《k1881 改部分 3.15下午七点降重-曹梅春.doc》由会员分享,可在线阅读,更多相关《k1881 改部分 3.15下午七点降重-曹梅春.doc(61页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、山东师范大学博士学位论文单 位 代 码10445学 号2018010103分 类 号TP309.7博 士 学 位 论 文论文题目 基于混合整数线性规划的对称密码分析方法研究 学科专业名称 网络与网络资源管理 申请人姓名 曹梅春 指导教师 张文英 教授 论文提交时间 2021年6月6日ii独 创 声 明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得 (注:如没有其他需要特别声明的,本栏可空)或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任
2、何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名: 导师签字:学位论文版权使用授权书本学位论文作者完全了解 学校 有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权 学校 可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后适用本授权书)学位论文作者签名: 导师签字:签字日期:2021 年 月 日 签字日期:2021 年 月 日I山东师范大学博士学位论文目 录摘 要IABSTRACTIII第1章 绪论51.1 研究背景及意义(开题)51.3
3、 论文主要研究内容71.4 论文组织结构81.5 符号说明(要改)9第2章 轮常数对SPN分组密码中差分路径有效性的影响102.2算法描述112.3研究现状162.4基础知识172.6 无效差分特征192.7 无效差分特征产生的原因剖析282.8 PRINCE的有效差分路径和相关实验结果302.8本章小结36第3章 GIFT算法的相关密钥差分分析383.1 研究现状383.2 GIFT算法描述393.3 搜索GIFT相关密钥差分特征的MILP模型423.5 密钥恢复攻击493.6 本章小结53第4章 轻量级可调分组密码设计554.1研究现状554.2 RAIN一种面向软硬件和门限实现的轻量分组
4、密码算法564.3 RAIN算法的轮函数设计604.4 RAIN算法的安全性分析(此标题下还能写点什么?)634.5 RAIN算法的软硬件性能评估774.6本章小结78第5章 总结与展望795.1 本文总结795.2工作展望80参考文献81致 谢91摘 要混合整数线性规划(Mixed Integer Linear Programming,MILP)是在某些线性约束条件下求目标函数的最大值或最小值的一类问题。近些年,MILP问题被广泛应用于密码分析中,已经成为对称密码自动化分析的一种强大工具。在基于MILP模型的密码分析中,一个核心的数学问题就是对密码算法核心部件的密码属性进行线性不等式刻画,给
5、出它们之间的约束条件,然后利用Gurobi, Cplex等软件进行求解。本文主要研究基于MILP的对称密码分析方法,利用MILP工具对几个对称密码算法进行分析研究,在此基础上设计一款轻量级可调分组密码。具体使用的密码分析方法有差分分析,相关密钥差分分析,Cube攻击,不可能差分分析和积分分析,涉及的分组密码算法有AES、Midori、PRINCE、GIFT以及本文设计的新轻量分组密码算法RAIN。主要贡献如下:(1) 研究了轮常数对SPN分组密码中差分路径有效性的影响。许多轻量密码算法使用简单的密钥编排以求达到高的软硬件实现效率,甚至有的算法各轮密钥之间只相差一个轮常数。本文以AES, PRI
6、NCE和Midori为例,通过把两组明文的加密过程用线性规划不等式组等价表示并对不等式组求解,发现这些不等式组无可行解,得以验证某些差分特征实际是无效的。我们还用4-一致S盒的差分性质建立满足给定差分的两个明文的多轮加密运算之间联系的方程组,证明了方程组无解,揭示了无效差分路径存在性背后的数学实质。研究发现合理的选择轮常数不仅会减少加密的对称性而且使得某些差分路径对于任何密钥都是无效的。我们称这种差分路径为变色龙差分特征(Zelig Differential Characteristic)。本文的方法还可用于检验其他使用简单密钥编排的SPN(Substitution-Permutation N
7、etworks)分组密码差分路径的有效性。我们在刻画加密算法的MILP模型时,考虑进密钥编排以及轮常数因素,找到了3轮和4轮PRINCE分组密码的真正有效的差分路径,可用于对PRINCE分组密码的差分分析。(2) 对缩减轮数GIFT算法的相关密钥差分分析GIFT是Banik等人在CHES 2017上提出的轻量级分组密码,是PRESENT分组密码的改良版本,是Mini化的PRESENT,与PRESENT相比,GIFT在软硬件实现效率方面都有了极大的提升(硬件面积更小,加密速度更快),并且摒弃了PRESENT的安全缺陷。本文利用基于MILP的相关密钥差分分析方法分析了GIFT分组密码算法。我们提出
8、了GIFT-64的12轮和13轮的相关密钥差分特征,GIFT-128的7轮和10轮的相关密钥差分特征。利用以上的差分特征构造了GIFT-64的19轮和20轮密钥恢复攻击,攻击的数据复杂度分别是247和256个明文。与已有的结果相比,我们的数据复杂度更低,并且分析轮数增加了一轮。(3) RAIN一种面向软硬件和门限实现的轻量分组密码算法本文设计了一种面向软硬件和门限实现的轻量分组密码算法并将其命名为RAIN,并将其命名为RAIN,以体现算法软硬件实现代价轻盈的特点。算法基于国际上分组密码设计广泛采用的SPN结构,通过迭代混淆层S盒和扩散层字混合提供强雪崩效应,不仅保证强的安全性,还兼顾了软硬件实
