积分商城

最新搜索: RFID SDK gp2y1010 HFSS RDA5807 microBUCK和microBRICK直流/直流稳压器解决方案 嵌入式八股文
您现在的位置是:首页 > 技术资料 > AEGIS算法的弱状态分析
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

AEGIS算法的弱状态分析

更新时间:2019-12-24 15:10:52 大小:680K 上传用户:守着阳光1985查看TA发布的资源 标签:AEGIS算法弱状态伪造攻击 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

AEGIS算法是进入CAESAR竞赛(Competition for Authenticated Encryption:Security,Applicability,and Robustness)第三轮评选的认证加密算法.根据内部状态和密钥长度的不同,设计者推荐了三个AEGIS系列算法:AEGIS-128、AEGIS-256和AEGIS-128L.本文分别给出AEGIS-256和AEGIS-128L算法一组新的弱状态,对应出现的概率远优于现有分析结果.在此基础上,针对AEGIS-256算法,本文实现了对算法的伪造攻击,并给出内部状态与各自的明文对应,使得产生的认证标签为全0;针对AEGIS-128L算法,本文得到了算法在弱状态下的信息泄漏规律.最后对AEGIS系列算法弱状态的成因进行分析,给出了具体的设计及使用建议.目前,除设计报告外尚无对AEGIS算法的弱状态的分析,因此该文对CAESAR竞选有重要意义.


