推荐星级：

AEGIS算法的弱状态分析

更新时间：2019-12-24 15:10:52 大小：680K 上传用户：守着阳光1985 查看TA发布的资源 标签：AEGIS算法弱状态伪造攻击 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

AEGIS算法是进入CAESAR竞赛(Competition for Authenticated Encryption:Security,Applicability,and Robustness)第三轮评选的认证加密算法.根据内部状态和密钥长度的不同,设计者推荐了三个AEGIS系列算法:AEGIS-128、AEGIS-256和AEGIS-128L.本文分别给出AEGIS-256和AEGIS-128L算法一组新的弱状态,对应出现的概率远优于现有分析结果.在此基础上,针对AEGIS-256算法,本文实现了对算法的伪造攻击,并给出内部状态与各自的明文对应,使得产生的认证标签为全0;针对AEGIS-128L算法,本文得到了算法在弱状态下的信息泄漏规律.最后对AEGIS系列算法弱状态的成因进行分析,给出了具体的设计及使用建议.目前,除设计报告外尚无对AEGIS算法的弱状态的分析,因此该文对CAESAR竞选有重要意义.

部分文件列表

文件名	大小
AEGIS算法的弱状态分析.pdf	680K

立即下载

【关注B站账户领20积分】

部分页面预览

（完整内容请下载后查看）

Vol． 46 No． 9

Sep． 2018

第

期

电

子

学

报

2018

ACTA ELECTRONICA SINICA

年

月

AEGIS

算法的弱状态分析

，

施泰荣关杰刘文哲

( 1.

，

450001; 2. 61415

，

021009)

信息工程大学河南郑州

部队内蒙古呼伦贝尔

AEGIS

CAESAR

( Competition for Authenticated Encryption: Security，Applicability，and

竞赛

摘

要

算法是进入

Robustness)

．，

第三轮评选的认证加密算法根据内部状态和密钥长度的不同设计者推荐了三个

AEGIS

: AE-

系列算法

GIS-128、AEGIS-256 AEGIS-128L． AEGIS-256 AEGIS-128L

和

，

算法一组新的弱状态对应出现的概率

和

本文分别给出

AEGIS-256

．，

远优于现有分析结果在此基础上针对

，，

算法本文实现了对算法的伪造攻击并给出内部状态与各自的明

，

文对应使得产生的认证标签为全针对

AEGIS-128L

，．

算法本文得到了算法在弱状态下的信息泄漏规律最后对

AE-

GIS

，

．

，

系列算法弱状态的成因进行分析给出了具体的设计及使用建议目前除设计报告外尚无对

AEGIS

算法的弱状

，

态的分析因此该文对

CAESAR

．

竞选有重要意义

; AEGIS ; ;

算法弱状态伪造攻击

CAESAR

关键词

中图分类号

URL: http: / /www． ejournal． org． cn

竞赛

TN918. 1

文章编号

0372-2112 ( 2018) 09-2102-06

文献标识码

DOI: 10． 3969 /j． issn． 0372-2112． 2018． 09． 009

电子学报

Analysis on the Weak States of AEGIS

SHI Tai-rong ，GUAN Jie ，LIU Wen-zhe

( 1. Information Engineering University，Zhengzhou，Henan 450001，China;

2. No． 61415 Troops，Hulunbuir，Inner Mongolia 021009，China)

Abstract: AEGIS，an authenticated stream cipher，is one of fifteen third-round candidates of CAESAR competition

( Competition for Authenticated Encryption: Security，Applicability，and Robustness) ． Three AEGIS versions: AEGIS-128、AE-

GIS-256 and AEGIS-128L are recommended in different internal state and key sizes． This paper proposes two types of weak

state for AEGIS-256 and AEGIS-128L respectively． The probabilities of these types of weak state are greater than the existing

results． And based on those analyses，a forgery attack on AEGIS-256 is introduced． Indeed，we present internal states with the

corresponding plaintexts，in which the tags are 0. As for AEGIS-128L，we attain the information leakage of encryption． Finally，

we give brief analysis of what is responsible for weak states． To the best of our knowledge，except for design document，there is

no cryptanalysis on weak state of AEGIS proposed until now． Therefore，our work is significant for CAESAR competition．

Key words: CAESAR; AEGIS; weak states; forgery attack

分析成为密码学界的研究热点^{［6，7，8］}

．

引言

［9］

AEGIS

Preneel

算法是由

和

设计的一类基于

CAESAR

认证加密算法^［1］指能同时实现数据加密和真实

，

AES

，

轮函数的认证加密算法目前已进入

竞

，

性认证功能的算法弥补了单一加密方案不能保障完

．，

赛第二轮评选算法的设计采用了分组密码的思想使

，

整性或单一认证方案不能保障机密性的缺憾已经广

128

，

比特分组作为内部状态依次对各内部状

用若干个

［2］

SSL/TLS

．

等密码协议中为了加速认证加密

泛应用于

．，

态分组进行运算根据内部状态和密钥长度的不同设

［3］

，CAESAR

． CAESAR

理论的发展

竞赛应运而生

竞赛

AEGIS

: AEGIS-128、AEGIS-

系列算法

计者推荐了

个

［4］

( NIST)

