对 PRINCE分组密码的不可能差分攻击魏悦川;潘晓中;戎宜生;王绪安【摘要】The PRINCE is a light‐weight block cipher with the 64‐bit block size and 128‐bit key size . It is characterized by low power‐consumption and low latency . PRINCEcore is the PRINCE cipher without key‐whiting . For evaluating its security , a statistical testing on linear transformation is performed , and a statistical character matrix is given . By using the �miss‐in‐the‐middle" technique , we construct a 5‐round impossible differential characteristic . Based on the 5‐round distinguisher , a 9‐round attack on the PRINCEcore is performed . For the 9‐round attack , the data complexity , time complexity and space complexity are 261.2 , 254.3 and 217.7 , respectively . The testing result shows that the PRINCEcore reduced to 9 rounds is not immune to impossible differential attack .%PRINCE是一个具有64 bit分组长度,128 bit密钥的轻量级分组密码,具有低功耗、低延时等特点.不包含密钥白化的PRINCE密码被称为PRINCEcore .为评估其安全性,笔者对 PRINCE密码的线性变换进行统计测试,给出了线性变换的统计特征,并利用“中间相错”的方法构造了PRINCE密码的5轮不可能差分区分器.利用该区分器,结合线性变换的性质,对9轮PRINCEcore进行不可能差分攻击,攻击的数据复杂度为261.2,计算复杂度为254.3,存储复杂度为217.7.测试结果表明,9轮PRINCEcore密码对于文中给出的攻击是不免疫的.【期刊名称】《西安电子科技大学学报(自然科学版)》【年(卷),期】2017(044)001【总页数】6页(P119-124)【关键词】分组密码;不可能差分攻击;PRINCE密码;攻击复杂度【作者】魏悦川;潘晓中;戎宜生;王绪安【作者单位】武警工程大学电子技术系,陕西西安 710086;武警工程大学电子技术系,陕西西安 710086;武警工程大学装备工程学院,陕西西安 710086;武警工程大学电子技术系,陕西西安 710086【正文语种】中文【中图分类】TN918近年来,“物联网”一词越来越多地出现在人们的视野中.物联网的发展被许多国家提上战略高度,产业规模不断扩大.由于制造成本和便携性的限制,物联网中的许多设备是计算能力较弱的微型处理设备.为了保护射频识别标签以及智能卡等设备的通信安全,同时适应资源受限环境,许多轻量级分组密码先后提出,如PRESENT,LBlock,LED,SIMON,SPECK等[1-2].文献[3]提出了一个轻量级分组密码——PRINCE,其明文分组长度为64 bit,支持128 bit密钥.PRINCE是基于FX构造的密码算法,一个有趣的性质是对轮密钥稍加改变,加密和解密将具有一致性,这使得解密开销可以忽略不计,这一性质被称为α反射特性.对于PRINCE密码的安全性分析主要是基于α反射特性进行的,文献[4]指出,若选择特定的α值,则在相关密钥模型下,可以对全轮的PRINCE密码进行相关密钥攻击.若采用设计者给出的α值,则只能对PRINCE密码攻击至6轮.文献[5]系统地分析了PRINCE密码在相关密钥模型下的安全性,其指出,在一对相关密钥下可以攻破全轮的PRINCE密码,还给出了用于攻破全轮PRINCEcore的α参数,以及6轮PRINCE密码的积分攻击结果.文献[6]在2015年欧密会中指出,包括PRINCE在内的基于FX构造的密码,其安全界低于设计者提出的界.基于中间相遇攻击的思想,文献[7]给出了PRINCE密码的10轮攻击结果.文献[8]针对侧信道模型,分析了PRINCE密码抵抗差分故障攻击的能力.