Hash函数GOST R和分组密码算法ITUbee、KASUMI的分析

摘要

随着终端计算能力的提升和互联技术的发展，信息化正在逐步普及，深入到各个领域和人们的日常生活中。与此同时，通信安全、隐私保护等信息安全问题也日益凸显。密码技术是保障信息安全的关键技术，对密码算法的安全性分析有利于发现算法中存在的不足，确保密码技术的安全应用，因而具有重要意义。Rebound攻击技术由Mendel等人提出，是分析基于AES类置换Hash函数的有效手段。目前该技术也应用在其他结构的Hash函数以及分组密码算法的分析中。2010年，Gilbert等人提出了大s盒技术推动了该技术的进步与发展。
　　本文以Rebound攻击技术为主要分析手段，研究Hash函数和分组密码算法的安全性，共分为两部分:第一部分属于Rebound攻击技术的典型应用，给出俄罗斯新Hash函数标准GOST R34.11-2012首个安全性分析结果;第二部分将Rebound攻击、大s盒技术与错误攻击结合，给出了分组密码算法ITUbee和KASUMI的错误攻击新方法。
　　1、俄罗斯新Hash函数标准GOST R34.11-2012的安全性分析
　　2012年8月，俄罗斯政府宣布了Stribog算法作为国家新Hash函数标准GOST R34.11-2012。Stribog算法由Grebnev等人设计，其压缩函数的轮函数为AES类置换。应用Rebound攻击技术，我们给出4.5、5.5、7.5和9.5轮的Stribog压缩函数碰撞结果。其中9.5轮攻击的计算复杂度为2176次轮函数运算，存储复杂度为2128字节。这一结果也是对Stribog算法的首个分析结果。利用有限生日攻击区分器，可以将9.5轮的压缩函数碰撞攻击转化为10轮的压缩函数区分攻击。
　　由于Stribog算法在结构上采用了模加的消息校验和，其压缩函数的碰撞并不能直接导致Hash函数的碰撞。2014年ACNS会议上，Ma等人提出利用多个碰撞的消息分组构造Stribog Hash函数碰撞的方法。他们利用生日攻击，计算出构造Hash函数碰撞所需的消息分组数为64。事实上，由于模加的特性，生日攻击前提假设无法满足，64个消息分组并不足以构造Hash函数碰撞。本文针对构造Stribog Hash函数碰撞所需的精确分组数展开讨论，重新计算构造Stribog Hash函数碰撞所需的消息分组数为106。
　　2、分组密码ITUbee的差分错误攻击
　　ITUbee分组密码算法由Karako(c)等人在LightSec2013上提出，密钥长度为80比特，采用Feistel结构。该算法没有密钥生成方案，易于软件实现，是一个适用于资源受限环境的轻量级算法。以该算法为例，本文给出了结合Rebound攻击技术和大s盒技术的差分错误攻击新方法。在我们的攻击中，2次随机字节错误注入就足以对ITUbee算法的全部密钥进行恢复。该攻击的计算复杂度约为243次轮函数运算。通过增加错误注入次数，还可以进一步降低计算复杂度。当错误注入达到4次时，攻击复杂度降为225次轮函数运算，在普通PC机上几秒钟即可恢复全部密钥。
　　3、分组密码KASUMI的安全性分析
　　KASUMI分组密码算法是A5/3密码系统的基础，被广泛应用于保护GSM和3G设备中。KASUMI算法的密钥长度为128比特，但由于版本兼容性问题，大量GSM设备中使用64比特密钥。
　　结合大s盒技术并利用KASUMI算法轮函数和密钥编排的特性，我们给出64比特密钥下KASUMI算法新的错误攻击结果。在单次字错误注入模型下即可完成攻击，计算复杂度约为232次加密运算。通过仿真测试，我们验证了该攻击的有效性一在普通PC机上仅需几分钟即可恢复全部64比特密钥。与之前的错误攻击结果相比，我们的错误模型更易实现，攻击复杂度也大大降低。

目录

声明

摘要

主要符号对照表

第一章 引言

1．1 研究背景和意义

1．2 国内外研究现状

1．2．1 Rebound攻击技术研究现状

1．2．2 俄罗斯Hash函数标准GOST R分析现状

1．2．3 ITUbee分组密码算法分析现状

1．2．4 KASUMI分组密码算法分析现状

1．3 文章结构

第二章 预备知识

2．1 分组密码简介

2．2 Hash函数简介

2．3 Rebound攻击技术简介

2．4 错误攻击简介

2．5 生日攻击

第三章 俄罗斯Hash函数标准GOST R的安全性分析

3．1 GOST R标准描述

3．2 约减轮数Stribog压缩函数的安全性分析

3．2．1 Stribog轮函数的一些性质

3．2．2 4．5轮Stribog压缩函数碰撞攻击

3．2．3 5．5轮Stribog压缩函数碰撞攻击

3．2．4 7．5轮Stribog压缩函数碰撞攻击

3．2．5 9．5轮Stribog压缩函数碰撞攻击

3．2．6 10轮Stribog压缩函数区分攻击

3．3 Stribog-512算法的安全性分析

3．3．1 Ma等人的攻击

3．3．2 精确的Stribog-512碰撞模型

3．3．3 Stribog-512的多碰撞攻击

3．3．4 小结

第四章 ITUbee分组密码算法的差分错误攻击

4．1 ITUbee算法描述

4．2 结合Rebound技术的差分错误攻击

4．2．1 F函数性质

4．2．2 错误模型和基本假设

4．2．3 ITUbee差分错误攻击过程

4．2．4 复杂度分析

4．3 ITUbee算法差分错误攻击仿真测试

4．3．1 两次错误注入的情况

4．3．2 四次错误注入的情况

4．4 小结

第五章 KASUMI分组密码算法的差分错误攻击

5．1 A5系列密码系统和KASUMI算法描述

5．1．1 GSM通信与A5系列密码系统

5．1．2 KASUMI算法描述

5．2 Jeong等对KASUMI-64的错误攻击

5．3 一些有用的性质

5．4 KASUMI-64差分错误攻击

5．4．1 错误模型和基本假设

5．4．2 攻击过程和复杂度分析

5．5 KASUMI-64差分错误攻击仿真结果

5．6 小结

第六章 结论和研究计划

参考文献

致谢

个人简历