9、现效率。算法支持64比特分组和128比特分组,两种不同的分组长度采用相同的轮函数结构实现,方案简洁优美。混淆层采用4比特的S盒实现,在S盒的实现方面不仅考虑了其安全性,还考虑S盒的硬件实现面积和软件实现效率。我们对算法进行了自评估,给出了差分分析、不可能差分分析、积分攻击和不变子空间分析。在寻找各种路径的过程中,使用了MILP自动化搜索工具。我们的算法可以抵抗现有的攻击,具有较大的安全冗余。RAIN算法软硬件实现效率高,在PC机、ARM平台和硬件FPGA平台下都具有出色的实现性能。算法S盒门限掩码实现代价低,抵抗侧信道攻击能力强。关键词:分组密码,MILP,无效差分路径,相关密钥差分分析,算法
10、设计。分类号:TP309.7AbstractMixed Integer Linear Programming (MILP) is a class of problems to find the maximum or minimum value of an objective function under certain linear constraints. In recent years, MILP problems have been widely used in cryptanalysis and have become a powerful tool for automated ana
11、lysis of symmetric ciphers. In MILP model-based cryptanalysis, a core mathematical problem is to inscribe linear inequalities on the cryptographic properties of the core components of a cryptographic algorithm, give the constraints between them, and then solve them using software such as Gurobi, Cpl
12、ex, etc.This paper mainly studies the symmetric cryptanalysis method based on mixed integer linear programming, using MILP tools to analyze several symmetric cryptographic algorithms and design a lightweight tweakable block cipher based on this basis. The specific cryptanalysis methods used include
13、differential cryptanalysis, related-key differential cryptanalysis, cube attack, impossible differential cryptanalysis and integral cryptanalysis. The block ciphers involved include PRINCE, Midori, AES, GIFT, and the new algorithm RAIN designed in this article. The main contributions are as follows:
14、(1) The influence of the round constant on the validity of the differential path in the SPN block cipher is studied.Many lightweight block ciphers employ a very simple key schedule in which the round keys only differ by addition of a round specific constant. Differential cryptanalysis is one of the
15、best-understood and most powerful method to analyze symmetric cryptographic primitives. In this paper, we investigate how differential cryptanalysis is affected when round constants are added to the intermediate states. We find that the proper chosen round constants not only diminish the symmetry bu
16、t also make some differential path to be invalid for any secret key. We call this kind of differential path a Zelig differential characteristic. By taking PRINCE and Midori128 as examples, we show some theoretical good different characteristic with high probabilities are impossible due to the values
