SHACAL-2算法的差分故障攻击

合集下载

【国家自然科学基金】_差分故障攻击_基金支持热词逐年推荐_【万方软件创新助手】_20140801

2014年序号 1 2 3 4 5
科研热词模加方程差分故障攻击代数故障攻击代数攻击 helix
推荐指数 1 1 1 1 1
科研热词分组密码差分故障分析 feistel结构差分故障攻击多字节故障随机故障模型深度故障旁道攻击旁路攻击故障注入故障攻击抗攻击算法密码分析先进加密标准信息安全 vlsi实现 s盒 shacal-2 mibs密码 keeloq clefia密码 clefia ac算法
推荐指数 7 6 3 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
路攻击密码分析分组密码 sms4 shacal-1 keeloq
推荐指数 2 1 1 1 1 1 1
2010年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
2011年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
科研热词差分故障分析分组密码卫星网络加密算法 s盒 spn结构 feistel结构高级加密标准错误检验查找s盒旁路攻击故障模型攻击模型攻击实验差分故障攻击宽度故障安全威胁会话密钥中国剩余定理 rsa密码算法 mibs密码 camellia aria-128
推荐指数 5 4 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2012年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
科研热词推荐指数差分故障分析 3 轻量级密码算法 2 轻量级分组密码 1 超级s盒 1 物联网 1 故障攻击 1 代数故障攻击 1 代数攻击 1 rfid 1 present密码 1 piccolo算法 1 lightweight cipher algorithm 1 led 1 internet of things 1 hight 1 differential fault analysis 1

分组密码的差分故障分析

第 III 页
国防科学技术大学研究生院硕士学位论文
图目录
图 3.1 Serpent算法的加密流程 ..................................................................................... 12 图 3.2 线性变换扩散层 16 个字节导致活跃S盒个数的分布图 ................................ 15 图 3.3 线性变换层导致活跃S-box个数的整体分布图............................................... 16 图 3.4 成功恢复轮密钥时所需错误密文的个数分布 ................................................. 17 图 4.1 KeeLoq算法加密过程示意图 ............................................................................ 19 图 4.2 两轮KeeLoq算法示意图 ................................................................................... 22 图 4.3 KeeLoq算法差分传播示意图 ............................................................................ 25 图 4.4 第 521 轮导入故障实验结果 ............................................................................ 28 图 4.5 第 513 轮导入故障实验结果 ........................................................................... 29 图 4.6 第 505 轮导入故障实验结果 ............................................................................ 29 图 4.7 三种方法的穷尽比特数 .................................................................................... 29 图 5.1 轮变换lmor64..................................................................................................... 31 图 5.2 正则变换 or....................................................................................................... 32 图 5.3 两轮Lai-Massay结构 ......................................................................................... 33 图 5.4 FOX64 最后一轮示意图 .................................................................................... 36 图 5.5 第 16 轮差分传播示意图 .................................................................................. 38 图 5.6 第 15 轮差分传播示意图 .................................................................................. 39 图 5.7 实验结果 ............................................................................................................ 40

分组密码算法和流密码算法的安全性分析

分组密码算法和流密码算法的安全性分析当今是一个网络时代,人们的生活方式与过去相比发生了很大的变化,足不出户就可以通过网络解决衣食住行中的绝大多数需求,例如,用淘宝网购买所需、用支付宝进行日常支付、用电子银行转账等等。

生活变得快捷而又方便。

然而,事物都有两面性,伴随着生活的便捷而来的是财产安全和个人隐私的保障问题。

这时,密码的使用就是在网络上对我们进行保护的一个关键技术点。

它是类似防火墙似的存在,是一切网络活动的基石。

在网络传输时一般使用的是对称加密算法来进行加密操作,如流密码算法和分组密码算法。

因此,对现有的被广泛重视和使用的分组密码算法和流密码算法的安全性进行研究和分析是非常有必要的。

在本文中,首先,我们针对分组密码算法建立统计积分区分器和多结构体统计积分区分器新模型,并将模型应用于实际算法中;其次,基于MILP方法首次将S盒的差分特征和线性特征考虑进不可能差分路线和零相关路线的自动化搜索中,首次给出ARX算法通用的不可能差分路线和零相关路线的自动化搜索方法,并将该方法应用于实际算法中;最后,在相关密钥场景下利用不可能差分方法给出流密码算法Lizard的安全性分析结果。

