• 主题
高级搜索  >
历史搜索 清空历史
首页> 外文期刊>電子情報通信学会技術研究報告 >ハッシュ関数Lesamnta-256における差分攻撃耐性の評価について
【24h】

ハッシュ関数Lesamnta-256における差分攻撃耐性の評価について

机译:哈希函数Lesamnta-256中的差分攻击抵抗力评估

获取原文
获取原文并翻译 | 示例
           
页面导航
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

摘要

次世代ハッシュ関数SHA-3の候補であるLesamnta-256を取り上げ、その構成要素である撹拝関数と鍵スケジュール関数の差分特性を解析し、差分攻撃耐性を検討する。撹拝関数は4系統一般化Feistel構造32段で構成される。各段における非線形関数Fは64ビット入出力である4層のAES型SPN構造をなす。S層は最大差分確率2~(-6)である8ビットS-boxの8並列構成であるが、鍵加算は1層目に存在するだけである。提案者は、4層全てに独立鍵加算が存在するとしてアクティブS-box数を数え、差分攻撃耐性を評価しているが、本稿では実際のF関数構造に即した評価を目指す。F関数の2層分を等価変形し16ビット入出力の拡大S-box(XS)を使えば、F関数は2層のSPN構造で表すことができる。XSの最大差分確率は、2~(-11.415)であり、この値は全ての層に独立鍵加算があるとしてアクティブS-box数で評価した最大差分特性確率2~(-18)より遥かに大きい。さらにHongらの手法で求めた鍵平均最大差分確率の上界2~(-12)よりも大きい。また、摸拝関数全体に対しトランケーション評価を行い、少なくとも15個のアクティブF関数が有ることが解った。これによりダ関数の最大差分確率が2~(-256/15)=2~(-17.067)以下であれば、256ビット程度の安全性を満たすと言える。最後に鍵スケジュール関数については差分解読に対して安全であることを示す。%We focus on the cryptographic hash algorithm Lesamnta-256, which is one of the candidates for the new hash algorithm SHA-3. Lesamnta-256 consists of the Merkle-Damgard iteration of a compression function. The compression function consists of a mixing function and a key scheduling function. The mixing function consists of the 32 rounds of the four-way generalized Feistel structure. There is a nonlinear function F with 64-bit input/output on each round, which consists of the 4 steps of AES type of SPN structure. A subkey is XORed only at the first step of SPN. We analyze the security of these components of Lesamnta as is, although the designers analyzed its security by assuming that the subkey is XORed at every step of SPN. We show that the 2 steps of SPN referred to as XS have the maximum differential probability 2~(11.415). This probability is greater than both of the differential characteristic probability 2~(-18) and the differential probability 2~(-12) derived under the independent subkey assumption. On the strength of whole compression function, we show that there are at least 15 active F functions in the mixing function. As the input bit width of the mixing function is 256, we can say that it is secure against differential attack if the maximum differential probability of F function is less than 2~(-256/15) = 2~(-17.067). Finally we show that the key scheduling function is secure against differential cryptanalysis.
机译:我们选择了下一代散列函数SHA-3的候选者Lesamnta-256,分析了其组成函数,Sneak函数和密钥调度函数的差异特征,并研究了差异化的抵抗攻击能力。搅拌功能由4个系统的广义Feistel结构的32个阶段组成。每个阶段的非线性函数F具有带有64位输入/输出的4层AES SPN结构。 S层具有8位S-box的8并行配置,最大差异概率为2到(-6),但是密钥添加仅出现在第一层中。支持者对活动的S盒数量进行计数,并假设所有四个层中都存在独立的密钥添加,从而评估对差分攻击的抵抗力,本文旨在基于实际F函数结构进行评估。 2层F函数和16位输入/输出扩展S-box(XS)的等效变换可用于表示2层SPN结构的F函数。 XS的最大差异概率为2到(-11.415),这比通过活动S盒数量评估的2到(-18)的最大差异特征概率要高得多,假设所有层都有独立的密钥添加。大。此外,它大于通过Hong等人的方法获得的密钥平均最大差异概率的上限2(-12)。此外,我们对整个敬拜功能进行了截断评估,发现至少有15个活动F功能。因此,如果Da函数的最大差概率为2至(-256/15)= 2至(-17.067)或更小,则可以说满足了大约256位的安全性。最后,我们证明了密钥调度功能可以防止差分解密。 %我们专注于加密散列算法Lesamnta-256,它是新的散列算法SHA-3的候选者之一,Lesanmnta-256由压缩函数的Merkle-Damgard迭代组成,压缩函数由混合函数组成。混合函数由四轮广义Feistel结构的32个回合组成,每个回合上都有一个带64位输入/输出的非线性函数F,由AES类型的4个步骤组成。 SPN结构:子密钥仅在SPN的第一步进行了异或操作。尽管设计人员通过假设子密钥在SPN的每个步骤均进行了异或操作来分析其安全性,但我们仍按原样分析了Lesamnta这些组件的安全性。两步SPN称为XS的最大微分概率2〜(11.415)。该概率大于在独立条件下得出的微分特征概率2〜(-18)和微分概率2〜(-12)两者。就整体压缩函数的强度而言,我们表明混合函数中至少有15个活动F函数。由于混合函数的输入位宽度为256,因此可以说,如果F函数的最大差分概率小于2〜(-256/15)= 2〜(-17.067)。最后,我们证明了密钥调度函数对于差分密码分析是安全的。

著录项

相似文献

  • 外文文献
  • 中文文献
  • 专利
获取原文

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号