17、 of round constants. We reveal the precise mathematical properties that behind those phenomenons. We experimentally find some valid 3-round distinguishers and 4-round distinguishers with round constants taken into account for the PRINCE block cipher by using Mixed Integer Linear Programming(MILP). O
18、ur method can be also applied in checking the validity of differential characteristics of the other block ciphers with round constants. We propose a new approach to enhance the differential property. By carefully choosing the round constants, we show that it is possible to avoid high probability dif
19、ferential characteristics for certain ciphers.(2) Related-Key Differential Cryptanalysis of the Reduced-Round Block Cipher GIFTGIFT, a lightweight block cipher proposed by Banik et al. at CHES 2017, is an improved version of the PRESENT block cipher, a Mini version of PRESENT. Compared with PRESENT,
20、 GIFT has greatly improved the efficiency of both hardware and software implementation (smaller and faster), and improved the security flaws of PRESENT. At Asiacrypt in 2014, Sun et al. introduced a bit-oriented mixed integer linear programming (MILP) method to search for the differential characteri
21、stics of block ciphers. In this paper, we use the differential cryptanalysis method based on this automated tool to analyse GIFT. We propose 12-round and 13-round related-key differential characteristics of GIFT-64 and 7-round and 10-round related-key differential characteristics of GIFT-128. By usi
22、ng them as distinguishers, we apply key recovery attacks on the 19-round and 20-round reduced GIFT-64 with data complexities of 247 and 256 plaintexts, respectively, which mean that the data complexities are lower. Furthermore, we improve the GIFT-64 key recovery attack using differential cryptanaly
23、sis by one round over the previous differential cryptanalysis.(3) The Role of Round Constants in the SPN Block CiphersThe lightweight block cipher RAIN proposed in this paper is based on the SPN structure widely used in international block cipher design. It provides strong avalanche utility through
24、iterative confusion layer S-box and diffusion layer, which not only guarantees strong security, but also takes into account the implementation of software and hardware. The algorithm supports 64-bit block and 128-bit block. Two different block lengths are implemented using the same round function st
