基于自动化搜索与新兴技术的对称密码分析

分 的分析
LED64 法的 分分析 Midori64 法 分 的分析
基基
于于
数深
学度
方学 法 习分
的的
自 动
自 动
的
化化
密密
码码
分分
析析
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
ASIACRYPT 1
FSE 3
Designs, Codes and Cryptography 1
Science China Information Sciences
■ 基于 SMT 方法自动化搜索字级分离特性的新工具 @ ASIACRYPT’17 . . . . . . . . . . . . . . . . . . . .
. . . .... .... .... . .
. ..
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
2019 年 11 月 3 日 4 / 45
. . . .... .... .... .
中的变量如表 eXR 所示。在这一模型中，我们总共使用了 12n − 19 个中间变量，
. . . .... .... .... . .
孙玲 (山东大学)
分别为 3n − 4 个基于ai,j自变动量化，搜3n索−与4新个兴bi技,j 变术量的，对n称−密1 码个分vi析变量，n − 2 个 mi
. ..
2019 年 11 月 3 日 7 / 45
基于 SAT
搜索
分
的自动化搜索
■ ARX 类算法比特级分离特性的自动化搜索. ■ 搜索最优区分器的优化算法.
约束条件 II
（初始分离特性）
SAT 求解器
目标函数 建模
约束条件 I
（刻画分离特性在算法中的传递）
积分区分器
孙玲 (山东大学)
约束条件 III
2
IET Information Security 2
······
. . . .... .... .... . . . . .
. . . .... .... .... . .
. ..
2019 年 11 月 3 日 3 / 45
分
的自动化搜索
■ 分离特性 ▶ 最早由日本学者 Todo 提出 @ EUROCRYPT’15 ▶ MISTY1 算法首次全轮破解 @ CRYPTO’15
x∈X
我们称 X 服从分离特性 DKℓ0,ℓ1,...,ℓm−1 ，其中 K 表示 m 维空间的一个子集，该空间的第 i 个元素的 取值范围为 {ki ∈ Z | 0 ⩽ ki ⩽ ℓi}.
■ 将 ℓ0 = ℓ1 = · · · = ℓm−1 = 1 的特殊情况称为比特级分离特性.
■ 分离特性的传递规则由 Todo 等人提出 @ EUROCRYPT’15 & @ FSE’16.
(wi−2) −*−Q−T→v (gi−1, ri−1)
(an−i−1) −*−Q−T→v (an−i−1,0, an−i−1,1, an−i−1,2)
(bn−i−1) −*−Q−T→v (bn−i−1,0, bn−i−1,1, bn−i−1,2) (a1,0, b1,0, gn−3) −s−P→_ (d1) (a1,1, b1,1) −−L→. (vn−2) (a1,2, b1,2) −s−P→_ (mn−3) (mn−3, rn−3) −−L→. (qn−3) (vn−2, qn−3) −s−P→_ (wn−3) (a0, b0, wn−3) −s−P→_ (d0)
■ 大状态算法的字级分离特性.
■ 构建刻画比特级分离特性在复杂线性层中传递的 MILP 模型 @ IET Information Security
■ 构建刻画比特级分离特性在模加运算中传递的 MILP 模型 @ Science China Information Sciences
■ 基于 SAT 方法 ARX 类算法比特级分离特性的自动化搜索工具 @ ASIACRYPT’17
⎫ ⎪⎪⎪⎪⎪⎪⎪⎬⎪⎪⎪⎪⎪⎪⎪⎪
对 ⎪⎪⎪⎪⎪⎪⎪⎭⎪⎪⎪⎪⎪⎪⎪⎪
i
=
2, . . . , n − 2
进行迭代，
其中 a ，b ，v ，m ，g ，r ，q 和 w 表示中间变量. i,j i,j i
i
i
i i i 其中 ai,j，bi,j，vi，mi，gi，ri，qi 和 wi 表示中间变量，与之相对应的布尔运算
■ 比特级分离特性 ▶ 由日本学者 Todo 和 Morii 提出 @ FSE’16
■ 比特级分离特性的自动化搜索 ▶ 最早由向泽军等人提出 @ ASIACRYPT’16 ▶ 基于混合整数线性规划问题（MILP）
动
■ 基于 MILP 的搜索方法在具有比特置换 线性层的算法中取得了较大进展.
■ 比特级分离特性对 ARX 类算法的可行 性不得而知.
D{ℓ0k,}ℓ1,··· ,ℓm−1 ，经过
i
轮加密后的中间状态满足分离特性Βιβλιοθήκη D ℓ0 ,ℓ1Ki
,···
,ℓm−1
，那么我
们可以得到下面传递路线：
{k} ≜ K0 −→f K1 −→f K2 −→f · · · −→f Kr.
k0
K0
轮函数 f
k1
K1
轮函数 f
k2
K2
···
对于任意的向量 ki∗ ∈ Ki (i ⩾ 1)，必定存在向量 ki∗−1 ∈ Ki−1 使得 ki∗−1 通过一 定的规则传递到 ki∗. 除此之外，对于 (k0, k1, . . . , kr) ∈ K0 × K1 × · · · × Kr，如 果对于任意的 i ∈ {1, 2, . . . , r}，ki−1 均可以传递到 ki，我们称 (k0, k1, . . . , kr) 为一条 r 轮的分离特性路线.
⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎨ ⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎩
(an−1) −*−Q−T→v (an−1,0, an−1,1)
(bn−1) −*−Q−T→v (bn−1,0, bn−1,1) (an−1,0, bn−1,0) −s−P→_ (dn−1) (an−1,1, bn−1,1) −−L→. (v0)
基于自动化搜索与新兴技术的对称密码分析
孙玲
博士导师：王美琴 教授 山东大学密码技术与信息安全教育部重点实验室
山东大学网络空间安全学院
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
. . . .... .... .... . . . . .
