本文選題：對稱密碼學　切入點：密碼分析　出處：《山東大學》2014年博士論文

【摘要】：分組密碼是加解密雙方用同一密鑰進行加密和解密運算的密碼算法,是保障數(shù)據(jù)機密性與完整性的重要技術(shù)。分組密碼的安全性分析有利于發(fā)現(xiàn)算法中存在的不足,以確保算法在實際應用中的安全,并指導新的算法設(shè)計。上世紀末,隨著美國AES計劃[1]、歐洲NESSIE計劃[2]和日本CRYPTREC計劃[3]的相繼實施,對相應標準密碼算法的安全性分析被國際密碼學者廣泛關(guān)注,極大地推動了分組密碼分析與設(shè)計工作的發(fā)展。 本文主要對三個國際標準分組密碼算法AES、Camellia和CLEFIA的安全性進行分析,提出一些有意義的密碼學性質(zhì),并與國際上最前沿的分析結(jié)果相比得到最優(yōu)的結(jié)果。 1、分組密碼AES的安全性分析 分組密碼Rijndael是由兩位比利時密碼學者Daemen和Rijmen于1997年設(shè)計,并于2000年10月被美國國家標準和技術(shù)研究所(NIST)公布為高級加密標準AES (Advanced Encryption Standard)。之后,AES被CRYPTREC工程和NESSIE工程推薦,并由國際標準化組織(ISO)選定為國際標準ISO/IEC18033-3。AES的分組長度為128比特,采用SPN結(jié)構(gòu),密鑰長度有128比特、192比特和256比特三個版本,本文分別用AES-128、AES-192與AES-256表示。 AES的中間相遇攻擊是由Demirci和Selcuk于2008年FSE會議上提出[7],他們利用4輪AES區(qū)分器給出了7輪AES-192和8輪AES-256的分析結(jié)果。在2010年亞密會上,Dunkelman, Keller和Shamir提出了差分列舉技術(shù)思想和Multiset技術(shù),有效的減少了Demirci和Selquk攻擊的存儲和時間復雜度。同時,利用數(shù)據(jù)/時間/存儲折衷技術(shù)給出了7輪AES-128的中間相遇分析結(jié)果。在2013年歐密會上,Derbez, Fouque和Jean利用Hash函數(shù)分析中的反彈(Rebound)技術(shù),極大減少了Dunkelman等人攻擊的時間和存儲復雜度。并構(gòu)造了5輪AES-256區(qū)分器,給出了9輪AES-256的分析結(jié)果。 本文主要考慮單密鑰模式下,對AES-192/256的中間相遇攻擊。我們提出了一種改進中間相遇攻擊的新方法——基于密鑰的中間狀態(tài)過濾,并利用此方法構(gòu)造了5輪AES-192區(qū)分器,結(jié)合數(shù)據(jù)/時間/存儲折衷完成了對9輪AES-192的中間相遇攻擊。我們的攻擊延續(xù)了Dunkelman等人所提出的差分列舉的思想,但不同的是,我們利用中間狀態(tài)的密鑰關(guān)系,用有序數(shù)列代替Multiset來獲取更多的信息量,以減少攻擊的復雜度。這是除Biclique方法之外[10],首次對9輪AES-192的分析結(jié)果。同時,我們利用攻擊中預計算與在線階段的密鑰關(guān)系,將整個攻擊分割為一系列的子攻擊,每個子攻擊都是相互獨立的。當所有的子攻擊工作于串行模式的時候,相應的存儲空間可以重復使用。利用此方法,我們降低了整個攻擊的存儲復雜度。對于9輪AES-256,與2013年歐密會的結(jié)果[9]相比,存儲復雜度降低了232,但數(shù)據(jù)復雜度和時間復雜度不受影響。 2、分組密碼Camellia的安全性分析 分組密碼算法Camellia由日本NTT和三菱公司于2000年設(shè)計,其分組長度為128比特,密鑰長度有128比特、192比特和256比特三個版本。Camellia被CRYPTREC工程推薦為日本的e-government算法,也是NESSIE工程最終選取的算法之一,并且由國際標準化組織(ISO)選定為國際標準ISO/IEC18033-3。本文研究了Camellia算法的不可能差分分析和中間相遇攻擊。 首先,我們給出了帶FL/FL-1層Camellia算法的7輪不可能差分特征。利用該不可能差分特征,我們分析了不帶白化密鑰的10輪Camellia-128,以及帶白化密鑰的10輪Camellia-192和11輪Camellia-256算法。同時,我們給出了在3/4弱密鑰空間里,帶FL/FL-1層的7輪不可能差分特征。之后利用該特征給出了弱密鑰條件下、10/11/12輪Camellia-128/192/256的不可能差分分析。在此基礎(chǔ)上,我們提出了復合攻擊的思想：即利用每次失敗的攻擊來推出2比特的密鑰條件,經(jīng)過a次攻擊,推出2×a比特密鑰信息。從而,將弱密鑰條件下的攻擊轉(zhuǎn)化為對全密鑰空間的攻擊。除此之外,我們還給出了中間14輪Camellia-256和12輪Camellia-192的分析結(jié)果。 其次,結(jié)合2010年亞密會上Dunkelman等人所提出的差分列舉思想和Mulitset技術(shù),我們給出了7輪Camellia-192的中間相遇性質(zhì)。并以此構(gòu)造了12輪Camellia-192的中間相遇攻擊,復雜度比當前最優(yōu)結(jié)果快大約28倍。此外,我們給出了8輪Camellia-256的中間相遇性質(zhì),并以此構(gòu)造了帶兩個FL/FL-1層的13輪Camellia-256的中間相遇攻擊,據(jù)我們所知,這是第一個對首輪開始13輪Camellia-256的分析結(jié)果。我們同樣給出了不帶白化密鑰的14輪Camellia-256的分析結(jié)果。 3、分組密碼CLEFIA的安全性分析 CLEFIA是由索尼公司(Sony Corporation)于2007年設(shè)計,2012年被ISO/IEC29192-2選舉為輕量級分組密碼算法標準,2013年被日本CRYP-TREC項目推薦為e-Government建議算法。CLEFIA采用四路廣義Fesitel結(jié)構(gòu),分組長度為128比特,密鑰長度有128比特、192比特和256比特三個版本。 本文給出了一個10輪的CLEFIA截斷差分特征,并給出了13輪CLEFIA-128的分析結(jié)果。之后,結(jié)合Isobe等人提出的函數(shù)歸約技術(shù),我們給出了14/15輪CLEFIA-192/256的分析結(jié)果。復雜度比當前最優(yōu)結(jié)果快大約240倍。最后,結(jié)合輪函數(shù)的密鑰關(guān)系,我們給出了14輪CLEFIA-128的分析結(jié)果,據(jù)我們所知,這是第一個對14輪CLEFIA-128的分析結(jié)果。
[Abstract]:It is an important technique to encrypt and decrypt the data confidentiality and integrality by encrypting and decrypting the cipher . The security analysis of packet cipher is helpful to find the defects in the algorithm , to ensure the safety of the algorithm in practical application , and to guide the new algorithm design . At the end of the last century , the security analysis of the corresponding standard cryptographic algorithm has been paid much attention to by international cryptographers , which greatly promoted the development of the analysis and design of the packet cipher .