25、ructure, and the scheme is simple and beautiful. The confusion layer is implemented using a 4-bit S-box. When the S-box is implemented, not only its security is considered, but also the software and hardware implementation of the S-box is considered. The hybrid operation of the diffusion layer provi
26、des high implementation performance. We evaluated the algorithm and give differential analysis, impossible differential analysis, integral attack and invariant subspace analysis. In the process of analysis, we used automated search tools. Our algorithm can resist the existing attack, and has greater
27、 safety redundancy. RAIN algorithm is efficient on software and hardware implementation, and it has excellent performance on PC, ARM platform and hardware FPGA platform. The threshold mask of the S-box of the algorithm is low in cost and has strong ability to resist side-channel attacks.Keywords: Bl
28、ock cipher, Automated search, Mixed integer linear programming (MILP), Differential cryptanalysis, Relate-key differential cryptanalysis, Cube attack, Algorithm design, Impossible differential analysis, Integral analysis, Invariant subspace analysisClassification number: TP309.7IV第1章 绪论1.1 研究背景及意义(开
29、题)随着信息安全从军事外交等国家垄断的神秘领域逐渐扩展到和百姓生活息息相关的各个领域,信息安全和通信保密在国家、企业和个人的信息安全中的重要地位日益凸显。近年来国际上重大信息安全公众事件不断爆发,信息安全成为了大众非常关注的问题。信息安全主要保障信息在传输、存储、处理等过程中的机密性、完整性、真实性、可用性、新鲜性等特质,是以密码技术为核心,涵盖数学、计算机、通信、电子、语言学、社会学等多学科交叉的一门新兴学科。当今互联网等技术的迅猛发展使得网络空间安全成为关系到国家安全战略的重要课题。网络空间是一个开放的平台,消息需要在这个平台上加密存储和传输,但在当前信息化的时代,加密的消息很可能遭到不法
30、分子的删除、重放、伪造和篡改。密码学作为网络与通信安全的基础学科之一,对网络与通信的安全、管理和发展都起着不可替代的作用。密码学中将加密算法分为对称密码算法和非对称密码算法两大类,对称密码主要包括分组密码、序列密码(流密码)、哈希函数(Hash函数)和消息认证码。1970年提出的数据加密标准(Date Encryption Standard, DES)和2000年确定的高级加密标准(Advanced Encryption Standard, AES)是两大最广为人知的经典加密算法。由于计算能力的快速发展,DES的56比特密钥因为太短已不足以抵抗攻击使得该算法也不再安全。AES随后替代了DES被
31、广泛使用并受到特别关注。对称密码其主要特点是通信双方的密钥相同,具有易于软硬件实现、运行速度快、存储量小等诸多优点,已经成为信息与网络空间安全中实现数据加密、消息认证和密钥管理等重要领域的关键部件,因此,对称密码算法安全性的研究具有重要意义。分组密码是把每n比特明文分成一组,在密钥K的控制下一次处理一个明文数据块的密码体制。数学上可表示为变换E:,即根据比特明文P和比特密钥K计算出比特密文C,其中,即为分组的长度,为密钥长度。双射变换称为加密函数,称为解密函数,同样是双射变换。一个安全的分组密码必须具有足够大的密钥长度和分组长度,因为穷尽搜索或者暴力攻击只需要对加密流程调用至多次,就可以通过少
32、量的明文-密文对确定正确的密钥1。理想的分组密码是从在消息空间上进行操作的所有个置换的集合中均匀选择的置换,从而每个K在个密钥的密钥空间中是均匀的。(503)差分分析和线性分析是较早且相对成熟的密码学分析方法,最初应用在对DES和AES类迭代型分组密码算法的分析上57,后来逐渐衍生出很多相关的分析方法。例如,Kundsen提出了截断差分分析方法,并对DES进行了简单的攻击8。2000年,Biham等人提出了不可能差分分析,并首次应用在对AES的分析上9。2002年,Kundsen等人将Square分析方法进行改进,提出了积分分析的概念,该方法最早应用在对MISTY和广义Feistel结构的分析