， AES 、eS-

专门资助继

由美国标准技术研究所

［5］

256、AEGIS-128L．

TREAM

．

之后又一次大规模的密码算法设计竞赛随

AEGIS

，Minaud

对

AEGIS-128、AE-

针对

GIS-256

系列算法

［10］

－ 77

CAESAR

，

竞赛的推动对于认证加密算法的安全性

着

，

算法进行了线性分析

线性偏差为

和

: 2016-08-16;

2018-02-17; :

责任编辑梅志强

收稿日期

修回日期

( No． 61572516，No． 61602514)

基金项目国家自然科学基金

2103

: AEGIS

第

期

施泰荣

算法的弱状态分析

128

－ 89

140

188

，

比特认证码长度为

128

，

比特内部状态规模

数据复杂度分别为

和

这是目前除设计报

告外唯一的分析结果事实上设计者已经在设计报告

［10］

度为

．

，

640

．

比特在

AEGIS

128

为

算法的每一步利用

比特消息

，

m ，

AES

AESRound(

不包括

中对线性攻击进行了评估文献的分析结果并没

分组

并行

个

轮函数运算

．

)

S ． AEGIS-128

下面给出

有超出设计者的评估结果

密钥加来更新状态

算法的状

，

= StateUpdate128( S ，m ) :

对于任何一个密码算法找到其潜在的弱状态对算

态更新函数

i + 1

．

法的安全性分析来说是十分必要的设计者在设计报告

= S

AESRound( S )



i + 1，0

i + 1，1

i + 1，2

i + 1，3

i + 1，4

i，0

i，1

i，2

i，3

i，4

AEGIS

中给出

算法的两类弱状态第一类弱状态是各状

AESRound( S )

i，0

，

0，

态值全部相等若当前明文为全下一步内部状态仍

AESRound( S )

i，1

128

，

种情况因此对于

AE-

然全部相等这类弱状态共有

AESRound( S )

i，2

GIS-128、AEGIS-256、AEGIS-128L，

这类弱状态出现的概率

AESRound( S )

i，3

－512

－640

－896

、2

;

第二类弱状态是每个内部状态

分别为

和

算法的内部状态更新过程如图所示

．

128

，

比特分组的各列相等若当前明文也具有这种形

，

式下一步的内部状态仍然是各列对应相等因此对于

32 ×5

AEGIS-128、AEGIS-256、AEGIS-128L

算法分别有

160

32 ×6

192

32 ×8

256

，2

和

－768

，

种情况对应出现的概率分别

－480

－608

、2

，

［9］．

为

和

具体分析见文献

AEGIS-256 AEGIS-128L

及

本文分别给出

算法的一

－ 384

，

(

设

种新的弱状态并计算相应的出现概率分别为

－ 768

－ 512

) ，2

(

) ，

其结果均优于设

计者为

设计者为

，X

128

，

比特分组用于

图

中

指一个临时

AESRound( S) ．

指

的更

i，0

．

，

AEGIS-256

计者现有弱状态分析结果在此基础上对

，R

新

;

进行的弱状态下的伪造攻击给出

AEGIS-128L

算法的

2. 3 AEGIS-256

算法

算法密钥长度为

128

．

一个弱状态实例及在加密过程中的信息泄漏

AEGIS-256

256

，

比特初始向量长

AEGIS

算法描述

，

比特内部状态规模

度为

比特认证码长度为

768

．

比特在

AEGIS

128

为

算法的每一步利用

比特消息

AEGIS

、

算法分为初始化关联数据处理加密认证

m ，

AES

(

轮函数运算不包括密钥加来

)

分组

并行

个

．，

码生成和解密与验证共五个阶段在本文中主要考虑

S ．

AEGIS-256

更新状态

下面给出

算法的状态更新函数

AEGIS-256 AEGIS-128L

及

．

算法下面首先说明本文所

= StateUpdate256( S ，m ) :

i + 1

．

使用符号的意义

2. 1

= S

AESRound( S )



i + 1，0

i + 1，1

i + 1，2

i + 1，3

i + 1，4

i + 1，5

i，0

i，1

i，2

i，3

i，4

i，5

符号说明

AESRound( S )



i，0

S :

第步更新的内部状态

;

AESRound( S )

S :

128

;