不可能差分分析方法是分析分组密码安全性的有效方法之一.不同于传统的差分分析通过寻找高概率的差分来恢复密钥,不可能差分分析方法寻找的是不可能出现的差分.若某个猜测密钥能使不可能差分出现,则一定是错误密钥,从而淘汰,将错误密钥淘汰后剩下的密钥即为正确密钥.不可能差分分析经文献[9-10]独立提出之后,已经显示出了巨大的生命力,它是对当前许多流行密码算法包括Rijndael在内的最有效的攻击手段之一.笔者研究了PRINCE密码对不可能差分分析的免疫力.在研究PRINCE密码结构性质的基础上,对该密码的线性变换进行统计测试,给出了线性变换的统计特征,并利用“中间相错”的方法构造了PRINCE密码的5轮不可能差分区分器.利用该区分器,结合线性变换的性质,对PRINCE密码进行不可能差分攻击.测试结果显示,9轮PRINCEcore密码对不可能差分攻击是不免疫的.9轮攻击的数据复杂度为261.2,时间复杂度为254.3,空间复杂度为217.7.1.1 PRINCE密码简介PRINCE分组密码具有64 bit分组长度和128 bit密钥长度.密钥扩展算法首先将128 bit密钥k平均分成两部分k=(k0‖k1),然后再将k扩展成为192 bit,具体算法为k=(k0‖k1)→(k0‖k′0‖k1)=(k0‖L(k0)‖k1),其中L(x)=(x>>>1)⊕(x>>63),‖,>>>,>>依次代表联结,循环右移,右移符号.两个64 bit子密钥k0和k′0分别用于输入和输出的密钥白化,中间PRINCEcore 部分使用子密钥k1进行加密,PRINCEcore包括12轮轮变换,中间对合轮记为两轮,如图1所示.PRINCEcore有两种轮变换Ri和,两者互为逆变换.Ri和分别迭代6轮,中间对合变换记为两轮.其中,中间的线性变换Mmid定义为Mmid=M◦M′◦M-1=SR◦M′◦SR-1.将64 bit分组看作4×4的状态矩阵,每一个元素为4 bit(半字节),轮变换R由4个基本变换复合而成,分别为密钥加,常数加,S盒,P置换.轮变换R记为R=M◦SB◦AC◦AK.密钥加(AK):将64 bit的轮密钥用异或运算作用在64 bit的状态上.常数加(AC):将64 bit的轮常数用异或运算作用在64 bit的状态上.S盒(SB):PRINCE由16个4×4的S盒并置而成.S盒的映射取值如表1所示.P置换(M):将线性变换M作用在4×4的状态矩阵上,M=SR◦M′,SR是对矩阵的行移位,M′=diag(0,1,1,0),是一个64×64的对角型对合矩阵,它由两个16×16的列混合变换0和1构造而成,0和1均为16×16的二元矩阵,定义如下:1.2 P置换的性质容易验证,PRINCE密码的P置换中的线性变换M′是一个对角矩阵,当该对角矩阵作用在4×4的状态矩阵上时,相当于将每个子矩阵作用在状态矩阵的每一列上.进一步分析,可以得到M′的下列性质.性质1 将状态矩阵看作16列4 bit数据i=0,…,15,线性变换M′等价于16个独立的线性变换分别作用在每一列上,变换方式为[11]其中,w(·)是汉明重量,Rotni(·)是循环上移ni位.基于性质1,利用计算机程序对线性变换M′进行测试,得到性质2.性质2 令w(·)为字节汉明重量,表2为通过计算机搜索得到的nij值,则线性变换M′将具有固定位置的i个非零半字节差分变换为具有固定位置的j个非零半字节差分的概率为笔者利用“中间相错”的方法给出PRINCE密码的5轮不可能差分.为方便起见,对一些符号进行约定.令P和C分别表示明文和密文,分别表示Ri轮中S盒变换、M′线性变换、SR移位变换后的输出.用xi,col(l)来表示xi的第l列.约定PRINCE密码的状态矩阵的16个半字节按照如下顺序映射为64 bit字.定理1 若输入差分具有形式(1 000,1 000,1 000,0,0,0,0,0,0,0,0,0,0,0,0,0),则第8轮中SR-1的输出差分不可能为(0,?,0,?,0,?,0,?,?,0,?,0,?,0,?,0)的形式.其中每个半字节位置上0代表4 bit均为0差分,“?”代表差分取值任意.证明证明过程参考图2.其中●代表差分值非零的半字节.设第3轮R3中S盒变换的输出差分具有形式(1 000,1 000,1 000,0,0,0,0,0,0,0,0,0,0,0,0,0),经过线性变换M′后,差分为(1 000,0,0,0,0,0,0,0, 0,0,0,0,0,0,0,0),经过行移位变换SR不影响差分形式.在第4轮变换R4中,S盒将1个非零差分半字节映射为1个非零差分半字节,线性变换M′将1个非零差分扩展为3个,SR变换将同一列中的3个非零半字节差分变换到不同的行.第5轮的线性变换M′将3个半字节的非零差分扩展为9个.