具体结果如下。

提出分组密码算法统计积分区分模型,并利用该模型理论破解Skipjack变种算法、给出CAST-256的最优攻击结果和IDEA的最优积分攻击结果:积分攻击是对称密码领域最强大的分析方法之一,被广泛的应用于分组密码算法的安全性分析中。

它是基于概率为1的平衡特性来构建区分器。

攻击者可以通过固定输入的一部分比特而遍历剩下的所有比特的可能取值,观察相应的输出值在某些比特上是否为均匀分布来区分真实算法和随机置换。

为了增加积分区分器的覆盖轮数,攻击者通常会在整个明文空间的限制条件下以特定的结构来遍历更多的明文比特以使得平衡特性依然成立。

然而这一要求限制了积分攻击在很多算法分析中的应用。

在本文中,为降低积分分析中使用的数据复杂度,我们基于超几何分布和多项分布为算法和随机置换构造不同的概率分布来进行区分,从而构建了统计积分这一新模型。

分组密码攻击模型的构建和自动化密码分析

分组密码攻击模型的构建和自动化密码分析随着物联网时代向万物互联时代的不断推动,互联网为生活方方面面带来便利的同时,网络安全问题也在新形势下面临新的挑战。

作为保障网络安全的基石,密码在安全认证、加密保护和信息传递等方面发挥了十分重要的作用。

与公钥密码体制相比,对称密码算法由于效率高、算法简单、适合加密大量数据的优点应用更为广泛。

基于这一事实,对分组密码算法分析与设计的研究在新环境下显得尤为重要。

本文围绕分组密码攻击模型的构建和自动化密码分析这一主题展开。

首先,在攻击模型构建方面,我们提出了卡方多重/多维零相关线性分析模型,并将该模型用于一系列算法的多重和多维零相关分析中。

其次,针对自动化密码分析,我们一方面着眼于攻击路线的自动化搜索问题,另一方面试图借助自动化思想解决密码学中的理论问题。

在路线自动化搜索方面,我们给出了基于MILP方法对具有复杂线性层的算法和ARX类算法搜索比特级分离特性的模型,使用新方法对一系列算法关于积分分析的抵抗性进行了评估。

构建了基于SAT方法ARX类算法比特级分离特性的自动化搜索工具和基于SMT方法自动化搜索字级分离特性的新工具,完善了分离特性自动化搜索框架。

在自动化解决理论问题方面,讨论了差分分析中的差分聚集现象,对两个算法给出了更加精确的差分分析。

最后,我们对SIMON算法的所有版本给出了零相关攻击结果。

具体结果如下。

给出了基于SAT方法自动化搜索并分析带S盒算法差分闭包的工具:为了填补SAT方法在搜索差分闭包方面的空白,我们给出了基于SAT问题的差分闭包自动化搜索工具。

首先,我们给出对线性层和由多个小S盒构成的非线性层的刻画。

随后,给出了目标函数的SAT模型,这使得我们可以实现在固定权重下差分特征的搜索。

最后,给出了搜索差分闭包中多条路线的方法。

这一自动化搜索方法在对LED64算法和Midori64算法的分析中发挥了十分重要的作用。

对于LED64算法,我们提出了一种自动化搜索差分闭包正确对的方法。

SHACAL-2算法的差分故障攻击

第３第２期２卷
电
子
与
信
息
学
报
Ｖｌ．２．０３Ｎｏ２１Ｆｂ２１ｅ．００
２１年２００月
ＪｕｎｌｆｅｔｏｉｓＩｆｒａｉｎＴｃｎｌｇｏｒａｃｒｎｃ＆ｎｏｍｔｏｅｈｏｏｙｏＥｌ
ＳＣＬ２ＨＡＡ．算法的差分故障攻击
中图分类号：Ｎ１Ｔ９８ＤＩ１．２／ＰＪ１４．０．５５Ｏ：０７４Ｓ．１６０８１７３．２０
文献标识码：Ａ
文章编号：１０．９（１） — １．５０９５６２０００８８０２３０
ＤｉｅｅｔａｕｔＡｎｌｓｓｏＨＡＣＡＬ２ｆｒｎｉｌＦａｌａｙｉｎＳ一
摘要：该文采用面向字的随机故障模型，结合差分分析技术，评估了ＳＡＣＬ２法对差分故障攻击的安全性。ＨＡ一算
结果显示：ＳＨＡＣ．算法对差分故障攻击是不免疫的。恢复出３ｉＡＬ２２ｂｔ子密钥的平均复杂度为８个错误密文，完全恢复出５２ｂｔ１ｉ密钥的复杂度为１８２个错误密文。关键词：分组密码；ＳＡＣ一；差分故障攻击ＨＡＬ２
Ｂｉｎ０３，ｈｎ）ｅｉｇ００９Ｃｉａｊ１
（ ’ ｍｙＣｍｍａｄＣｌｇ， ’ １１８ＣｉａａＡｒｏｎｎｏｌｅＸｉｎ７００，ｈｎ）ｅａ
Ａｂｓｒｃ：Ｂｙｕｉｇｗｏｄｏｉｎｅａｌｔａｔｓｎｒ — ｒｅｔｄｆｕｔｍｏｅｎｈｅｈｉｕｆｄｆｒｎｉｌｃｙｔｎｌｓｓｈｅｕｉｙｏｄｌａｄｔｅｔｃｎｑｅｏｉｅｅｔａｒｐａａｙｉ，ｔｅｓｃｒｔｆｆＳＨＡＣＡＬ２ａａｎｔｄｆｅｅｔａａｌｎｌ８ｓｉｖｌａｅＲｅｕｔｓｏｈｔＳ一ｇｉｓｉｒｎｉｌｆｕｔａａｙｉｓｅａｕｔｄ．ｓｌｈｗｓｔａＨＡＣＡＬ２ｉｎｔｉｆ一ｓｏｍｍｕｅｔｕｈｎｏｓｃ

