一个对14轮CLEFIA-128的分析结果。
【作者】李雷波；
【导师】王小云；
【作者基本信息】山东大学，信息安全，2014，博士
【关键词】对称密码学；密码分析；不可能差分分析；中间相遇攻击；截断差分分析；分组密码算法；AES；Camellia；CLEFIA；

【参考文献】
[1]李邓邓.全景图像拼接算法的研究与实现[D].浙江工业大学,2012.
[2]刘小龙.立盘式裂解装置内废轮胎热裂解过程的传热传质模型研究[D].浙江大学,化工过程机械,2004,硕士.
[3]肖开田.水牛GV期卵母细胞程序化冷冻研究[D].西南农业大学,临床兽医学,2004,硕士.
[4]赵彩宏,王晓刚,陈丹菲,郭风,黄晓华,肖立业,林良真,余运佳.具有故障限流功能的串联型超导储能系统(英文)[J].电力系统自动化,2006,04:54-58.
[5]蒋健.马铃薯甲虫热激蛋白基因hsp60、hsp70和hsp90的克隆及温度胁迫下的表达[D].青海大学,作物栽培学与耕作学,2013,硕士.
[6]刘振灵.资源基础型城市群时空演变规律及动力机制研究[D].中国矿业大学（北京）,管理科学与工程,2009,博士.
[7]魏涛,杜聪聪,毛多斌,马歌丽.超嗜热细菌Thermotogamaritima酯酶Tm1350克隆、表达及其酶学性质研究[J].食品工业科技.
[8]段青.基于稀疏贝叶斯学习方法的回归与分类在电力系统中的预测研究[D].山东大学,2010.
[9]许平.商事仲裁支持与监督的比较研究[D].中国政法大学,诉讼法学,2004,硕士.
[10]丁雷.基于CAD的曲面零件几何测量规划方法[D].大连理工大学,机械制造及其自动化,2013,硕士.
[11]沈之菲.新课程背景下上海市中小学教师职业角色认同的研究[D].华东师范大学,应用心理学,2004,硕士.
[12]刘晓庆.魏晋南北朝檄文研究[D].河北师范大学,中国古代文学,2013,硕士.
[13]韩敏.肾素—血管紧张素系统抑制剂对心房颤动二级预防作用的Meta分析[D].山东大学,内科学（专业学位）,2013,硕士.
[14]陈维杰.我国上市公司经理人股票期权激励效应实证研究[D].山东财经大学,企业管理,2012,硕士.
[15]韩金澎.中国当代法官职业思维探析[D].河北师范大学,马克思主义基本原理,2012,硕士.
[16]赵丽丽.潍坊市瑞吉欧幼儿园教师角色研究[D].内蒙古师范大学,学前教育（专业学位）,2013,硕士.
[17]于典司.AnFALDH与CcFALDH基因的克隆及其在甲醛代谢中的功能研究[D].哈尔滨师范大学,遗传学,2014,博士.
[18]王晓莹.拮抗抗病毒因子A3G的HIV-1 Vif E3复合体对RBX的选择性研究[D].吉林大学,生物化学与分子生物学,2014,硕士.
[19]刘鹏.半刚性链水溶性温敏型聚合物的设计、合成及其相行为研究[D].湘潭大学,高分子化学与物理,2014,博士.
[20]李海宇.长春市中小学开展武术段位制的可行性研究[D].吉林体育学院,运动训练（专业学位）,2013,硕士.
[21]王全.双行星排式混合动力汽车构型分析及协调控制[D].吉林大学,车辆工程,2013,硕士.
[22]宋明晓.吉林安洁环保有限公司创业战略研究[D].吉林大学,高级管理人员工商管理,2012,硕士.
[23]陈百会.采用预应力基础梁的大跨度钢结构施工控制关键技术研究[D].安徽建筑工业学院,结构工程,2012,硕士.