33、上,均得到了较好的分析结果10。这说明了很多分组密码算法虽然抵抗差分分析,但并不能抵抗差分分析衍生的分析方法。现在,上述几种分析方法均已经成为对分组密码分析的通用方法。近年来,密码算法分析者又提出了许多对分组密码分析的方法,如Biham和Kundsen共同提出的相关密钥攻击11,Itai和Shamir提出的Cube攻击12换文献,由高阶差分分析和积分分析衍生出的基于可分性的分析技术13等方法。自动化搜索方法是运筹学中研究线性约束条件下线性目标函数极值问题的数学理论和方法,早先在工业界及管理界有着广泛的应用,近五年却引导着对称密码分析的主流,这是多学科融合、互补发展的趋势在密码分析学中的主要体现
34、。自动化搜索方法之所以能够在密码领域大显身手是因为它能从优化的角度以最快的速度给出问题的部分可行解,而不像用C语言编程那样,需穷尽搜索所有可能的数据再给出所有解,也就是自动化搜索方法更注重问题的可满足性。最初在2009年,Julia利用混合整数规划(Mixed-Integer Linear Programming, MILP)求解由密码分析问题导出的有限域上多元多项式方程组17;2011年,Mouha提出了利用混合整数规划确定面向字节级操作分组密码最小的活跃S盒个数及不可能差分路径的方法18。2012年以来,我国学者逐步参透了该方法,以之为搜索工具研究了对称密码中多个实质性问题,取得了许多突破
35、性成果,在三大国际密码会和FSE上发表了多篇具有广泛影响力的论文:吴生宝研究了基于字的不可能差分路径的自动化搜索方法19;孙思维等在不等式组的规约20和寻找最少活跃S盒的个数及不可能差分路径的研究上21取得了系列成就;向泽军等提出了用MILP搜索基于可分性的积分区分器的方法22;王小云院士,王美琴教授,王高丽教授带领的团队把自动化分析工具和代数分析相结合,提出了条件Cube攻击分析方法,成功地用在与SHA-3同根源的基于Keccak的认证加密算法和MAC等算法的分析上2330;宋凌等人把自动化分析方法和条件Cube攻击分析方法相结合,分析了基于Keccak的相关MAC算法31,32;王庆菊等使
36、用自动化工具,提出了对Trivium流密码算法的基于超多项式的Cube攻击33;史丹萍等给出了D-S中间相遇攻击可涉及的最大轮数和最多密钥字节个数(即攻击的时间复杂度)的自动化搜索算法34,他们还把方法用在基于流密码体制的认证加密算法MORUS的线性分析上,找到了其输出密钥流函数的一个线性逼近,MORUS因为存在此类安全隐患未能进入CAESAR的最后一轮35;张文英利用自动化分析方法准确评估了使用4比特S盒的SKINNY-64抵抗积分攻击的能力36。(轮常数)MILP由线性规划导出的一类优化问题,其目标是在一定的约束条件下对目标函数进行优化。一个混合整数线性规划问题可以形式化地描述为求一个向量
37、对使线性函数最小或者最大,其中,且。在近年来的研究中,许多之前未能解决的难题都能通过基于混合整数线性规划的方法取得重大进展,且这类方法将分组密码不同操作的复杂运算规则转换为统一的不等式形式并建立模型,密码分析者所需要的信息大多蕴含于对模型求解的解集中。其实现简便,相较于人工推导计算不容易出错且耗时更短,极大推进了密码分析与设计工作的进展。这也促使我们研究基于混合整数线性规划的对称密码分析方法对各分组密码安全边界的探索。1.3 论文主要研究内容本文主要针对基于混合整数线性规划的对称密码分析方法研究的问题,对轮常数对SPN分组密码中差分路径有效性的影响、GIFT轻量级分组密码算法分析、轻量级可调分
38、组密码设计三个问题进行探索,研究成果可应用于分组密码分析与设计中。本文研究的主要内容具体如下:(1) 轮常数对SPN分组密码中差分路径有效性的影响我们研究了轮常数对差分分析的影响。我们发现合理的选择轮常数不仅会消除加密算法的对称性而且使得某些差分路径对于任何密钥都是无效的。我们称这种差分路径为变色龙差分特征(Zelig Differential Characteristic)。通过以AES, PRINCE和Midori128为例子展示了一些理论上拥有高概率的差分特征因为轮常数选取的原因变为不可能的差分。本文揭示了隐藏在这些现象后的数学实质并利用基于混合整数线性规划的实验方法找到了一些PRINC
39、E分组密码的考虑轮常数的有效3轮和4轮差分区分器。我们的方法也可用于检验其他使用简单密钥编排的分组密码差分特征的有效性,同时也给出了一个找高概率差分路径新思路。(2) 对缩减轮数GIFT算法的相关密钥差分分析本文利用基于MILP技术的相关密钥差分分析方法评估了GIFT算法的安全性。虽然GIFT算法的设计者没有宣称算法能抵抗相关密钥攻击,但是他们也评估了算法对相关密钥差分攻击的有效性。密钥的编排方式和轮常数的设置都表明设计者在尽可能的使算法抵抗相关密钥攻击。本文我们给出了GIFT-64的12轮和13轮概率分别为2-37和2-47.83的相关密钥差分特征,给出了GIFT-128的7轮和10轮的概率
40、分别为2-15.83和2-72.66的相关密钥差分特征。利用这些相关密钥差分特征我们对GIFT算法进行了密钥恢复攻击。对于19轮和20轮的缩减轮数GIFT-64攻击的数据复杂度分别是247和256个明文,这些复杂度比之前的工作中的复杂度都低。本文的20轮的缩减轮数GIFT-64的密钥恢复攻击比文章37的攻击结果提高了一轮。(3) RAIN一种面向软硬件和门限实现的轻量分组密码算法本文设计了一款SPN结构的轻量分组密码算法RAIN,算法分64比特分组和128比特分组两个版本,采用迭代混淆层S盒和扩散层字混合提供强的安全性,S盒及扩散层中矩阵的选取还兼顾了软硬件实现效率。我们评估了这两个版本抵抗差