分组密码AES-128的差分故障攻击

分组密码AES-128的差分故障攻击刘祥忠【摘要】The advanced encryption standard is short for AES. It has another name Rijndael. It is one of the most popular ciphers in the world and is widely used for both commercial and government purposes. It has three versions( AES-128, AES-192 and AES-256). Differential fault analysis assumes that an attacker can induce faults into a system and collect the correct as well as the faulty behaviors. The attacker compares the two ciphers in order to retrieve the secret key. In this paper,present differential fault attacks on the block cipher AES-128 when error injected at the beginning of round 8 and round 7. The method proposed can recover subkey through 2 and 4 faults on average. The attack has a time complexity of 234(2112) time for full key recovery for the two fault injected model correspondingly.%AES是美国数据加密标准的简称,又称Rijndael加密算法.它是当今最著名且在商业和政府部门应用最广泛的算法之一.AES有三个版本,分别是AES-128,AES-19和AES-256.AES的分析是当今密码界的一个热点,文中使用差分故障攻击方法对AES进行分析.差分故障攻击假设攻击者可以给密码系统植入错误并获得正确密文和植入故障后密文,通过对两个密文分析比对从而得到密钥.文中提出了对AES-128的两种故障攻击方法,分别是在第8轮和第7轮的开始注入故障.两个分析方法分别需要2个和4个故障对,数据复杂度分别为234(2112)次猜测密钥.【期刊名称】《计算机技术与发展》【年(卷),期】2012(022)009【总页数】4页(P221-224)【关键词】AES-128;分组密码;差分故障攻击【作者】刘祥忠【作者单位】山东师范大学第二附属中学,山东济南250014【正文语种】中文【中图分类】TP3090 引言AES［1］是美国新的高级加密标准(Advanced Encryption Standard)的缩写，又称Rijndael 加密算法，是美国联邦政府采用的一种区块加密标准。

《现代密码学》练习题(含答案)

16. Shannon 证明了一次一密的密码体制是绝对安全的。不可破解
17.在 RSA 公钥密码系统中，若 A 想给 B 发送一封邮件，并且想让 B 知道邮件是 A 发出的，则 A 应选用的签名密钥是 A 的公钥。 A 的私钥（×）（√）（√）（√）（√）
9. McEliece 体制和 Xinmei 算法的设计思想基于纠错码。 11. GPS 算法是 NESSIE 的非对称认证标准。 12. 消息认证算法的功能是入侵者不能用假消息代替合法消息。 17.欧拉函数 φ(100) = 40。 φ(100)= φ(4*25)= φ(2^2)* φ(5^2)=(4-2)*(25-5)=2*20=40 13. 欧拉函数 φ(200) = 80。 φ(200)=φ(8*25)=φ(2^3)*φ(5^2)=(8-4)*(25-5)=80 12. 欧拉函数 φ(300) = 120。 φ(300)=φ(12*25)=φ(12)*φ(25)=φ(3)*φ(2^2)*φ(5^2)=2*2*20=80 12. 欧拉函数 φ(400) = 160。小于 400 且与其互质的数的个数
9. EIGamal 公钥密码体制的安全性基于椭圆曲线上的离散对数问题的难解性。有限域（×） 10. “一次一密”的随机密钥序列密码体制在理论上是不可以破译的。 11. 产生序列密码中的密钥序列的一种主要工具是指令寄存器。移位寄存器
，，