[24]王加真.五种芽孢杆菌微生物肥料在盆栽条件下对多年生黑麦草的促生作用及对土壤养分变化的影响研究[D].甘肃农业大学,草业科学,2003,硕士.
[25]曾绍伦.核工业企业主业改制研究[D].西南财经大学,工商管理,2003,硕士.
[26]罗发锦.基于多任务委托代理模型的二次薪酬激励机制研究[D].云南师范大学,概率论与数理统,2013,硕士.
[27]邓欣然.老年人康健产品的易用性研究[D].湖北工业大学,设计艺术学,2014,硕士.
[28]张亮.航天器再入段电波特性及加磁场减轻黑障效应研究[D].南京理工大学,电磁场与微波技术,2013,硕士.
[29]韩建桥.LaNi_(0.6)Fe_(0.4)O_3粉体的制备及表征[D].陕西科技大学,材料科学与工程,2013,硕士.
[30]袁静岚.神经元网络的稳定性和分岔研究[D].南京航空航天大学,应用数学,2012,硕士.
[31]黎智成.基于Zigbee无线通信网络的智能办公综合监控系统[D].华南理工大学,软件工程,2012,硕士.
[32]曾国里.风咳停方联合阿斯美胶囊治疗感染后咳嗽临床观察[D].湖北中医药大学,中医内科学（专业学位）,2013,硕士.
[33]张雨婷.HO-1与脂代谢在妊娠期糖尿病中的表达及相关性研究[D].河北医科大学,妇产科学,2014,硕士.
[34]杨燕,文福拴,李力,王珂,高超.计及风险控制策略的电力系统可用输电容量决策[J].电力系统自动化,2012,04:50-55.
[35]刘步周.八钢高炉大喷煤技术研究[D].西安建筑科技大学,冶金工程,2004,硕士.
[36]赵维莹.2.45GHz RFID系统的设计[D].济南大学,计算机技术,2012,硕士.
[37]尤红磊.几种常用天然食品胶对山药混汁稳定性的影响[D].河南农业大学,食品加工与安全（专业学位）,2012,硕士.
[38]王彦慧.民办高校基层党组织建设研究[D].武汉纺织大学,思想政治教育,2014,硕士.
[39]李红艳.临澧县县域经济发展研究[D].江西农业大学,农村与区域发展,2012,硕士.
[40]李根.磁性介孔二氧化硅复合材料[D].吉林大学,凝聚态物理,2013,硕士.
[41]李小晴.碳纳米管增韧氧化铝基陶瓷刀具材料的研制[D].齐鲁工业大学,机械电子工程,2014,硕士.
[42]刘益明.基于平衡计分卡法对洛阳银行绩效考评体系改进研究[D].西北大学,工商管理（专业学位）,2014,硕士.
[43]熊杨洋.组织变革压力与员工职业生涯成功的关系研究：变革抵制行为的中介作用[D].浙江大学,企业管理,2012,硕士.
[44]王荣荣.钾质粗面岩表生细菌的空间分布及其在岩石风化中的作用[D].南京农业大学,微生物学,2013,硕士.
[45]曾立峰.地脉动在黄土地区厚覆盖层探测中的应用研究[D].中国地震局兰州地震研究所,构造地质学,2012,硕士.
[46]赵丹.山西特殊统一战线研究[D].西南大学,中国近现代史,2013,硕士.
[47]李景.哥伦比亚花烛的组织培养研究[D].华中农业大学,园林植物与观赏园艺,2001,硕士.
[48]葛燕林.对当前我国农村土地政策的社会性别分析[D].中共中央党校,社会学,2013,硕士.
[49]刘晶.从民族文化视角看习惯法对构建和谐社会的现代价值[D].新疆大学,马克思主义民族理论与政策,2013,硕士.
[50]宋益国.高校学生社区党建工作探析[D].华侨大学,科学社会主义与国际共产主义运动,2013,硕士.