部分文件列表

文件名 大小
AEGIS算法的弱状态分析.pdf 680K

【关注视频号领20积分】   【关注公众号立即送20积分】

部分页面预览

(完整内容请下载后查看)
9
Vol. 46 No. 9  
Sep. 2018  
2018  
9
ACTA ELECTRONICA SINICA  
AEGIS  
算法的弱状态分析  
1
1
2
施泰荣 关 杰 刘文哲  
( 1.  
450001; 2. 61415  
021009)  
信息工程大学 河南郑州  
部队 内蒙古呼伦贝尔  
:
AEGIS  
CAESAR  
( Competition for Authenticated Encryption: SecurityApplicabilityand  
竞赛  
算法是进入  
Robustness)  
,  
第三轮评选的认证加密算法 根据内部状态和密钥长度的不同 设计者推荐了三个  
AEGIS  
: AE-  
系列算法  
GIS-128AEGIS-256 AEGIS-128L. AEGIS-256 AEGIS-128L  
算法一组新的弱状态 对应出现的概率  
本文分别给出  
AEGIS-256  
,  
远优于现有分析结果 在此基础上 针对  
, ,  
算法 本文实现了对算法的伪造攻击 并给出内部状态与各自的明  
文对应 使得产生的认证标签为全 针对  
0;  
AEGIS-128L  
.  
算法 本文得到了算法在弱状态下的信息泄漏规律 最后对  
AE-  
GIS  
系列算法弱状态的成因进行分析 给出了具体的设计及使用建议 目前 除设计报告外尚无对  
AEGIS  
算法的弱状  
态的分析 因此该文对  
CAESAR  
竞选有重要意义  
; AEGIS ; ;  
算法 弱状态 伪造攻击  
:
CAESAR  
关键词  
中图分类号  
URL: http: / /www. ejournal. org. cn  
竞赛  
:
TN918. 1  
:
A
:
文章编号  
0372-2112 ( 2018) 09-2102-06  
文献标识码  
DOI: 10. 3969 /j. issn. 0372-2112. 2018. 09. 009  
电子学报  
Analysis on the Weak States of AEGIS  
1
1
2
SHI Tai-rong GUAN Jie LIU Wen-zhe  
( 1. Information Engineering UniversityZhengzhouHenan 450001China;  
2. No. 61415 TroopsHulunbuirInner Mongolia 021009China)  
Abstract: AEGISan authenticated stream cipheris one of fifteen third-round candidates of CAESAR competition  
( Competition for Authenticated Encryption: SecurityApplicabilityand Robustness) . Three AEGIS versions: AEGIS-128AE-  
GIS-256 and AEGIS-128L are recommended in different internal state and key sizes. This paper proposes two types of weak  
state for AEGIS-256 and AEGIS-128L respectively. The probabilities of these types of weak state are greater than the existing  
results. And based on those analysesa forgery attack on AEGIS-256 is introduced. Indeedwe present internal states with the  
corresponding plaintextsin which the tags are 0. As for AEGIS-128Lwe attain the information leakage of encryption. Finally,  
we give brief analysis of what is responsible for weak states. To the best of our knowledgeexcept for design documentthere is  
no cryptanalysis on weak state of AEGIS proposed until now. Thereforeour work is significant for CAESAR competition.  
Key words: CAESAR; AEGIS; weak states; forgery attack  
分析成为密码学界的研究热678]  
1
引言  
9]  
AEGIS  
Wu  
Preneel  
算法 是由  
设计的一类基于  
CAESAR  
认证加密算1指能同时实现数据加密和真实  
AES  
轮函数的认证加密算法 目前已进入  
性认证功能的算法 弥补了单一加密方案不能保障完  
,  
赛第二轮评选 算法的设计采用了分组密码的思想 使  
整性或单一认证方案不能保障机密性的缺憾 已经广  
128  
比特分组作为内部状态 依次对各内部状  
用若干个  
2]  
SSL/TLS  
等密码协议中 为了加速认证加密  
泛应用于  
,  
态分组进行运算 根据内部状态和密钥长度的不同 设  
3]  
CAESAR  
. CAESAR  
理论的发展  
竞赛 应运而生  
竞赛  
3
AEGIS  
: AEGIS-128AEGIS-  
系列算法  
计者推荐了  
4]  
( NIST)  
AES eS-  
专门资助 继  
由美国标准技术研究所  
5]  
256AEGIS-128L.  
TREAM  
之后又一次大规模的密码算法设计竞赛 随  
AEGIS  
Minaud  
AEGIS-128AE-  
针对  
GIS-256  
系列算法  
10]  
- 77  
CAESAR  
竞赛的推动 对于认证加密算法的安全性  
2
算法进行了线性分析  
线性偏差为  
: 2016-08-16;  
2018-02-17; :  
责任编辑 梅志强  
收稿日期  
修回日期  
:
