分组密码算法SAFER,CAST-256和PRIDE的分析

摘要

分组密码是现代密码学一个重要的研究方向，其研究内容包括分组密码的设计理论、分组密码的分析方法、分组密码的工作模式以及分组密码的检测评估。其中，分组密码的设计与分析是一对相互依存的矛盾体。分组密码的安全性分析为分组密码的设计提供诸多有利的参考;而更加巧妙的设计又为分组密码的分析工作提出了新的挑战，两者相互促进、共同发展。
　　早期的分组密码的研究主要围绕DES类的算法展开，进入20世纪90年代后，人们对DES类分组密码的研究更加深入，特别是差分密码分析(differentialcryptanalysis)和线性密码分析（linear cryptanalysis）两种方法的相继提出，促使人们不得不研究新的分组密码算法结构。代替．置换(SP)结构的分组密码算法IDEA的出现，动摇了DES算法在分组密码中的位置。
　　上世纪末，随着NIST的AES计划、欧洲NESSIE工程的相继实施，相应的一些候选算法、标准密码算法的安全性引起了国际密码学者广泛的关注，这些分析方法的研究和新的设计方法的探索极大地推动了分组密码发展。
　　本文对分组密码算法标准化进程中的几个重要的分组密码算法的安全性进行分析，主要包括AES候选算法SAFER+、CAST-256和NESSIE候选算法SAFER++，以及轻量级分组密码算法PRIDE。在分析过程中，发现密码算法的特殊的安全属性并据此给出相应的分析结果。
　　1、SAFER族分组密码算法新的不可能差分分析
　　SAFER族分组密码算法包括SAFER K，SAFER SK，SAFER+和SAFER++四个算法。SAFER K是SAFER族分组密码的第一个算法，之后，为改进SAFER K的密钥方案又设计了SAFER SK算法。SAFER+是AES候选算法，并且定制版本的SAFER+在蓝牙的密钥分发时被用作MAC。SAFER++是SAFER+的加强版本，并且被选入NESSIE工程第二轮的候选算法。本文充分利用了线性层和S盒的性质，找到了新的SAFER SK，SAFER+，SAFER++的不可能差分路径。基于新的不可能差分路径我们给出了4轮的SAFER SK/128，4轮的SAFER+/128(256)以及5轮的SAFER++/128和5.5轮的SAFER++/256新的不可能差分分析结果。本文极大的改进了之前SAFER族分组密码算法的不可能差分分析结果，特别是对于蓝牙算法SAFER+而言，我们的分析结果从轮数上讲较其他方法也是目前最好的。
　　2、分组密码算法CAST-256改进的线性分析
　　CAST-256是AES首轮的候选算法，该算法基于分组密码算法CAST-128设计。CAST-256算法为广义的Feistel结构，使用8比特进32比特出的非满射的S盒，分组长度为128比特，密钥长度可以为128，160，192，224或者256比特，共有48轮。2009年，王美琴教授等找到了21轮的线性近似路线，并基于21轮的路线给出了24轮的CAST-256的线性分析。在2012年亚密会，Bogdanov等人用多维零相关线性分析方法给出了CAST-256的28轮的分析结果。本文通过仔细选择合适的活性轮函数，并利用前向4轮与后向4轮链接处的性质特点，构造出26轮的CAST-256的线性区分器，基于该区分器给出了32轮CAST-256的部分密钥恢复攻击。本文对CAST-256的分析结果在不考虑弱密钥的情况下，从轮数上讲是目前最好的分析结果。
　　3、轻量级分组密码算法PRIDE的差分分析
　　轻量级分组密码算法PRIDE是由Albrecht等人在美密2014上提出的，设计者称该算法的线性层安全与效率兼备。本文利用S盒和线性层的缺陷，找到了16个不同的2轮迭代的差分路径，构造了几条15轮的差分路径。基于其中一条差分路径，我们可以对18轮的PRIDE进行差分分析。数据、时间和空间复杂度分别为260，266和264。

目录

声明

摘要

主要符号对照表

第一章 引言

1．1 研究背景

1．2 研究动机

1．3 研究进展

1．3．1 SAFER族分组密码算法的安全性分析

1．3．2 分组密码CAST-256的线性分析

1．3．3 轻量级分组密码PRIDE的差分分析

1．4 论文结构

第二章 分组密码及其分析方法简介

2．1 分组密码的设计准则

2．2 分组密码的分析方法

2．3 差分分析

2．4 不可能差分分析

2．5 线性分析

2．6 生日攻击

2．7 弱密钥

第三章 SAFER族分组密码算法的不可能差分分析

3．1 SAFER族分组密码算法

3．1．1 符号定义

3．1．2 密钥介入的非线性层

3．1．3 线性层

3．1．4 密钥方案

3．2 SAFER族分组密码算法的不可能差分特征

3．3 分组密码算法SAFER SK的不可能差分分析

3．3．1 分组密码算法SAFER SK／128的密钥恢复

3．4 分组密码算法SAFER+的不可能差分分析

3．4．1 分组密码算法SAFER+／128的不可能差分分析

3．4．2 分组密码算法SAFER+／256的不可能差分分析

3．5 分组密码算法SAFER++的不可能差分分析

3．5．1 分组密码算法SAFER++／128的不可能差分分析

3．5．2 分组密码算法SAFER++／256的不可能差分分析

3．6 小结

第四章 分组密码算法CAST-256的线性分析

4．1 分组密码算法CAST-256算法简介

4．2 分组密码算法CAST-256线性路线

4．3 分组密码算法CAST-256线性分析

4．3．1 密钥恢复

4．3．2 复杂度估计

4．4 小结

第五章 轻量级分组密码算法PRIDE的差分分析

5．1 PRIDE算法简介

5．1．1 PRIDE的S盒

5．1．2 PRIDE的线性层

5．1．3 PRIDE的密钥方案

5．2 PRIDE的差分路径

5．3 18轮PRIDE的差分分析

5．4 小结

第六章 结束语

附录

参考文献

致谢

个人简历