密码算法TWINE和NTRU的安全性分析

【摘要】密码学作为信息安全的重要基础,在现代网络社会中发挥着极其重要的作用。密码学中的加密算法分为非对称加密算法(又称为公钥加密算法)和对称加密算法(又称为私钥加密算法)两大类。本文的研究对象TWINE是对称加密算法,NTRU是非对称加密算法。对称密码包括分组密码、流密码和哈希函数。随着手持设备、RFID等的发展,在资源受限的环境中使用的分组密码(即轻量级分组密码)得到了广泛关注并迅速发展起来。轻量级分组密码算法TWINE即是在此背景下提出的。TWINE是由Suzaki等在2011年的ECRYPT轻量级密码会议上首次提出的,并发表在2012年的SAC会议上。它的分组长度是64比特,密钥长度有80比特和128比特两个版本,其采用广义的Feistel结构(GeneralizedFeistelStructure,简称GFS),并由36轮轮函数构成。公钥密码算法NTRU是由Hoffstein等在1996年的美密会上提出的。它是基于多项式环R=Z[x]/(xN-1)上的运算。虽然没有严格的规约证明,但是它的安全性被认为是基于求解格上困难问题的困难性,所以NTRU算法具有抵抗量子计算攻击的能力。在计算效率方面,因为NTRU算法的简洁设计,它的计算速度比RSA算法和椭圆曲线算法快很多。正是因为它具有高效和安全的双重属性,出现了很多针对它的安全性研究。在密码学的发展过程中,密码设计和密码分析是相互对立又相互促进的。密码学家利用许多数学方法设计出好的密码算法,然后密码分析学者试图找出算法的缺陷并进行攻击尝试,之后设计者避免已知缺陷、设计出更安全高效的密码算法。正如NIST征集美国加密标准AES,欧洲的NESSIE工程,日本的CRYPTREC工程等使得密码的设计技术和分析技术都得到了快速发展。本论文对两个重要的密码算法进行安全性分析,有利于深入理解其可能的缺陷和安全强度。对密码算法的安全性分析包括对其算法层面的理论分析和对其实现层面的实际安全性分析。本文的工作对TWINE算法进行了理论分析,对NTRU进行了实现算法的实际安全性分析。分组密码算法的理论分析技术包括差分分析、线性分析、不可能差分分析、代数分析等。本文使用不可能差分分析对轻量级分组密码算法TWINE进行了安全性评估。在密码芯片的安全性分析方面,侧信道攻击是密码芯片系统遭遇的主要威胁之一。自从Kocher在1996年的美密会上首次提出时间攻击的概念之后,侧信道攻击得到了迅猛发展,能量攻击是侧信道攻击中最常见和最容易实现的方法。能量分析攻击包括简单能量分析、差分能量分析、高阶差分能量分析和碰撞攻击等。鉴于这些攻击给密码芯片系统带来的实际威胁,抵抗这些攻击的防御对策研究也随之迅速发展。本文使用碰撞攻击对有防御对策保护的NTRU算法进行安全性评估。·轻量级分组密码TWINE的不可能差分分析根据TWINE的密钥生成算法,本工作给出轮密钥之间的一些观察,既有简单的密钥相等关系,也有较复杂的函数关系。这些密钥关系影响了攻击者对不可能差分路线的选取和密钥恢复算法的具体操作。在选择最优的不可能差分路线时,攻击者首先寻找最长的路线,然后依据截断差分路线中轮密钥关系从多条最长的路线中挑选出最优的一条不可能路线。这条最优路线一方面要使得截断差分路线中涉及到的不相等密钥的个数最少,同时也要使得这些密钥的函数关系相对更简单,从而使过滤密钥阶段的时间复杂度能更低。在已知文献的不可能差分攻击中,攻击者将满足头部截断差分路线和尾部截断差分路线的子密钥分别筛选出来,然后两部分子密钥的直接合并就给出了错误子密钥。因为这些攻击中涉及的不相等子密钥的比特数都没有超过主密钥比特数,所以假设这些子密钥相互独立并把两部分子密钥直接合并的攻击是可行的。但是我们试图攻击更多的轮数,因此在我们的攻击路线中,头部截断差分路线的子密钥和尾部截断差分路线的子密钥之和超出了主密钥比特数,也即这些子密钥之间存在信息冗余。那么将两部分子密钥直接合并作为错误子密钥的算法不再可行,我们给出了一个新的筛选错误子密钥的算法。我们的算法同时考虑截断差分路线和密钥关系这两个条件,逐步链接满足这两个条件的子密钥,直至所有子密钥链接完成。另外,我们的攻击采用了预计算技术并对攻击的时间复杂度和空间复杂度进行了平衡；在恢复密钥阶段优化了密钥关系的使用顺序；根据TWINE算法s盒的差分特性给出更精确的明密文差分特征,从而加快数据收集阶段正确明密文对的筛选速度。我们对23轮TWINE-80攻击的时间复杂度是279.09次加密,数据复杂度是257.85个分组,存储复杂度是278.04个分组长度。