（√）（×）
12. 设 H 是一个 Hash 函数，如果寻找两个不同的消息 x 和 x 使得 H(x)= H(x )在计算上是不可行的，则称 H 是弱无碰撞的。强无碰撞性 13. 在 DES 加密过程中，初始变换 IP 对加密的强度没有影响。 14. 相对常用密码体制，Rabin 密码体制适宜对随机数字流信息进行加密。密码学练习题第 4 页（×）（√）（√）

第四讲——差分故障攻击的工具链

一、前言
上一讲中，我们学习了DFA的原理，以及其实现工具phoenixAES。

那么问题来了，我们用什么工具实现故障，以及捕获故障密文。

二、方案盘点
2-1 源码
如果我们直接获取到了源码，那当然是最好的，在程序中修改一个字节以及打印结果可以说毫无压力。

虽然现实场景中不太可能获取到源码，但是把白盒程序按执行流抠出来，用某种高级语言复写，比如
C/Python，那和源码没两样。

有的朋友可能会困惑，既然都抠出代码了，为什么还要还原Key，直接跑不也挺好？这是一个好问题。

在有白盒程序源码的情况下，并不特别需要还原出Key，我们可以用这个场景来练习对DFA的掌握程度。

2-2 IDA
使用IDA动态调试配合IDAPython脚本，可以很好的完成需求，但许多样本都会检测和对抗IDA动态调试，因此不是一个特别好的方案。

本系列文章不会展开讨论这个方案。

2-3 Frida
Frida 可以很轻松的实现多次执行目标函数、修改一个字节，打印输出等步骤，是最好的办法之一。

2-4 Unidbg
Unidbg 和 Frida 一样，都是非常好的方案，也是系列文章介绍的重点。

三、尾声
下一篇我们从源码这个方案开始处理。

SHACAL-2算法的研究与改进

ｃｏｕｌｄｒｅｓｕｌｔｔｈｅｋｅｙｓｓｔｉｌｌｉｎ０ａｆｔｅｒｅｘｐａｎｓｉｏｎｏｆｔｈｅｉｎｉｔｉｌａｋｅｙｓｗｉｔｈ０，ａｎｄｉｍｐｒｏｖｅｄｔｈｅｅｎｅｒｙｐｔｉｏｎｅｆｆｉｃｉｅｎｃｙ．Ｏｎｔｈｅｏｔｈｅｒｈａｎｄ．ｍａｋｉｎｇａｍｏｄｉｉｆｃａｔｉｏｎｏｎｉｔｅｒａｔｉｖｅｆｕｎｃｔｉｏｎ，ｗｈｉｃｈｃｏｕｌｄｍａｋｅｌｌａｎｅｗｓｇｒｏｕｐｓｉｎｆｏｒｍｅｒｒｏｕｎｄｉｎｆｌｕｅｎｃｅｔｈｅｔｗｏｏｎｅｓｉｎ
案提高了算法的效率和安全性。
关键词：ＳＨＡＣＡＬ－２；迭代函数；密钥扩展；依赖性测试；模差分攻击中图分类号：ＴＮ９１８．１文献标志码：Ａ文章编号：１００１ — ３６９５（２０１３）０８－２５２０－０３
ｔｈｅｎｅｘｔｇｒｏｕｐ．Ｄｅｐｅｎｄｅｎｃｅｔｅｓｔｓｈｏｗｓｔｈａｔｔｈｅｉｍｐｒｏｖｅｄａｌｇｏｒｉｔｈｍａｄｖａｎｃｅｓｏｎｅｒｏｕｎｄｔｈｎａｐｒｅｍｉｓｅｔｏｍｅｅｔｔｈｅｃｏｍｐｌｅｔｅｎｅｓｓ，ｔｈｅａｖａｌａｎｃｈｅｅｆｆｅｃｔａｎｄｔｈｅｓｔｉｃｒｔａｖｌａａｎｅｈｅｃｉｒｔｅｉａｒ．Ｄｉｆｆｅｒｅｎｔｉｌａａｔｔａｃｋｐｒｅｓｅｎｔｓｔｈａｔｔｉｍｅｃｏｍｐｌｅｘｉｔｙｉｎｔｈｅ１８ｓｔｅｐｓｏｆｔｈｉｓｌｇａｏｒｉｔｈｍ