比特分组

第步更新内部状态第块

i，1

i，j

 按位异或运算

;

AESRound( S )

i，2

＆:

;

按位与运算

AESRound( S )

i，3

‖ 级联

;

AESRound( S )

i，4

「x?:

不小于的最小的整数

;

( 1)

初始化过程

( ) :

;

十六进制表示

AEGIS-256

算法的初始化过程包括将密钥和初始

const0:

128

，

比

特

常

数

，

向量注入到内部状态中并将密钥和初始向量作为消

( 000101020305080d1522375990e97962) ;

．

步状态更新密钥和初始向量注

息分组对算法进行

const1:

128

比

特

入方式如下

( db3d18556dc22ff12011314273b528dd) ;

= K

;



－ 16，0

－ 16，1

－ 16，2

－ 16，3

－ 16，4

－ 16，5

256，0

256，1

256，0

256，1

adlen:

;

关联数据长度

= K



msglen:

;

对长度为

) ．

明文分组长度

= const1;

= const0;

AESRound( S) :

128

比特的进行一轮

AES

(

运算除密钥加

= K



256，0

const0;

const1;

2. 2 AEGIS-128

算法

算法密钥长度为

= K



256，1

AEGIS-128

128

，

比特初始向量长

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

最新上传

打赏
30日榜单

21ic小能手打赏10.00元 8小时前

资料：基于NSA2860的压力传感器校准工装和算法
21ic小能手打赏10.00元 8小时前

资料：06基于51单片机的超声波测距系统（全套）程序仿真 PCB 报告原创
21ic小能手打赏5.00元 8小时前

资料：单片机实训-呼吸灯(程序仿真 PCB 报告)原创
21ic小能手打赏5.00元 8小时前

资料：基于51单片机制作智能闹表（只含程序+开发板实现）原创
21ic小能手打赏5.00元 8小时前

资料：15基于Multisim直流稳压电源电路设计（原创）
21ic小能手打赏10.00元 16小时前

资料：51单片机宠物饲养可控温定时投喂箱项目资料包
21ic小能手打赏10.00元 16小时前

资料：数电Mulitism 1 JK触发器 2 半加器 3 九进制计数器 4 译码器74LS138
21ic小能手打赏5.00元 16小时前

资料：51单片机的电子密码锁的设计
21ic小能手打赏5.00元 16小时前

资料：信号发生器原理图（AD-DA模块）
21ic小能手打赏5.00元 16小时前

资料：模电课设：直流稳压电源
21ic下载打赏310.00元 3天前

用户：gsy幸运
21ic下载打赏310.00元 3天前

用户：小猫做电路
21ic下载打赏330.00元 3天前

用户：jh0355
21ic下载打赏270.00元 3天前

用户：jh03551
21ic下载打赏230.00元 3天前

用户：liqiang9090
21ic下载打赏210.00元 3天前

用户：zhengdai
21ic下载打赏60.00元 3天前

用户：sun2152
21ic下载打赏60.00元 3天前

用户：xuzhen1
21ic下载打赏60.00元 3天前

用户：w1966891335
21ic下载打赏60.00元 3天前

用户：w178191520
21ic下载打赏60.00元 3天前

用户：xzxbybd

21ic下载打赏60.00元 3天前

用户：铁蛋锅
21ic下载打赏20.00元 3天前

用户：w993263495
21ic下载打赏20.00元 3天前

用户：kk1957135547
21ic下载打赏20.00元 3天前

用户：x15580286248
21ic下载打赏10.00元 3天前

用户：MATT222
21ic下载打赏10.00元 3天前

用户：BG2XTO
21ic下载打赏15.00元 3天前

用户：mulanhk
21ic小能手打赏5.00元 3天前

资料：STM32的dht11温度传感源码
21ic小能手打赏5.00元 3天前

资料：项目总结：蓝牙指纹识别TouchID（MYNOVA-Sparkin）
21ic小能手打赏10.00元 3天前

资料：智能巡检车（Smart Inspection Vehicle）项目总结
21ic小能手打赏5.00元 3天前

资料：十进制递增递减计数器PCB设计
21ic小能手打赏10.00元 3天前

资料：全差分运算跨导放大器设计
zhengdai 打赏1000.00元 3天前

资料：STM32IAP使用说明
gsy幸运打赏955.00元 3天前

资料：STM32IAP使用说明
小猫做电路打赏855.00元 3天前

资料：STM32IAP使用说明
21ic小能手打赏310.00元 3天前

用户：zhengdai
21ic小能手打赏320.00元 3天前

用户：liqiang9090
21ic小能手打赏310.00元 3天前

用户：gsy幸运
21ic小能手打赏270.00元 3天前

用户：jh03551

AEGIS算法的弱状态分析

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

资料专题

推荐下载

专栏首页