This paper mainly analyzes the security of three international standard packet cipher algorithms AES , Camellia and CLEFIA , puts forward some meaningful cryptology properties , and obtains the best results compared with the most leading analysis results in the world .

1 . Security Analysis of AES

The packet password Rijndael was designed in 1997 by the two Belgian cryptographers and Rijmen and published by the National Institute of National Standards and Technology ( NIST ) in October 2000 as Advanced Encryption Standard . AES is recommended by CRYPTREC project and NESSIE project , and is selected by ISO / IEC 18033 - 3 . The packet length of AES is 128 bits , and the SPN structure is used . The key length is 128 bits , 192 bits and 256 bits , respectively . AES - 128 , AES - 192 and AES - 256 are used in this paper .

The mid - encounter attack of AES is presented by Demirci and Selcuk at the end of 2008 . The results of analysis of 7 - wheel AES - 192 and 8 - wheel AES - 256 are presented by means of four - wheel AES . At the same time , Dunkelman , Kandque and Shamir presented the results of analysis of 7 - wheel AES - 128 .

In this paper , we propose a new method _ key - based intermediate state filtering for AES - 192 / 256 . We propose a new method to improve the intermediate encounter attack _ based on the intermediate state filtering of key . We use this method to obtain more information to reduce the complexity of attack . We use this method to divide the whole attack into a series of sub - attacks . We use this method to reduce the storage complexity of the whole attack .

2 . Safety Analysis of Packet Password Camellia

The packet cipher algorithm Camellia is designed by NTT and Mitsubishi in 2000 , its packet length is 128 bits , the key length is 128 bits , 192 bits and 256 bits three versions . Camellia is recommended by CRYPTREC project as one of Japan ' s e - government algorithm , it is also one of the final selection algorithms of NESSIE project , and is selected as international standard ISO / IEC 18033 - 3 by the International Organization for Standardization ( ISO ) .

In this paper , we present 10 - wheel Camellia - 128 with FL / FL - 1 layer and 10 - wheel Camellia - 192 and 11 - wheel Camellia - 256 algorithm without whitening key .

Secondly , based on the differential enumeration thought and Mulitset technology proposed by Dunkelman et al . in 2010 , we present the middle meeting character of Camellia - 192 , which is about 28 times faster than the current optimal result . In addition , we present the middle meeting of Camellia - 256 with two FL / FL - 1 layers , and we know that this is the first analysis result of Camellia - 256 with two FL / FL - 1 layers . We also give the analysis result of the 14 - wheel Camellia - 256 without the whitening key .

3 . Security Analysis of Packet Password CLEFIA

CLEFIA鏄敱绱㈠凹鍏徃(Sony Corporation)浜，

本文編號：1715246