33轮SHACAL-2的差分非线性攻击

ＳＡＣＡＬ一ｒｑｉｅａａｃｍｐｅｉｆａｏｔ２ｃｏｅｌｉｔｘｓｎｏｕａｉｎｌｏｌｘｔｆＨ２ｅｕｒｓａｄｔｏｌｘｔｏｂｕ “ ｈｓｎｐａｎｅｔ．ａｄａｃｍｐｔｔａｍｐｅｉｏｙｏｃｙ
２１００年２月第３７卷第１期
西安电子科技大学学报（自然科学版）
ＪＯＵＲＮＡＬ０ＦＸＩＡＮＵＮＩＥＳＴＹＤＩＶ：ＲＩ
Ｆｅ２１ｂ．００
Ｖｏ１３Ｎｏ１．７．
ｄｉ１．９９ｊｉｓ．０１２０．０００．１ｏ：０３６／．ｓｎ１０ —４０２１．１０８
７０７；２林电子科１０１．桂
５１０；３４０４．中国科学院软件研究所信息安全国家重点实验室，
摘要：利用ＳＨＡＣ－一个１差分非线性区分器，合被猜测子密钥空间分割的方法和快速傅ＡＬ２的７轮结立叶变换，出了一种攻击３提３轮ＳＨＡＣ一ＡＬ２的新方法．方法攻击３该３轮ＳＣ－ＨＡＡＬ２需要２的选择明文、的３２３轮ＳＨＡＣＬ２加密和２。算术运算，击成功概率为９．已有的结果相比较，攻Ａ－次攻９与新
ＤｉｆｒｎｉｌｎｎｉａｔａｋＯｌ３－ｏｎＨＡＣＡＬ一ｆｅｅｔａ－ｏｌｎｅｒａｔｃｉ３ｒｕｄＳ２

一种针对RSA算法软件应用的差分计时攻击

一种针对RSA算法软件应用的差分计时攻击
RSA算法是一种基于大数因子分解的非对称加密算法，被广
泛应用于网络通信、数字签名、身份认证等领域。

然而，针对RSA算法的差分计时攻击却能够破解其加密安全，成为了一
种较为流行的攻击方式。

差分计时攻击是利用电脑处理指令速度的微小差异，通过测量处理时间的方式，获得加密秘钥的攻击方式。

针对RSA算法，差分计时攻击通过对加密算法进行多次重复操作，而量化出加密时运算时间的变化，从而逐渐导出加密秘钥。

针对RSA算法的差分计时攻击具体操作如下：首先构造一个
特定的攻击串，然后把攻击串与真实明文进行加密，并采集每次加密所消耗的时间。

根据差分计时的原理，消耗时间最长的那一次加密所采用的秘钥往往最接近正确秘钥。

通常需要经过多次采样以消除可能的噪音影响。

为了防范针对RSA算法的差分计时攻击，可以采取以下措施：一是增加加密算法的复杂度，增加分模块加密、考虑乘法交织等技术。

这样能够使得运算时间的差异不显著，降低攻击的成功概率。

二是使用硬件加速，配备专用加密芯片，使得加密运算不受计算机性能影响。

三是对算法进行随机化，使得攻击者难以获取准确的运算时间。

明确地说，差分计时攻击在某些情况下确实成为了危害RSA
加密的有效方式，但这不代表RSA算法已经被攻破。

实际上，在为RSA加密提供安全方案的过程中，保持健康的安全意识
以及强化代码安全措施，是避免差分计时攻击的最佳方式。

总体来说，差分计时攻击是一种相对较为"成熟"的安全漏洞攻击方法，需要加固自身系统的安全基础，时刻关注新型攻击方式的出现，始终保持安全水平的提升，方能适应未来的局面。

hmac sha2 算法原理

hmac sha2 算法原理HMAC（Hash-based Message Authentication Code）是一种基于哈希函数的消息认证码算法，用于验证消息的完整性和真实性。

HMAC算法结合了哈希函数和密钥，可以防止数据被篡改和伪造。

SHA-2（Secure Hash Algorithm 2）是一组安全哈希算法，包括SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224和SHA-512/256，它们分别产生不同长度的哈希值。

