论文部分内容阅读
随着互联网的日益革新与发展,人们的日常生活乃至国家的发展都已经与互联网形成了密不可分的联系,网络空间安全也因此成为了炙手可热的研究问题。密码学作为网络安全的基石,其重要性不言而喻。根据加密原理的差异,现代密码学将密码算法分为对称密码算法与非对称密码算法。其中,对称密码算法以其高效性著称,涵盖了分组密码,流密码,哈希函数以及认证加密算法,已被广泛用于数据加密。区别于非对称密码算法,对称密码算法的安全性并非基于具体的困难数学问题,而是基于其抵抗各种先进攻击方法的能力。因此,对称密码安全性分析成为了衡量算法安全性的重要手段。本文将探讨我们在对称密码分析所取得的一些新颖的技术和结果。1.对哈希函数RIPEMD-160的安全性分析。自王小云等人于2005年在MDSHA哈希函数上取得了重大突破,许多类MD4哈希函数已经被证明不安全,包括RIPEMD、RIPEMD-128、MD5、SHA-0和SHA-1等等。然而,对于在同一时期所设计的哈希函数RIPEMD-160,至今仍不存在全轮碰撞攻击。因此,作为ISO/IEC的一项哈希函数标准,RIPEMD-160仍然处于实际使用中,如与SHA-256一起被用于生成比特币地址。由于RIPEMD-160独特的双支结构,即使是从第一步开始的半自由初始碰撞攻击,此前最佳的结果是Mendel等人在Asiacrypt 2013所提出的36步攻击,且具有相当高的时间复杂度和内存复杂度。为了优化该半自由初始碰撞攻击的时间复杂度和内存复杂度,本文提出了新的自由度使用策略以及方程求解策略。然而,优化后的攻击仍然需要大量的计算资源。此外,Mendel等人的攻击框架似乎无法拓展到更多的步数。为了克服该问题,本文提出了新的高效的半自由初始碰撞攻击框架并实现了36以及37步的实际半自由初始碰撞攻击,理论攻击也提升到了40步。对于碰撞攻击,本文也提出了类似的攻击框架并首次实现了30以及31步的实际攻击,其理论攻击也能够到达34步。截至目前为止,本文对RIPEMD-160的(半自由初始)碰撞攻击是最佳的。2.对认证加密算法Subterranean-SAE的安全性分析。Subterranean 2.0是美国国家标准与技术研究所(NIST)正在举办的轻量级密码算法竞赛的第二轮候选算法。在其设计文档中,设计者仅仅对基于Subterranean 2.0的哈希方案进行了安全性分析,但是对基于其的认证加密方案Subterranean-SAE,由于其构造的新颖性,设计者没有给出相关的安全性分析。然而,设计者声称即使在新鲜值重用的设定下,对Subterranean-SAE进行高效的状态恢复攻击仍需要非平凡的策略。为了高效地进行状态恢复攻击,本文提出了新的条件立方攻击策略,即仅仅根据密文的立方和是否为0直接恢复秘密状态的1比特信息。此外,本文也将该方法拓展到了在新鲜值不重用设定下的缩减空白轮数的Subterranean-SAE的安全性分析。基于此分析技术以及一些代数方法,在新鲜值重用的设定下,本文给出了在实际时间复杂度内的状态恢复攻击以及密钥恢复攻击。同时,在新鲜值不重用的设定下,当空白轮数从8轮减少至4轮时,本文也给出了实际的区分攻击以及理论的密钥恢复攻击。3.对公开置换算法Gimli的安全性分析。自Keccak算法被选为SHA-3标准哈希函数,越来越多基于置换的密码算法开始涌现。区别于分组密码,基于公开置换的密码算法中不存在轮密钥。因此,对于基于置换的密码算法的一条差分路线而言,如果考虑不同轮数之间的独立性,那么其很有可能是一条无效的差分路线,即不存在满足该差分路线的消息对。然而,在众多利用MILP或SAT进行差分路线搜索的建模中,不同轮数之间的差分传播被假设是相互独立的,这就造成了利用该方法找到的置换的差分路线有大概率是无效的。为了解决差分路线不匹配的问题,本文提出了新的差分路线搜索方法,即在建模中考虑差分传播与值传播的依赖性。利用该项新技术,本文发现一些现有的Gimli的差分路线是无效的,其中有一条存在于Gimli文档之中。同时,本文也利用该项技术搜索得到了正确的6轮差分路线来进行6轮碰撞攻击。作为NIST轻量级密码算法竞赛的第二轮候选算法,Gimli以其简单性、对称性以及弱扩散等特征引起了许多密码学者的研究兴趣。利用这些特点并研究其S盒的性质,本文给出了对Gimli置换算法时间复杂度为2的全新18轮区分器以及时间复杂度为252的全轮区分器。同时,对于Gimli的哈希方案Gimli-Hash和Gimli-XOF-128,本文中的原像攻击分别能够达到5轮以及9轮。对于Gimli的认证加密方案Gimli-Cipher,本文中的状态恢复攻击能够到达9轮。截至目前为止,本文所给出的对Gimli算法的区分攻击、原像攻击、状态恢复攻击均为最佳结果。对于碰撞攻击而言,如果考虑从Gimli算法的第一轮开始的攻击,即第一轮中包含交换操作,那么本文中的6轮碰撞攻击结果仍然是最佳的。