在对合变换中,经过S盒变换后,状态矩阵中仍有9个非零半字节差分.在解密方向,考虑第8轮的SR-1变换的输出,若差分具有(0,?,0,?,0,?,0,?,?,0,?,0,?,0,?,0)的形式,其中?代表任意差分,则对合变换M′的输出差分中至少有9个半字节没有差分(零差分),这与加密方向的结论:状态字节中有9个非零差分相矛盾.因此,上述差分为不可能差分.证毕.由定理1的证明过程容易得到以下推论.推论1 若输入差分具有形式(●,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0),则第8轮中SR-1的输出差分不可能为(0,?,0,?,0,?,0,?,?,0,?,0,?,0,?,0)的形式.符号意义同定理1.攻击过程是基于推论1中的不可能差分进行的.利用不可能差分攻击的思想,即任何导致不可能差分出现的密钥都是错误密钥,可以对候选密钥进行筛选,最终得到正确密钥.PRINCE密码的中间是一个对合变换,由于这种特殊结构,笔者选择的攻击路径是由对合变换向两边扩展得到的路径,即攻击第2轮至第10轮.下面给出对PRINCE密码的9轮不可能差分攻击方案.图3给出了差分传播路径以及每一步成立的概率,笔者采用的攻击步骤如下:预计算设的差分为(a,0,0,0),的差分为(0,b,0,0),的差分为(0,0,c,0),由性质2可以推出,线性变换M′只能将具有3或4个非零差分的16 bit字映射为具有1个非零差分的16 bit字.第2轮的输入对的可能数目为(16+44)3≈217.7,对于这217.7个对,分别计算1、2、3列的值,将其对应的12个半字节对的差分存储在Hash表S中. 步骤1 选择n个明文结构,该结构中除第4列为固定值外,其他列的差分为预计算列表中的任意值.因此,得到2n+17.7个明文和2n+35.4个明文对.选择明文对(P,P′),其对应的密文对为(C,C′),计算=M′S(C)和=M′S(C′),使得所选择的明文对满足对应的的差分在(1,2,6,7,8,11,12,13)这8个半字节位置上为0,满足条件的明密文对的数目为2n+35.4×2-4×8=2n+3.4.步骤2 猜测密钥k1在(0,1,2)3个半字节位置上的值,对每一次猜测,加密明文对以获得,选择差分在位置0上非零,在(1,2,3)位置上为零的对.满足这一条件的概率p31≈2-12,进而剩余对的数目为2n+3.4× p31≈2n-8.6.步骤3 设k1的(0,1,2)3个半字节为步骤2中所猜测,重新猜测k1在位置3上的值,对剩余的密文对部分解密以获得,选择差分在0位置上为非零,在(1,2,3)位置上为零的对.满足这一条件的概率p41≈2-12.5,进而剩余对的数目为2n-8.6×p41≈2n-21.1.步骤4 猜测密钥k1在位置(4,5,6,7)4个半字节位置上的值,对每一次猜测,部分解密以获得,选择差分在位置5上非零,在位置(4,6,7)上为零的对.满足这一条件的概率也为p41≈2-12.5,进而剩余对的数目为2n-21.1×p41≈2n-33.6.步骤5 用步骤2和步骤3中所猜测的k1的4个半字节部分解密以获得,判断差分是否在(0,2)位置上为0,在(1,3)位置非零.如果是,则说明猜测密钥导致了不可能差分的出现,将上述猜测密钥淘汰.根据性质2,其概率p22≈2-5.2.在笔者攻击中,一共需要猜测k1的8个半字节,分析一个明文对,错误密钥未被淘汰的概率是1-2-5.2,因此,在分析了2n-33.6个剩余对后,剩余的错误密钥数量约为232(1-2-5.2)2n-33.6,取n=43.8,可以使这一数目小于1.复杂度分析在上述攻击中,所需明文量为243.8+17.4=261.2.时间复杂度计算如下,步骤2中需要2× 212×243.8+3.4×3≈261.8次S盒计算,相当于260.2×(3/16)×(1/12)=254.2次加密运算;步骤3需要2×216× 243.8-8.6×4=254.2次S盒计算,相当于252.2×(4/16)×(1/12)=246.6次加密运算;步骤4需要2×216×216× 243.8-21.1×4=257.7次计算,相当于2×216×216×243.8-21.1×2=256.7;步骤5需要2×216×216×243.8-33.6×2=244.2次S盒运算.因此,该攻击共需要261.8+254.2+257.7+244.2≈261.9次S盒运算,相当于261.9×(1/16)× (1/12)≈254.3次加密运算.PRINCE是一个具有64 bit分组长度,128 bit密钥的轻量级分组密码.笔者分析了PRINCE密码对于不可能差分分析方法的免疫性.