几个轻量级分组密码算法的安全性分析随着信息技术的飞速发展,密码学作为保障信息安全的核心技术,在现代信息安全领域中发挥着越来越重要的作用。分组密码作为现代密码学的一个重要分支,其研究内容主要包括分组密码设计和分析两个方面。一方面,密码设计人员的目标是设计出能够抵抗所有已知攻击的安全强度高的密码算法,而另一方面,密码分析者是在努力寻找密码算法的安全性漏洞和破译密码算法的攻击方法。这两方面的研究相互促进,共同推动了分组密码理论的发展。随着物联网的发展,RFID芯片和无线传感网络等微型计算设备的应用越来越广泛,在给人们的生活带来了极大便利的同时,如何确保了这类资源受限设备上信息的安全性,越来越引起密码学家的重视。为了适应物联网上所使用的微型计算设备资源受限的特点,设计既具有低功耗和低资源占用又满足所需要的安全性要求的轻量级分组密码算法应运而生。例如TWINE,PRESENT,LED,LBlock,SIMON和SPECK等。由于轻量级分组密码的设计目标是力求寻找安全性与执行性能的最佳折衷,然而在受限环境下运行的密码算法受资源条件约束,算法的安全性必然会受到一定影响,因此对轻量级密码算法的安全性评估显得尤为重要。2005年,王小云教授提出了模差分比特分析方法和消息修改技术,破解了MD系列Hash函数,引起了Hash函数研究的新高潮。在分组密码研究中,因为密钥是未知的,不能直接运用消息修改技术。分组密码中带密钥的比特条件方程如何求解?对于该困难问题,我们提出了动态密钥猜测的技术,取得了两项重要成果。第一,我们充分研究密码算法中非线性运算的异或差分特性,提出基于比特的动态密钥猜测技术,极大地降低了猜测密钥的空间。第二,对4比特S盒的差分特性进行了详细的分析,提出基于半字节运算的密钥猜测技术求解条件方程,降低攻击的复杂度。使用该方法对轻量级分组密码算法SIMON和LBlock进行安全性评估,主要研究成果简要介绍如下:·SIMON族分组密码算法的动态密钥猜测差分分析SIMON算法是美国国家安全局(NSA)于2013年提出的一族分组密码算法,其设计思路是使之在硬件上有较高的性能。SIMON算法采用的是Feistel结构,根据不同的分组长度和密钥长度共分为10个版本。自从SIMON族算法发布以来,引起了很多密码分析者的关注,许多分析方法被用于对SIMON算法的安全性分析,包括差分分析,线性分析,不可能差分分析,线性壳分析,零相关线性壳分析,动态立方分析等。2013年,Alkhzaimi和Lauridsen等人提出了对SIMON算法的第一个安全性分析,给出了差分分析结果和不可能差分分析结果。同年Alizadeh等人给出了线性分析结果和不可能差分分析结果。2014年,Abed等人用线性、差分、不可能差分等分析了SIMON算法。在FSE2014上,Biryukov和Velichkov等人搜索到该算法新的差分特征,并使用差分分析攻击了19轮的SIMON32/64,20轮的SIMON48和26轮的SIMON64。Wang等人在INDOCRYPT2014上提出了对SIMON的积分攻击、线性攻击和不可能差分攻击。孙思维等人在ASIACRYPT2014上针对比特型的分组密码,提出了一种新的自动搜索差分特征的工具,并获得了SIMON算法新的差分特征。Kolbl在CRYPTO2015上推导出SIMON算法轮函数的平方相关的显示公式,并利用SAT/SMT求解器获得了部分版本的最优线性路线。我们的工作是在模差分比特分析方法和消息修改技术思想的基础上,通过深入分析算法中非线性运算的异或差分特性,将模差分比特分析方法用于分组密码分析,于2014年提出了动态密钥猜测技术。基于已有的差分路线,利用轮函数非线性部件的差分特性,建立一系列使得扩展轮差分路线成立的充分的比特条件方程。这些比特条件可以分成两类,一类条件只依赖于明文和密文,我们将这一类条件用于选择明文构造数据结构,降低明文收集的复杂度,并提前过滤掉无效的明密文对,降低计算候选密钥过程的复杂度。第二类条件是与密钥相关的,用于猜测密钥。因为,在第二类条件方程中存在一些冗余信息,在攻击过程中,通过不同的选择明密文对及它们所对应的不同的比特方程,尽量避免猜测包含在这些条件中冗余的子密钥或等价密钥比特。采用提出的动态密钥猜测思想,在使用相同的差分路线的情况下,通过选择明文并动态地求解相应的比特方程,可以极大地降低猜测密钥的空间,该方法可以提高经典的差分、不可能差分及线性分析中密钥恢复阶段的密钥猜测效率。应用该技术,针对SIMON32,SIMON48,SIMON64,SIMON96和SI-MON128版本算法,我们的攻击结果比以往不使用动态密钥猜测技术的经典差分分析提高了2-4轮。特别地,对SIMON64/96,SIMON64/128,