推荐星级:
- 1
- 2
- 3
- 4
- 5
LBlock-s算法的不可能差分分析
资料介绍
LBlock-s算法是CAESAR竞赛候选认证加密算法LAC中的主体算法,算法结构与LBlock算法基本一致,只是密钥扩展算法采用了扩散效果更好的增强版设计.利用新密钥扩展算法中仍然存在的子密钥间的迭代关系,通过选择合适的14轮不可能差分特征,我们给出了对21轮LBlock-s算法的不可能差分分析.攻击需要猜测的子密钥比特数为72比特,需要的数据量为263个选择明文,时间复杂度约为267.61次21轮加密.利用部分匹配技术,我们也给出了直到23轮LBlock-s算法低于密钥穷举量的不可能差分分析结果.这些研究可以为LAC算法的整体分析提供参考依据.
部分文件列表
| 文件名 | 大小 |
| LBlock-s算法的不可能差分分析.pdf | 1M |
部分页面预览
(完整内容请下载后查看)4
Vol. 45 No. 4
Apr. 2017
第
期
电
子
学
报
2017
4
ACTA ELECTRONICA SINICA
年
月
LBlock-s
算法的不可能差分分析
1,2
1,2
3
, ,
贾 平 徐 洪 来学嘉
( 1.
,
信息工程大学 河南郑州
450001; 2.
,
数学工程与先进计算国家重点实验室 河南郑州
450001;
3.
,
上海交通大学计算机科学与工程系 上海
200240)
:
LBlock-s
CAESAR
LAC
, LBlock
中的主体算法 算法结构与 算法基本一
摘
要
算法是
竞赛候选认证加密算法
,
.
,
致 只是密钥扩展算法采用了扩散效果更好的增强版设计 利用新密钥扩展算法中仍然存在的子密钥间的迭代关系
14 21 LBlock-s .
算法的不可能差分分析 攻击需要猜测的子密钥
,
通过选择合适的
轮不可能差分特征 我们给出了对
轮
63
, ,
比特 需要的数据量为 个选择明文 时间复杂度约为
67. 61
72
2
2
21
. ,
轮加密 利用部分匹配技术 我们也给
比特数为
次
23
LBlock-s
.
算法低于密钥穷举量的不可能差分分析结果 这些研究可以为
LAC
出了直到
轮
算法的整体分析提供参
.
考依据
关键词
中图分类号
URL: http: / /www. ejournal. org. cn
:
LBlock
; LBlock-s
; ;
算法 密钥扩展算法 不可能差分分析
算法
:
TP 309. 7; TN 918. 1
:
A
: 0372-2112 ( 2017) 04-0966-08
DOI: 10. 3969/j. issn. 0372-2112. 2017. 04. 028
文献标识码
文章编号
电子学报
Impossible Differential Cryptanalysis of Reduced-Round LBlock-s
1,2
1,2
3
JIA Ping ,XU Hong ,LAI Xue-jia
( 1. Information Engineering University,Zhengzhou,Henan 450001,China;
2. State Key Laboratory of Mathematical Engineering and Advanced Computing,Zhengzhou,Henan 450001,China;
3. Department of Computer Science & Engineering,Shanghai Jiao Tong University,Shanghai 200240,China)
Abstract: LBlock-s is the kernel block cipher of the authentication encryption algorithm LAC submitted to CAESAR
competition. The general structure of LBlock-s is almost the same as that of LBlock,but LBlock-s adopts an improved key
schedule algorithm with better diffusion property. Using the shifting relation of subkeys derived by the key schedule algo-
rithm,an impossible differential cryptanalysis on 21-round LBlock-s was presented based on a 14-round impossible differen-
67. 61
63
21-round encryptions and 2 chosen plaintexts respectively,and the number of
tial. The time and data complexities are 2
subkey bits needed to be guessed is 72. Using partial-matching method,an impossible differential cryptanalysis on LBlock-s
up to 23-round was also presented with time complexity less than exhaustion of all key bits. This work is useful for the secu-
rity analysis of LAC algorithm.
Key words: LBlock; LBlock-s; key schedule algorithm; impossible differential cryptanalysis
[5,6]
不可能差分分析
是分组密码中非常有效的密
1
引言
, 0
码分析方法之一 它利用出现概率为 的差分特征排除
[1]
LBlock-s
CAESAR
竞赛 候选认证加密算
算法是
. 2003 ,Kim
年
错误密钥以达到降低密钥搜索量的目的
[2]
[3]
LAC
.
中的主体算法 算法整体与
LBlock
[7]
法
算法
基
.