( No. 61572516No. 61602514)  
基金项目 国家自然科学基金  
2103  
9
: AEGIS  
施泰荣  
算法的弱状态分析  
128  
- 89  
140  
188  
2
2
2
比特 认证码长度为  
128  
比特 内部状态规模  
数据复杂度分别为  
这是目前除设计报  
告外唯一的分析结果 事实上 设计者已经在设计报告  
10]  
度为  
640  
比特 在  
AEGIS  
128  
算法的每一步利用  
比特消息  
m ,  
5
AES  
AESRound(  
不包括  
中对线性攻击进行了评估 文献 的分析结果并没  
分组  
并行  
轮函数运算  
i
)
S AEGIS-128  
下面给出  
有超出设计者的评估结果  
密钥加 来更新状态  
算法的状  
i
S
= StateUpdate128( S m ) :  
对于任何一个密码算法 找到其潜在的弱状态对算  
态更新函数  
i + 1  
i
i
法的安全性分析来说是十分必要的 设计者在设计报告  
S
= S  
= S  
= S  
= S  
= S  
AESRound( S )  
m
i + 10  
i + 11  
i + 12  
i + 13  
i + 14  
i0  
i1  
i2  
i3  
i4  
i4  
i
AEGIS  
:
中给出  
算法的两类弱状态 第一类弱状态是各状  
S
S
S
S
AESRound( S )  
i0  
m
0,  
态值全部相等 若当前明文 为全 下一步内部状态仍  
i
AESRound( S )  
i1  
128  
2
种情况 因此对于  
AE-  
然全部相等 这类弱状态共有  
AESRound( S )  
i2  
GIS-128AEGIS-256AEGIS-128L,  
这类弱状态出现的概率  
AESRound( S )  
i3  
512  
640  
896  
2
2  
2
;
第二类弱状态是每个内部状态  
分别为  
1
算法的内部状态更新过程如图 所示  
128  
m
比特分组的各列相等 若当前明文 也具有这种形  
i
式 下一步的内部状态仍然是各列对应相等 因此对于  
32 ×5  
AEGIS-128AEGIS-256AEGIS-128L  
2
=
算法分别有  
160  
32 ×6  
192  
32 ×8  
256  
2
2  
=2  
2
768  
=2  
种情况 对应出现的概率分别  
480  
608  
2
2  
2
9.  
具体分析见文献  
AEGIS-256 AEGIS-128L  
本文分别给出  
算法的一  
- 384  
2
(
种新的弱状态 并计算相应的出现概率分别为  
- 768  
- 512  
- 512  
2
) 2  
(
2
) ,  
其结果均优于设  
计者为  
设计者为  
1
X  
128  
比特分组 用于  
S
指一个临时  
AESRound( S) .  
的更  
i0  
AEGIS-256  
计者现有弱状态分析结果 在此基础上 对  
R  
;
进行的弱状态下的伪造攻击 给出  
AEGIS-128L  
算法的  
2. 3 AEGIS-256  
算法  
算法密钥长度为  
128  
一个弱状态实例及在加密过程中的信息泄漏  
AEGIS-256  
256  
256  
比特 初始向量长  
2
AEGIS  
算法描述  
比特 内部状态规模  
度为  
比特 认证码长度为  
768  
比特 在  
AEGIS  
128  
算法的每一步利用  
比特消息  
AEGIS  
算法分为初始化 关联数据处理 加密 认证  
m ,  
6
AES  
(
轮函数运算 不包括密钥加 来  
)
分组  
并行  
i
,  
码生成和解密与验证共五个阶段 在本文中 主要考虑  
S .  
i
AEGIS-256  
更新状态  
下面给出  
算法的状态更新函数  
AEGIS-256 AEGIS-128L  
算法 下面首先说明本文所  
S
= StateUpdate256( S m ) :  
i + 1  
i
i
使用符号的意义  
2. 1  
S
S
S
S
S
S
= S  
= S  
= S  
= S  
= S  
= S  
AESRound( S )  
m
i + 10  
i + 11  
i + 12  
i + 13  
i + 14  
i + 15  
i0  
i1  
i2  
i3  
i4  
i5  
i5  
i
符号说明  
AESRound( S )  
i0  
S :  
i
第 步更新的内部状态  
;
i
AESRound( S )  
S :  
i
j
128  
;
比特分组  
第 步更新内部状态第 块  
i1  
ij  
:
按位异或运算  
;
AESRound( S )  
i2  
:  
;
按位与运算  
AESRound( S )  
i3  
:
级联  
;
AESRound( S )  
i4  
x?:  
x
不小于 的最小的整数  
;
( 1)  
初始化过程  
( ) :  
;
十六进制表示  
4
AEGIS-256  
算法的初始化过程包括将密钥和初始  
const0:  
128  
向量注入到内部状态中 并将密钥和初始向量作为消  
( 000101020305080d1522375990e97962) ;  
4
16  
步状态更新 密钥和初始向量注  
息分组对算法进行  
const1:  
128  
:
入方式如下  
( db3d18556dc22ff12011314273b528dd) ;  
4
S
S
S
S
S
S
= K  
IV  
;
;
- 160  
- 161  
- 162  
- 163  
- 164  
- 165  
2560  
2561  
2560  
2561  
adlen:  
;
关联数据长度  
= K  
IV  
msglen:  
;
对长度为  
) .  
明文分组长度  
= const1;  
= const0;  
AESRound( S) :  
128  
S
比特的 进行一轮  
AES  
(
运算 除密钥加  
= K  
2560  
const0;  
const1;  
2. 2 AEGIS-128  
算法  
算法密钥长度为  
= K  
2561  
AEGIS-128  
128  
比特 初始向量长  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号