HMAC-SHA-2算法的原理如下：1. 选择适当的SHA-2算法（如SHA-256或SHA-512）作为哈希函数。

2. 选择一个密钥，长度不限，通常与所选的哈希函数的输出长度相关。

3. 对于要进行认证的消息M，使用密钥和所选的哈希函数计算出一个固定长度的哈希值。

4. 将计算得到的哈希值与消息一起进行处理，以产生最终的认证码。

具体步骤如下：1. 使用密钥对消息进行填充和处理，以便能够适应所选的哈希函数。

2. 使用填充后的密钥对消息进行哈希计算。

3. 将哈希计算得到的结果与密钥再次进行处理。

4. 最终得到的结果就是HMAC-SHA-2算法的输出，用于验证消息的完整性和真实性。

HMAC-SHA-2算法的安全性和可靠性建立在哈希函数的安全性和密钥的保密性上。

通过结合哈希函数和密钥，HMAC-SHA-2算法可以抵抗常见的攻击，如碰撞攻击和预映射攻击，提供了一种有效的消息认证码方案。

总之，HMAC-SHA-2算法通过结合哈希函数和密钥，提供了一种安全可靠的消息认证码算法，用于验证消息的完整性和真实性。

它在网络通信和数据传输中得到了广泛的应用，为数据安全提供了重要保障。

差分功耗分析攻击下密码芯片风险的量化方法

差分功耗分析攻击下密码芯片风险的量化方法随着现代社会对数字安全需求的不断提高，密码学一直是研究的重点。

密码芯片作为一种重要的加密设备，由于其在保障数据安全方面的作用，被广泛采用。

然而，密码芯片的安全性也存在着不同的攻击方法。

其中，差分功耗分析攻击是一种比较常见、高效的攻击方式，对密码芯片的安全性产生了一定程度的威胁。

在这种情况下，需要运用适当的方法进行风险分析和量化评估，以提高密码芯片在实际应用中的安全性。

1. 差分功耗分析攻击简介差分功耗分析攻击是一种通过分析目标芯片在处理数据时所消耗电能的方式获取密码密钥的攻击方式。

攻击者首先通过外部观察针对密码芯片进行敌意代码注入，利用针对敏感数据的实现代码，分析每个时钟周期的功耗特征等方式，将所有的采集数据加以处理，找到与密钥相关的信息，最终推导出密钥。

这种攻击方式不同于传统的暴力破解方式，其采用的是分析手段，能更加有效地获取密码芯片的敏感信息。

2. 差分功耗分析攻击的风险差分功耗分析攻击是一种比较常见、高效的攻击方式，对密码芯片的安全性产生了威胁。

根据文献和实验结果，差分功耗分析攻击可成为卡片密码芯片的一种主要攻击方式。

在现代数字社会中，加密芯片的安全性往往涉及到重要资料的安全。

若加密芯片不够安全，则黑客有可能通过非法方式获取重要的数据。

因此，差分功耗分析攻击的风险对于密码芯片的安全性具有重要意义。

3. 差分功耗分析攻击风险的量化方法目前，量化分析是一种验证设计安全性的方法，可用于评估针对芯片的不同攻击的概率。

在这方面，已有许多方法被提出，以对差分功耗分析攻击的风险进行量化。

（1）密钥迭代次数密钥迭代次数是指固定密码长度之后，进行加密操作的次数。

通过增加迭代的次数，可以增强密码芯片的安全性。

这个量化方法是比较实用的，因为它借助相关算法将攻击建模，并根据迭代次数和正常运行的功率，动态地测量实验中攻击成功率和容差性。

（2）密钥长度密钥长度是指在加密过程中用于保障安全性的密码长度。

33轮SHACAL-2的差分非线性攻击

33轮SHACAL-2的差分非线性攻击
韦永壮;胡予濮;陈杰
【期刊名称】《西安电子科技大学学报（自然科学版）》
【年(卷),期】2010(037)001
【摘要】利用SHACAL-2的一个17轮差分非线性区分器,结合被猜测子密钥空间分割的方法和快速傅立叶交换,提出了一种攻击33轮SHACAL-2的新方法.该方法攻击33轮SHACAL-2需要2~(44)的选择明文、2~(496.6)的33轮SHACAL-2加密和2~(502)次算术运算,攻击成功概率为99%.与已有的结果相比较,新攻击有效地提高了单密钥下SHACAL-2的攻击轮数.
【总页数】6页(P102-106,118)
【作者】韦永壮;胡予濮;陈杰
【作者单位】西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西,西安,710071;桂林电子科技大学信息与通信学院,广西,桂林,541004;西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西,西安,710071;西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西,西安,710071;中国科学院软件研究所信息安全国家重点实验室,北京100039
【正文语种】中文
【中图分类】TN918.1
【相关文献】
1.具有非线性中立型项的二阶非线性差分方程非振动解的存在性 [J], 王志伟;邓志云
2.SHACAL-2算法中非线性函数的差分特性及其应用 [J], 沈璇;李瑞林;李超;赵光耀
3.SHACAL-2算法的差分故障攻击 [J], 魏悦川;李琳;李瑞林;李超
4.42轮SHACAL-2新的相关密钥矩形攻击 [J], 韦永壮;胡予濮
5.SHACAL-2*算法的差分故障攻击 [J], 沈璇;赵光耀;李超
因版权原因，仅展示原文概要，查看原文内容请购买。