给出了自动搜索不可能差分链的矩阵方法 利用
等
,
本一致 采用
Feistel-SP
, 4 ,
结构 基于 比特块设计 分组
[3]
,Wu
LBlock
( 0, ) / ( ,
α β
→
该方法
等给出了
算法形如
14r
64
,
比特 密钥长度为
80 , 32
比特 迭代轮数为
长度为
0) 14
的
( ,
轮不可能差分特征 其中 α β 恰有一个非零
,
轮 但是密钥扩展算法采用了
Wang Yanfeng
Bi-
等针对
) ,
并给出了对
20
LBlock
.
算法的不可能差分分析
块
轮
[4]
clique
.
攻击提出的扩散效果更好的增强版设计
,
利用密钥扩展算法的特点 选择新的不可能差分特征
,
: 2015-10-23;
: 2016-03-01; :
责任编辑 孙瑶
收稿日期
修回日期
:
基金项目 国家自然科学基金
( No. 61100200,No. 61170235,No. 61309017,No. 61472251,No. 61502524,No. 61521003,No. U1536101) ;
863
高
国家
( No. 2015AA01A708)
技术研究发展计划
967
4
: LBlock-s
算法的不可能差分分析
第
期
贾
平
[8,9]
Liu、Karakoc
LBlock
21
算法的
等
随后分别给出了
、22
. 2014
,Boura
年 亚 密 会 上
轮
轮 不 可 能 差 分 分 析
[10]
等
研究了利用密钥扩展算法的特点优化不可能差分
23 LBlock
,
分析的一般模型 并给出了直到
轮
算法的不
[11 ~ 16]
. Minier
可能差分分析
LBlock
等
研究了相关密钥条件下
.
减轮
算法的差分和不可能差分分析
LBlock-s LBlock
,
由于
它也具有形如
LBlock-s
算法与
算法整体结构一致
14
轮不可能差分特
( 0, ) /
(
,0)
的
α
β
→
14r
X
X ,
输出
32
64
P = X X .
比特明文 ‖
1
‖
33
0
.
,
算法采用了新的密钥扩展算法
征 然而由于
LBlock-s
:
的密钥扩展算法如下
,
子密钥扩散速度更快 原有的基于密钥扩展算法的不
80
K = ( k k …k k )
0
,
置入寄存器 次
将
比特密钥
,k
79 78
1
.
可能差分分析结论不再成立 通过对新密钥扩展算法
k
序为 在最左边
79
.
在最右边 取最左边
0
32
比特作为
31
,
的深入分析我们发现 采用新的密钥扩展算法后相邻
K .
1
i = 1,2,…,31,
按照以下步骤执行
:
次
子密钥
对
,
轮部分子密钥间仍然存在一些可以利用的迭代关系
21 LBlock-s
( 1) K <<< 24
,
由此可以对
轮
算法进行不可能差分分析
( 2) [k k k k ]= S[k k k k ] [k k k k ]
⊕
55 54 53 52
55 54 53 52
79 78 77 76
72
,
比特 需要的数据
攻击需要猜测的子密钥比特数为
[k k k k ]= S[k k k k ] [k k k k ]
⊕
31 30 29 28
63
67. 61
31 30 29 28
75 74 73 72
2 ,
量为 个选择明文 时间复杂度约为
2
21
次 轮加
[k k k k ]=[k k k k ] [k k k k ]
⊕
67 66 65 64
67 66 65 64
71 70 69 68
.
密 再利用
Boura
23
等的改进方案可以给出直到 轮
[k k k k ]=[k k k k ] [k k k k ]
⊕
8
51 50 49 48
11 10
9
51 50 49 48
LBlock-s
.
算法的不可能差分分析结论
( 3) [k k k k k ]=[k k k k k ] [i]
⊕
2
54 53 52 51 50
54 53 52 51 50
2
LBlock-s
算法简介
( 4)
32
比 特 密 钥 作 为 子 密
取 寄 存 器 最 左 端
K
.
钥
i + 1
.
先给出文中要用到的一些符号
P,C: 64 ;
比特明文和密文
LBlock
( 1 )
原始密钥扩展算法 如算法 所示 可
对比
,
以发现 原密钥扩展算法中寄存器每次更新
13
,
个比特
P, C: ;
Δ 明文和密文差分
Δ
16
,
个比特 并且
而新密钥扩展算法中寄存器每次更新
K :
r
r
;
轮的子密钥
第
更新时与更多的密钥比特相关使得密钥比特的整体扩
X :
r
r
32
,X 1 32
为第 轮右边
0
第
轮左边
比特输入
[4]
,
散效果更好 这也是
Wang
LBlock
等
在分析
算法抵抗
;
比特输入
Biclique
.
攻击能力时提出的改进方案
X
Y: X
Y
;
的级联
‖
和
j
X : X
i
j
4
( 0
的第 个 比特块 ≤ ≤ 从左到右依次为
i
j 7,
1
LBlock
的密钥扩展算法
算法
7,6,…,0) ;
X <<< i: X
i
循环左移 个比特
;
80
K = ( k
k
79 78
…k k ) , k
置入寄存器 次序为 79 在最
0
将
比特密钥
1
,k
0
.