对24轮TWINE-128攻击的时间复杂度是2126.78次加密,数据复杂度是258.1个分组,存储复杂度是2125.61个分组长度。·对受保护的NTRU体制的碰撞攻击在2010年,Lee等给出了针对NTRU的一种常见软件实现的能量分析,他们的工作显示未受保护的NTRU的一种常见软件实现是不能抵抗简单能量分析和相关能量分析攻击的,他们因此提出了三个对策来抵抗他们提出的攻击。他们对其对策的安全性评估结论是：只有二阶能量分析才能有效的攻击他们的第一个对策,而如果将他们的第一个对策和第三个对策合并使用,组合对策保护下的NTRU算法是安全的。本论文给出了针对这些对策的有效的一阶能量分析。他们的第一个对策是随机初始化寄存器t,目的是抵抗他们的简单能量分析(SimplePowerAnalysis,简称SPA)攻击。具体而言,在解密算法开始前令每个寄存器t；加上一个随机数ri,在算法结束后再把ri从对应的寄存器ti中减去。因此在这个对策下的算法中就不存在x+0的操作,从而使得SPA攻击无效。他们的第二个对策是用随机值盲化密文多项式c,目的是抵抗他们的相关能量分析(CorrelationPowerAnalysis,简称CPA)攻击。具体操作是把原始的算法输入值ci替换成ci+r,其中r是一个随机整数。在算法最后将每个寄存器ti的值减去增加的随机值。他们的第三个对策是随机化数组b中元素的存储顺序,也是为了达到抵抗他们的CPA攻击的目的。因为每次运算中第j行使用的密钥b[j]是不固定的,所以就无法利用统计方法得出B[j]-B[j-1]的值。针对Lee等设计的保护NTRU的对策,本工作给出了汉明重量(HammingWeight,简称HW)模型和汉明距离(HammingDistance,简称HD)模型下的碰撞攻击。第一个对策用随机值初始化寄存器t。虽然消除了非零值与零值相加的操作,抵抗了SPA攻击。但是对t的初始化操作可能会使得它成为某些攻击的目标。第二个对策掩盖了cj的值,因此可以抵抗一阶CPA攻击。虽然它确实隐藏了真实的中间值,但是这个对策是不能抵抗SPA攻击的。第三个对策扰乱了密钥b[i](i=0,…,d-1)的执行顺序,记新的密钥序列为b’[i](i=0,…,d-1).这个对策可以在一定程度上隐藏信息,但是它并没有完全把信息隐藏起来,因为b’[0]=b[0]成立的概率是1/d。基于这些观察,我们给出了碰撞攻击。针对第一个对策,理论计算表明我们的碰撞攻击的攻击效率比Lee等给出的二阶相关能量分析提高了204.8%,AT89C51RC2微处理器上的实验数据表明在汉明重量模型和汉明距离模型下我们的攻击效率分别提高了108.4%和78%。针对三个对策同时使用的组合对策,虽然设计者认为组合对策是安全的,但是我们的攻击使用足够的能量迹就可以破解这个对策。
【作者】郑学欣；
【导师】王小云；
【作者基本信息】山东大学，信息安全，2014，博士
【关键词】轻量级分组密码；不可能差分分析；NTRU；能量分析；碰撞攻击；

【参考文献】
[1]李阳华.罗斯金为透纳的艺术所作之辩护及其价值与意义[D].湖南师范大学,美术学,2014,硕士.
[2]贾志杰.基于OpenStack开放云管理平台研究[D].吉林大学,计算机软件与理论,2014,硕士.
[3]陈士光.牛磺酸及厄贝沙坦对链脲佐菌素致胰岛β细胞损伤的保护作用[D].广西医科大学,内分泌,2013,硕士.
[4]沈江南,储月霞,李健,胡梦青.MWNTs-Ag~+/壳聚糖膜渗透汽化分离苯/环己烷[J].浙江工业大学学报,2014,04:440-445.
[5]赵美艳.农村学前教育发展的政府责任研究[D].南京师范大学,教育政策学,2012,硕士.
[6]徐炀.智能火灾自动报警系统的构建[D].天津理工大学,安全技术及工程,2013,硕士.
[7]曾革.无锡石墨烯产业化聚变现象探析[J].电子元件与材料,2014,01:87.
[8]任俊熠.云工作流引擎的设计与实现[D].内蒙古大学,计算机科学与技术,2013,硕士.
[9]葛启斌.违反行政程序表现形态及法律后果之比较分析[D].苏州大学,法律,2003,硕士.
[10]唐梅.栽培种花生遗传图谱构建及主茎高QTL初步分析[D].中南民族大学,生物化学与分子生物学,2013,硕士.
[11]马超飞.基于关联规则的遥感数据挖掘与应用[D].中国科学院研究生院（遥感应用研究所）,2002.
[12]尹景峰.牛狂犬病的病毒全基因组序列分析及病理学研究[D].内蒙古农业大学,基础兽医学,2014,博士.