. . . .... .... .... . .
. ..
码码
分分
析析
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
ASIACRYPT 1
FSE 3
Designs, Codes and Cryptography 1
Science China Information Sciences
2
IET Information Security 2
······
2019 年 11 月 3 日
. .. . . ..
10 / 45
基于 SAT
分
分
的自动化搜索
约束条件 II
（初始分离特性）
约束条件 I
（刻画分离特性在算法中的传递）
约束条件 III
（终止条件）
静态条件
约束条件 I
（刻画分离特性在算法中的传递）
动态条件
约束条件 II
（初始分离特性）
约束条件 III
. . . .... .... .... . . . . .
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
. . . .... .... .... . .
. ..
2019 年 11 月 3 日 5 / 45
分
分
@ ASIACRYPT 16
记 f 为迭代分组密码算法的轮函数，假设轮函数输入的多重集满足分离特性
kr−1
Kr−1
轮函数 f
kr
Kr
分 的 @ ASIACRYPT’16
设
X
为满足分离特性
Dℓ0,ℓ1,··· ,ℓm−1
K
的多重集，如果
K
中包含所有汉明重量为
1
的向量，则
X
将不
再具有任何积分特性.
. . . .... .... .... . . . . .
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
.
与
a
记 (a0, a1) −A−N→D (b) 为与运算的一条比特级分离 特性路线：
a1 ∨ b = 1
a0 ∨ a1 ∨ b = 1 a0 ∨ b = 1
.
b1 a1
b0
复制运算.
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
a0
a0
a1
b
b
与运算. 异或运算. . . . . . . . . . . . . . . . .
. . . .... .... .... . . . . .
. . . .... .... .... . .
. ..
2019 年 11 月 3 日 2 / 45
分
的自动化搜索
对称密码的分析
分 的自动化
基于 MILP 的方法
法的
分
ARX 法的
分
基于 SAT/SMT 的方法
分
的自动化
分
的自动化
自动化密码分析
分
■ 日本学者 Todo 在 2015 年欧密会上提出的一种广义积分性质. ■ 对多重集的积分性质给出了更精细的刻画.
分
@ EUROCRYPT 15
记
X
为空间
Fℓ20
× Fℓ21
×
·
·
·
×
Fℓm−1
2
上的一个多重集.
如果集合
X
满足下面的条件：
⊕
{ 不确定，
πu(x) = 0，
若存在 k ∈ K 使得 W (u) ⪰ k; 其他情况.
2019 年 11 月 3 日 1 / 45
对称密码的分析
分 的自动化
基于 MILP 的方法
法的
分
ARX 法的
分
基于 SAT/SMT 的方法
分
的自动化
分
的自动化
自动化密码分析
分 的分析
LED64 法的 分分析 Midori64 法 分 的分析
基基
于于
数深
学度
方学 法 习分
的的
自 动
自 动
的
化化
密密
. . . .... .... .... . .
. ..
2019 年 11 月 3 日 6 / 45
分
的自动化搜索
基于 SAT
Part I 分
的自动化搜索
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
. . . .... .... .... . . . . .
. . . .... .... .... . .
Fn2
=
Fℓ20
×
Fℓ21
×
离特性路线：
b0 ∨ b1 = 1 a ∨ b0 ∨ b1 = 1
a ∨ b0 ∨ b1 = 1 a ∨ b0 ∨ b1 = 1
.
记 (a0, a1) −X−O→R (b) 为异或运算的一条比特级分
离特性路线：
a0 ∨ a1 = 1 a0 ∨ a1 ∨ b = 1
a0 ∨ a1 ∨ b = 1 a0 ∨ a1 ∨ b = 1
（终止条件）
孙玲 (山东大学)
基于自动化搜索与新兴技术的对称密码分析
assumption
SAT 求解器
. . . .... .... .... .
. . . .... .... .... . . 2019 年 11 月 3 日
. .. . . ..
11 / 45
基于 SAT
搜索
分
分
的自动化搜索
我们用 Er 表示一个 r 轮的迭代加密算法，f 表示算法的轮函数，并且 f 中仅包含置换操作、复制 操作、异或操作、分支操作和集联操作. 假设算法的输入和输出空间均为
（终止条件）
基于自动化搜索与新兴技术的对称密码分析
. . . .... .... .... . . . . .
. . . .... .... .... . .
. ..
2019 年 11 月 3 日 8 / 45
基于 SAT
基
的 SAT
分
的自动化搜索
记
(a)
Copy
−−−→
(b0,
b1)
为复制运算的一条比特级分
. . . .... .... .... . . 2019 年 11 月 3 日
. .. . . ..
9 / 45
基于 SAT
基
的 SAT
分
的自动化搜索
山东大学博士学位论文
设 (a0, . . . , an−1, b0, . . . , bn−1, d0可⎧, .以.按.下,面d的n方式−调1用)复为制运算n、与比运算特和异或模运算加的模的型：分离特性路线：
(v0) −*−Q−T→v (g0, r0)
(an−2) −*−Q−T→v (an−2,0, an−2,1, an−2,2)
(bn−2) −*−Q−T→v (bn−2,0, bn−2,1, bn−2,2) (an−i,0, bn−i,0, gi−2) −s−P→_ (dn−i) (an−i,1, bn−i,1) −−L→. (vi−1) (an−i,2, bn−i,2) −s−P→_ (mi−2) (mi−2, ri−2) −−L→. (qi−2) (vi−1, qi−2) −s−P→_ (wi−2)