利用“中间相错”方法构造了PRINCE密码的5轮不可能差分区分器,对该区分器进行前后扩展,给出了对9轮PRINCEcore的攻击方案.测试结果显示,9轮攻击的数据复杂度为261.2个明文,计算复杂度为254.3次加密运算,存储复杂度为217.7个明文.对于线性变换的统计测试使得明文可以通过存储获得,同时通过计算每一步成立的概率,使得攻击复杂度更为精确,并且经过选择比较,笔者攻击中给出的差分途径可以最为有效地淘汰错误密钥.【相关文献】[1]WU W L,ZHANG L.LBlock:a Lightweight Block Cipher[C]//Lecture Notes in Computer Science:6715. Heidelberg:Springer Verlag,2011:327-344.[2]BEAULIEU R,SHORS D,SMITH J,et al.The SIMON and SPECK Lightweight BlockCiphers[C]//Proceedings of the 2015 ACM/EDAC/IEEE Design Automation Conference:2015.Piscataway:IEEE,2015:a175.[3]BORGHOFF J,CANTEAUT A,GÜNEYSU T,et al.PRINCE—a Low-latency Block Cipher for Pervasive Computing Applications[C]//Lecture Notes in ComputerScience:7658.Heidelberg:Springer Verlag,2012:208-225.[4]SOLEIMANY H,BLONDEAU C,YU X L,et al.Reflection Cryptanalysis of PRINCE-like Ciphers[C]//Lecture Notes in Computer Science:8424.Heidelberg:Springer Verlag,2014:71-91.[5]JEAN J,NIKOLIC I,PEYRIN T,et al.Security Analysis of PRINCE[C]//Lecture Notes in Computer Science:8424. Heidelberg:Springer Verlag,2014:92-111.[6]DINUR I.Cryptanalytic Time-memory-data Tradeoffs for FX-constructions with Applications to PRINCE and PRIDE [C]//Lecture Notes in ComputerScience:9056.Heidelberg:Springer Verlag,2015:231-253.[7]DERBEZ P,PERRIN L.Meet-in-the-middle Attacks and Structural Analysis of Round-reduced PRINCE[C]//Lecture Notes in Computer Science:9054.Heidelberg:Springer Verlag,2015:190-216.[8]SONG L,HU L.Differential Fault Attack on the PRINCE Block Cipher[C]//Lecture Notes in Computer Science: 8162.Heidelberg:Springer Verlag,2013:43-54.[9]KNUDSEN L R.DEAL—a 128-bit Block Cipher:Technical Report 151[R].Bergen:University of Bergen,1998.[10]BIHAM E,BIRYUKOV A,SHAMIR A.Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials[C]//Lecture Notes in ComputerScience:1592.Heidelberg:Springer Verlag,1999:12-23.[11]CANTEAUT A,FUHR T,GILBERT H,et al.Multiple Differential Cryptanalysis of Round-reduced PRINCE[C]// Lecture Notes in Computer Science:8540.Heidelberg:Springer Verlag,2015:591-610.。
