收稿日期:2017-07-22;修回日期:2017-09-29 基金项目:中央高校基本科研业务费资助项目(2017LG04)
作者简介:李艳俊(1979-),女,山西晋城人,副教授,博士,主要研究方向为信息安全、密码函数(lyj@https://www.doczj.com/doc/7e4599942.html, );石宇婷(1992-),女,山西吕梁人,硕士,主要研究方向为分组密码的分析.
轻量级分组密码PiccoIo 的积分攻击*
李艳俊,石宇婷
(北京电子科技学院信息安全系,北京100070)
摘 要:为了评估分组密码Piccolo 的积分性质,提出Piccolo 算法的5轮积分区分器,对无白化密钥的Piccolo
进行了7轮和8轮攻击。其中,7轮攻击的数据复杂度为217个明文,时间复杂度为220.368
次7轮加密,8轮攻击的
复杂度分别为218和253.
000
。随后,将5轮区分器向解密方向扩展2轮,得到7轮区分器,对Piccolo 进行了9轮攻击。若考虑白化密钥,数据复杂度为248个明文,时间复杂度为252.237
次9轮加密;若无白化密钥,复杂度均为248。据现有资料,这是首次评估Piccolo 算法在积分攻击方面的安全性。关键词:轻量级分组密码;Piccolo ;积分攻击;部分和技术中图分类号:TP309.2 文献标志码:A 文章编号:1001-3695(2018)11-3413-05
doi :10.
3969/j.issn.1001-3695.2018.11.051Integral attack of light weight block cipher Piccolo
Li Yanjun ,Shi Yuting
(Dept.ofInf ormation Security ,Beij ing Electronic Science &Technology Institute ,Beij ing 100070,China )
Abstract :To evaluate block cipher Piccolo ’s integral property ,this paper first proposed a 5-round integral distinguisher of
Piccolo ,and used it to attack 7-round and 8-round on Piccolo which without whitening keys.The data complexity of the 7-round ana-lysis was 217plaintexts ,the time complexity was 220.
368
times 7-round encryptions ,and the complexity of 8-round analysis was 218and 253.000
respectively.Then ,it extended the 5-round distinguisher to another 2-round in the decryption direc-tion and obtained a 7-round distinguisher ,and attacked 9-round on Piccolo based on it.If there were whitening keys ,the data complexity was 248plaintexts ,and the time complexity was 252.237times 9-round encryptions ,else the complexity was 248.Ac-cording to the available information ,it ’s the first assessment of the Piccolo algorithm in terms of integral attack security.Key words :lightweight block cipher ;Piccolo ;integral attack ;partial sum technique
随着物联网技术的快速发展,RFID 标签、无线网络传感器等体积小、资源受限的设备日渐普及,相应地需要设计轻量且安全的密码算法。近年来研究人员设计了许多轻量级分组密
码,如mCtypton 、HIGHT 、PRESENT 、M
idori 等。2011年,Shibu-tani 等人[1]在CHES2011提出了新的轻量级密码算法Piccolo ,该算法采用了广义Feistel 结构,分组长度为64bit ,密钥长度为80bit 或128bit ,能够很好地抵御相关密钥攻击与中间相遇攻击等攻击方式。与其他轻量级分组密码相比,Piccolo 算法的最大优点在于硬件实现消耗小,更适用于低能耗设备。
积分分析是除了差分分析和线性分析之外的主要攻击方法之一,最初由Daemen 等人[2]针对Square 密码算法提出,又称做Square 攻击。2001年,Lucks [3]将Square 方法用于分析Feistel 结构型分组密码Twofish ,并在此基础上提出了Satura-tion 攻击。同年,Biryukov 等人[4]在分析SPN 结构安全性时,提出了M ultiset 攻击。Knudsen 等人[5]在总结Square 、Satura-tion 和M ultiset 攻击的基础上提出了积分攻击,并给出积分攻击的一般原理和方法。2008年,Z ’aba 等人[6]针对基于bit-slice 结构的算法提出了比特模式的积分攻击,使得在分析基于比特设计的密码算法时不再束手无策。
自积分分析提出以来,已广泛用于许多密码算法的安全性分析中,包括CRYPTON [7]、Khazad [8]等SP 结构型的分组密码,以及Twofish 、Camellia [9]等Feistel 结构型的分组密码算法。其中,积分攻击对AES 、CLEFIA [10]等算法的分析效果显著,部分结果甚至优于已有的差分分析和线性分析结果。
为了验证Piccolo 算法的安全性,很多学者提出了对Picco-lo 算法的各种攻击方法,主要有Biclique 攻击、相关密钥不可能差分攻击。在Biclique 攻击[11]中,笔者提出了无白化密钥
的全轮Piccolo-80和Piccolo-128攻击,需要的数据复杂度分别为248和224,时间复杂度为278.95和2126.79
次加密。在相关密钥
不可能差分分析[12]
中,笔者对无白化密钥的Piccolo-80和Pic-colo-128分别提出了14轮攻击和21轮攻击。其中,前者的时
间、数据复杂度均为268.
19,后者为2117.77。目前,还没有针对Piccolo 算法的积分攻击,本文在对算法模块进行深入分析后,提出了关于Piccolo 算法的积分攻击。本文的工作不仅可以比较积分攻击与其他攻击之间的效率,还可以评估Piccolo 算法模块的积分性质,可为模块设计提供新的测试指标。本文首先提出了一种针对Piccolo-80算法的5
轮积分区分器,并将其向解密方向扩展2轮,得到了7轮区分器。文中使用5轮积分区分器,对无白化密钥的Piccolo-80进
行了7轮和8轮的攻击,使用7轮区分器,对Piccolo-80进行了
9轮的攻击,并给出了攻击的数据和时间复杂度。
1 预备知识
1.1 符号说明
a (
b )表示比特长度为b 的数据a ;a |b 表示数据a 和b 的级联;a L
(b )表示数据a 的高b bit ;a R
(b )表示数据a 的低b bit ;t a 表示向量或矩阵a 的转置;{a }b 表示数据a 的b 进制;a ←b 表示将b 的值赋给a ;X i 表示第i 轮的输入状态;Y i 表示第i 轮扩散层
第35卷第11期2018年11月 计算机应用研究
Application Research of Computers Vol.35No.11Nov.2018
万方数据