41、分分析、不可能差分分析、积分攻击和不变子空间分析的能力。我们建立MILP模型,计算差分分析中活跃S盒的最小个数。过在差分MILP模型中给定输入输出差分得初始和结束条件,我们得到一条RAIN算法的6轮不可能差分路径。积分分析中,利用可分性我们建立了刻画算法的可分性传递的MILP模型,配合输入可分性限制条件,搜索RAIN算法的积分区分器。随后我们研究S盒中不动点是否会造成弱密钥空间进而遭受不变子空间攻击,分析结果显示我们的S盒对不变子空间分析是安全的。以上分析结果显示我们的算法可以抵抗现有的分析方法,并且具有较大的安全冗余。此外RAIN算法软硬件实现效率高,在PC机、ARM平台和硬件FPGA平台下
42、都具有出色的实现性能。算法S盒可以转换为基本逻辑运算,抗侧信道攻击代价低。1.4 论文组织结构本文共分为五章,章节结构具体如下:第一章 绪论。首先介绍了基于混合整数线性规划的对称密码分析方法的研究背景以及论文选题的理论意义和应用价值,其次论述了与本文研究内容相关的国内外研究现状,以及目前研究所存在的问题,最后介绍了本文主要研究内容和论文组织结构。=第二章 轮常数对SPN分组密码中差分路径有效性的影响。首先分析了AES, PRINCE和Midori等分组密码轮函数的性质,然后利用MILP建模以刻画密码算法的加密运算过程,该模型可用于鉴别无效差分路径,根据产生无效差分路径的矛盾点进一步揭示无效差分
43、特征产生的数学原因,即轮常数影响了SPN分组密码中差分路径的有效性。更为重要的是我们通过写出算法加密过程的MILP表达式,给出了AES, PRINCE和Midori分组密码算法的一些有效的差分特征,以用于真实情景的密码分析。第三章 对缩减轮数GIFT算法的相关密钥差分分析。首先根据算法特点建立相关密钥差分传递的MILP模型,并说明如何在MILP中刻画GIFT算法S盒中差分传递产生的概率,随后给出了求解MILP模型得出的高概率相关密钥差分特征,最后利用该差分特征对GIFT算法进行了密钥恢复攻击。第四章 设计了一种面向软硬件和门限实现的轻量分组密码算法RAIN。首先给出了我们设计的轻量级可调分组密
44、码的轮函数细节描述和结构图,并对RAIN算法的设计理念以及轮函数构成部件的选取缘由做出分析说明,随后对算法进行了抗差分分析、不可能差分分析、积分攻击和不变子空间分析安全性的研究,最后给出了算法软硬件实现的结果。第五章 总结与展望。总结了本文的主要工作,阐述了本文研究中存在的问题,并提出了进一步的研究方向。1.5 符号说明(要改)字(word):与中间变量的比特数一致的比特序列:比特级异或操作,即按比特模2加法:右循环移位i比特:右移位i比特:两个字的级联:两个数的异或差分RCi: 第i轮轮常数: 第i轮轮常数的第j比特Ri: 第i轮: 第i轮的逆 : 明文 : 密文 : 主密钥: 白化密钥:
45、第i轮子密钥第3章 GIFT算法的相关密钥差分分析GIFT58算法是CHES2017上推出的新的轻量级密码算法,是Banik等人为庆祝PRESENT算法设计10周年而提出的。本章利用GIFT算法S盒差分分布表中包含的差分传播的概率信息,搜索GIFT的高概率相关密钥差分特征,基于找到的相关密钥差分特征给出更高轮数和更低数据复杂度的密钥恢复攻击。GIFT算法设计者将PRESENT算法的设计理念发挥到极致,除了使用经典的代换-置换网络结构,GIFT算法更加精心的设计了S盒和P置换,使得算法去掉了PRESENT算法中S盒的分支数必须是3的限制,避免了每一轮的活性S盒数目均为1的高概率差分特征存在的可能
46、性,从而防止攻击者找到高概率迭代差分路径,使得攻击者难以利用算法的某些非随机性缺点对其进行攻击。从算法的实现效率方面,去掉分支数的限制使得算法可以选择实现代价更低的S盒,使得GIFT算法在实现面积和速率方面都优于PRESENT算法。其轮函数的实现效率不亚于SIMON算法和SKINNY算法。在安全性方面,GIFT-64算法中的S盒抗线性攻击的能力优于PRESENT算法中的S盒。从算法设计的结构方面看,GIFT-64算法线性层只有比特置换,不单独产生扩散效果,S盒是唯一的非线性部件,密钥加层只有一半的比特有密钥的介入和7比特的常数介入。差分分析59是一种选择明文攻击,它研究了迭代密码中一对明文差分
47、对随后几轮的输出差分的影响。差分分析因为其有效性被广泛应用于各种对称密码算法的分析当中也常用于定义新的攻击方法。对差分分析的抵抗力评估是分组密码安全性的基本准则之一。(删了或者换的别处)相关密钥攻击最早由Biham5和Knudsen17在分析LOKI系列算法时发现,作为一个典型的密码分析方法对密码算法设计中密钥编排方案的设计具有很强的指导作用。早期该方法对密钥扩展方案简单的分组密码算法比较有效,因为对于密钥扩展方案具有比较强的密码学性质的分组密码算法实施相关密钥攻击比较困难。但随着自动化搜索工具在密码分析中的应用,可以通过将复杂的密钥编排方案利用简单的不等式刻画进搜索模型中进行求解来简化相关密
48、钥攻击的复杂度。相关密钥攻击的一个直接推广是相关密钥差分攻击。在相关密钥差分攻击中,攻击者虽然不知道加密算法所使用密钥的具体取值,但是知道甚至可以选择这些密钥之间的差分,通过某种方式获取明文以及在这些相关密钥加密下所对应的密文(抄的)。给定两个主密钥K和K*,攻击者不知道K和K*得具体数值,但是知道甚至可以选取K和K*的差分,即K* = K,为两个主密钥的差分。比如某人给第一个人发送的加密信息是用自己的生日19900101作为加密密钥,而给第二个人发送的加密信息时将日期中的月份改变后密钥变为19900201,则这两个密钥是相关的。相关密钥差分分析3,4允许攻击者获取不同密钥下明密文信息从而进行攻击。攻击者掌