SHACAL_2_算法的差分故障攻击

沈璇，赵光耀，李超( 国防科学技术大学理学院数学与系统科学系，长沙 410073)摘要: 采用基于字的随机故障模型对 S HA C AL -2 * 算法进行差分故障攻击，理论结果和实验数据都表明以超过 60% 的成功概率恢复 512 bit 的种子密钥需要 160 个随机故障，以超过 97% 的成功概率恢复 512 bit 的种子密钥需要 204 个随机故障。

S HA C AL -2 *算法可以找到两个有效的差分故障位置，而 S HA C AL -2 算法只有一个有效的差分故障位置。

因此，从实施差分故障攻击的难易程度看，S HA C AL -2 *算法抵抗差分故障攻击的能力弱于 S HA C AL -2 算法。

关键词: 随机故障模型; S HA C AL -2 *算法; 差分故障攻击中图分类号: 文献标志码: 文章编号: TN918 A 1001-3695( 2014) 10-3122-03do i : 10． 3969 / j ． i ss n ． 1001-3695． 2014． 10． 059D i ff e r e n t i a l f a u l t a n a l y s i s on S HA C AL -2 *SH EN Xuan ，ZH AO Guang -yao ，L I C hao( D e p t ． of Ma t h e ma t i c s ＆ Sy s t e m s Sc i e nc e ，Co ll e g e of Sc i e nc e ，Na t i ona l Un i v e r s i t y of D e f e n se T e chno l ogy ，Ch ang s h a 410073，Ch i na )Ab s tr ac t : Th i s paper used the t echn i que of d i ff e r en t i a l f au l t attack on t he S HA C A L -2 * based on wo r d -o r i en t ed f au l tmode l ．Bot h t heo r e t i ca l r e s u l t s and ex pe r i men t a l dat a dem onstrate that 160 random f au l t s are needed to ob t a i n 512 b i t k ey w i t h s uc - ce ss f u l p r obab ili t y m ore than 60% ，w h il e 204 random f au l t s are needed to ob t a i n 512 b i t k ey w i t h s ucce ss f u l p r obab ili t y mo r e than 97% ． T he paper found two e ff ec t i ve d i ff e r en t i a l f au l t po s i t i on s i n the S HA C AL -2 * ，wh il e one cou l d be found i n t he S HA C AL -2． The r e f o r e ，acco r d i ng to the d i ff i cu l t y degree of ca rr y i ng out d i ff e r en t i a l f au l t a tt ac k ，S HA C A L -2 * i s wea k e r than S HA C AL -2 i n the as pect of r e s i s t anc e d i ff e r en t i a l f au l t a tt ac k ．K e y w o r d s : random f au l t mode l ; S HA C AL -2 * a l go r i t hm ; d i ff e r en t i a l f au l t a tt ac k1996 年，Boneh 等人［1］首次提出故障攻击的概念，他们利用密码计算过程中的错误来攻击ＲS A -C ＲT 实现的签名方案。

SHACAL-2算法的差分故障攻击

SHACAL-2算法的差分故障攻击
魏悦川;李琳;李瑞林;李超
【期刊名称】《电子与信息学报》
【年(卷),期】2010(032)002
【摘要】该文采用面向字的随机故障模型,结合差分分析技术,评估了SHACAL-2算法对差分故障攻击的安全性.结果显示:SHACAL-2算法对差分故障攻击是不免疫的.恢复出32 bit子密钥的平均复杂度为8个错误密文,完全恢复出512 bit密钥的复杂度为128个错误密文.
【总页数】5页(P318-322)
【作者】魏悦川;李琳;李瑞林;李超
【作者单位】国防科技大学计算机学院长沙 410073;国防科技大学理学院长沙410073;西安陆军学院西安710108;国防科技大学理学院长沙 410073;国防科技大学计算机学院长沙 410073;国防科技大学理学院长沙 410073;中国科学院软件所信息安全国家重点实验室北京100039
【正文语种】中文
【中图分类】TN918
【相关文献】
1.针对椭圆曲线密码系统点乘算法的改进差分故障攻击 [J], 许盛伟;陈诚;王荣荣
2.SHACAL-2*算法的差分故障攻击 [J], 沈璇;赵光耀;李超
3.对轻量级分组密码算法LBlock的差分故障攻击 [J], 王涛;王永娟;高杨;张诗怡
4.轻量级分组密码算法TWINE差分故障攻击的改进 [J], 高杨;王永娟;王磊;王涛
5.针对流密码LEX的差分故障攻击及算法改进分析 [J], 李佳雨;石会;邓元庆;龚晶;关宇
因版权原因，仅展示原文概要，查看原文内容请购买。