在最右边 取最左边
32
K .
1
i = 1,2,…,
对
左边
比特作为子密钥
[i]:
2
i
整数 的二进制形式
.
31,
按照以下步骤执行
31
:
次
LBlock-s
.
下面简要介绍
算法及其密钥扩展算法
( 1) K <<< 29
( 2) [k k k ]= S [k k k k ]
79 78 77 76 8 79 78 77 76
LBlock-s
CAESAR
LAC
是
竞赛候选认证加密算法
LBlock
k
,
中的主体算法 其结构与
,
算法基本一致 均采用
80
比
[k
k k k ]= S [k k k k ]
75 74 73 72 9 75 74 73 72
Feistel-SP
,
结构 分组长度为
64
,
比特 密钥长度为
( 3) [k
k k k k ]=[k k k k k ] [i]
⊕
50 49 48 47 46 50 49 48 47 46 2
,
32 P = X
.
X
64
,
比特明文
特 迭代轮数为
具体加密过程如下
( 1) i = 1,2,…,32,
轮 以
‖
表示
( 4)
32
K
.
i + 1
取寄存器最左端
比特密钥作为
1
0
:
LBlock-s
4
算法的轮函数以 比特块为基本单
由于
对
令
,
位 其密钥扩展算法中采用的移位数
24 4 ,
也是 的倍数
X = F( X ,K
i
)
( X <<< 8) .
⊕
i - 2
i - 1
i - 1
. ,
不会打乱块内的顺序 另一方面 密钥寄存器的更新也
( 2)
,
交换左右两块 输出
C = X
X , 64
作为 比
32
‖
33
4 ,
基于多个 比特块的整体运算 因此若将密钥寄存器以
.
特密文
其中轮函数 定义为
K ) ) ( 1) ,LBlock-s
4
,
比特块为基本单位进行重组 则可以大大简化密钥寄
F
: F ( X ,K ) = P ( S ( X
⊕
i
i
i
.
存器各块间的状态更新关系
不妨记密钥寄存器的初值为 κ
4 S
算法使用了相同的 比特
参见图
i
19
18
0
= (
, ,…, )
κ κ
1
κ
, LBlock
盒 而
8 4 S ,
算法使用了 个不同的 比特 盒 具体
1
1
1
j
= K,
其中 κ
= ( k
k k k ) ( 0
4j + 3 4j + 2 4j + 1 4j
j
≤ ≤
19)
4
为 比特
S
[2,3].
盒的构造参见文献
1
, i
数 并记 轮 迭 代 后 密 钥 寄 存 器 的 状 态 值 为 κ
i + 1
=
,
解密 算法 是加 密 算法的 逆过程 已 知密 文
C =
更多>>
最新上传
- 打赏
- 30日榜单
-
zhengdai 打赏1000.00元 3天前
资料:STM32IAP使用说明
-
gsy幸运 打赏955.00元 3天前
资料:STM32IAP使用说明
-
小猫做电路 打赏855.00元 3天前
资料:STM32IAP使用说明
-
21ic小能手 打赏310.00元 3天前
用户:zhengdai
-
21ic小能手 打赏320.00元 3天前
用户:liqiang9090
-
21ic小能手 打赏310.00元 3天前
用户:gsy幸运
-
21ic小能手 打赏270.00元 3天前
用户:jh03551
-
21ic小能手 打赏240.00元 3天前
用户:小猫做电路
-
21ic小能手 打赏210.00元 3天前
用户:w178191520
-
21ic小能手 打赏90.00元 3天前
用户:kkfjenui
-
21ic小能手 打赏60.00元 3天前
用户:liao6
-
21ic小能手 打赏60.00元 3天前
用户:w1966891335
-
21ic小能手 打赏90.00元 3天前
用户:jh0355
-
21ic小能手 打赏30.00元 3天前
用户:xuzhen1
-
21ic小能手 打赏30.00元 3天前
用户:sun2152
-
21ic小能手 打赏50.00元 3天前
用户:xzxbybd
-
21ic小能手 打赏50.00元 3天前
用户:mulanhk
-
21ic小能手 打赏20.00元 3天前
用户:x15580286248
-
21ic小能手 打赏15.00元 3天前
用户:w993263495
-
21ic小能手 打赏30.00元 3天前
用户:玉落彼岸
-
21ic小能手 打赏20.00元 3天前
用户:铁蛋锅
-
21ic小能手 打赏10.00元 3天前
用户:zmcch
-
21ic小能手 打赏10.00元 3天前
-
21ic下载 打赏1.00元 3天前
用户:zzcyolo
-
21ic下载 打赏1.00元 3天前
用户:玉落彼岸
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
sdqdjqk 打赏1.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
wisdomlin 打赏1.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
799902619 打赏1.00元 3天前
资料:新立新龙软件
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏10.00元 3天前
全部评论(0)