[13]梁昌振.硅基薄膜的结构与光学性质[D].广西大学,理论物理,2004,硕士.
[14]刘权卫.自动化立体仓库货位分配与任务调度集成研究[D].山东大学,物流工程,2013,硕士.
[15]郝奉云.第30届奥运中国女排与世界四强攻防技术效果比较分析[D].曲阜师范大学,体育教育训练学,2013,硕士.
[16]佟纯厚.近代交流调速——第四讲交-直-交电流型变频器[J].冶金自动化,1991,05:49-53.
[17]宋杰.幸福与财富：对亚里士多德伦理思想的思考[D].黑龙江大学,伦理学,2013,硕士.
[18]阮蓓.书法在对外汉语课堂教学中的应用研究[D].浙江大学,汉语国际教育（专业学位）,2013,硕士.
[19]罗福龙.组合检波器的响应特性及效果试验[J].石油地球物理勘探,2012,02:194-201+179.
[20]宋洪磊.基于WAMS信息的大区域互联电网主动解列控制策略研究[D].北京交通大学,2014.
[21]田燕.审美神义论与清教神义论[D].四川外国语大学,英语语言文学,2013,硕士.
[22]任晓智.小型甘蔗收获机械断尾机构的创新设计与仿真研究[D].广西大学,机械制造及自动化,2003,硕士.
[23]王泽宇.论我国刑事证据补强规则的完善[D].黑龙江大学,法律,2012,硕士.
[24]刘馨.寒山寺钟楼建筑场的数字化实现与传播研究[D].哈尔滨工业大学,艺术学,2013,硕士.
[25]高倩男.论近三十年中国乡土小说的两次转型（1980-2013）[D].渤海大学,中国现当代文学,2013,硕士.
[26]孙衍彬.阳光体育背景下学校体育组织气氛形成的动力机制研究[D].曲阜师范大学,体育教育训练学,2013,硕士.
[27]许欢.多功能磁性复合纳米材料在生物成像与肿瘤治疗中的应用[D].苏州大学,2013.
[28]马云剑.基于LEO卫星系统的异步空时协同编码研究[D].杭州电子科技大学,通信与信息系统,2014,硕士.
[29]任虎存.建筑垃圾回收处理技术及破碎装备的设计研究[D].山东大学,机械制造及其自动化,2013,硕士.
[30]李英.我国城市商业银行内部信用风险评级研究[D].山东大学,工业工程（专业学位）,2012,硕士.
[31]王兆君.铜互连电镀工艺研究及设备改进[D].北京交通大学,2014.
[32]缪钱江.二氧化硅负载Karstedt催化剂催化硅氢化反应的研究[D].浙江大学,材料学,2004,硕士.
[33]黄彦军.当代大学生马克思主义幸福观教育研究[D].长安大学,思想政治教育,2014,硕士.
[34]牧骑勒.丛枝菌根真菌与外菌根真菌单接种和混合接种对白皮杨苗木生长的影响[D].内蒙古大学,植物学,2013,硕士.
[35]王铁铮.磁敏感加权成像对帕金森病脑核团的显示及其铁沉积差异测定[D].山东大学,临床医学（专业学位）,2013,硕士.
[36]樊鹏.基于新农村建设背景下的湖南苗族村落文化保护研究[D].湖南大学,建筑学,2012,硕士.
[37]张健.新农村建设中公民教育组织化问题初探[D].河北经贸大学,思想政治教育,2012,硕士.
[38]方小斌.烟草供应链关键节点优化研究[D].中南大学,2008.
[39]王萌.谷胱甘肽分子印迹聚合物制备及其吸附选择性规律研究[D].兰州理工大学,材料学,2013,硕士.
[40]廖智勇.网络环境下促进大学生深度学习的研究[D].南昌大学,教育技术学,2014,硕士.
[41]刘倩.生长曲线模型的分位数回归[D].华东师范大学,概率论与数理统计,2013,硕士.
[42]赵乃蓉.手工艺里的生态智慧[D].广西民族大学,社会学,2013,硕士.
[43]周欣.产业政策的环境影响评价研究[D].沈阳工业大学,工商管理,2012,硕士.
[44]邹安.如何在企业进行信息化建设[J].冶金自动化,2003,S1:233-236.
[45]魏乐.横向并购纵向传染机制研究[D].北京交通大学,会计学,2014,博士.
[46]王丹丹,曾延波,刘海清,尹争志,李蕾.石墨烯修饰电极分子印迹电化学传感器的研制及其对多巴胺的测定[J].分析测试学报,2013,05:581-585.
[47]张振超.太阳塔的计算机控制[J].自动化学报,1988,02:159-160.
[48]罗玲.跨境人民币业务现状分析及商业银行管理对策[D].首都经济贸易大学,工商管理（专业学位）,2013,硕士.
[49]何德好.网络条件下的集团公司融资研究[D].西南财经大学,2005.
[50]任占华.2011年化学热点预测[J].考试(高考理科版),2011,05:49-52.