一种关于CRT-RSA算法的差分错误注入攻击

一种关于CRT-RSA算法的差分错误注入攻击李增局【期刊名称】《密码学报》【年(卷),期】2016(0)6【摘要】自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后,CRT-RSA算法的错误注入攻击一直是学术界研究的热点.研究人员针对CRT-RSA算法提出了很多防御方案,并针对这些防御方案提出了不同的攻击方法,但是,后续提出的攻击方法都是基于Bellcore攻击思想,通过错误的结果数据或者验签的数据和正确结果数据的差和模数求公约数的方法进行攻击.该文针对CRT-RSA算法提出了一种新的攻击方法,该攻击方法需要针对同一明文运算两次不同错误的结果即可实现.该方法只是利用了整数分解定理和求最大公约数运算,计算过程和复杂度都比较简单.考虑到实际中攻击复杂度,该文提出了针对该方法的优化方案,使用了选择明文方式进行错误攻击攻击实验,并通过仿真方式证明本方法的可行性.仿真表明,该方法具有较低的复杂度,不到1秒钟即可实现1024位CRT-RSA算法密钥的破解.该方法同样适用于密钥长度更长的CRT-RSA的破解.由于只需要两次独立错误很大概率上即可恢复密钥,因此,本攻击方法具有很强的可行性,本文针对这种攻击方法提出两种防御方案,以抵御这种错误注入攻击手段.【总页数】9页(P546-554)【作者】李增局【作者单位】北京华融恒安科技有限公司多普勒斯实验室,北京 100173【正文语种】中文【中图分类】TP309.7【相关文献】1.一种抗注入攻击的高速AES算法设计 [J], 杨自恒;王宇2.一种改进的CRT-RSA防御侧信道攻击算法 [J], 李子木3.一种针对Grain-v1的新差分错误攻击 [J], 王璐;胡予濮;张振广4.CRT-RSA算法的选择明文攻击* [J], 李增局;彭乾;史汝辉;李超;马志鹏;李海滨5.CRT-RSA的连分数算法攻击的分析 [J], 童子圣;孙强因版权原因，仅展示原文概要，查看原文内容请购买。

分组密码SHACAL2的Biclique攻击

分组密码SHACAL2的Biclique攻击
郑雅菲;卫宏儒
【期刊名称】《计算机研究与发展》
【年(卷),期】2014(51)10
【摘要】分组密码算法SHACAL2是由Handschuh等人于2002年基于标准散列函数SHA2设计的,具有较高的安全性.利用SHACAL2算法密钥生成策略与扩散层的特点,构造了SHACAL2的首18轮32维Biclique.基于构造的Biclique对完整64轮SHACAL2算法应用Biclique攻击.分析结果表明,Biclique攻击恢复64轮SHACAL2密钥的数据复杂度不超过2 224已知明文,时间复杂度约为2511.18次全轮加密.与已知分析结果相比,Biclique攻击所需的数据复杂度明显降低,且计算复杂度优于穷举攻击.对全轮的SHACAL2算法,Biclique攻击是一种相对有效的攻击方法.这是首次对SHACAL2算法的单密钥全轮攻击.
【总页数】7页(P2329-2335)
【作者】郑雅菲;卫宏儒
【作者单位】北京科技大学数理学院北京 100083;北京科技大学数理学院北京100083
【正文语种】中文
【中图分类】TP309
【相关文献】
1.对轻量级分组密码I-PRESENT-80和I-PRESENT-128的biclique攻击 [J], 崔杰;左海风;仲红
2.对全轮3D分组密码算法的Biclique攻击 [J], 陈少真;刘佳
3.分组密码AES的非平衡Biclique结构性质 [J], 李云强;卢一强;王念平
4.轻量级分组密码mCrypton-64的biclique分析 [J], 袁征;李铎
5.对分组密码SKINNY-64-64的Biclique攻击 [J], 唐鹏;袁征
因版权原因，仅展示原文概要，查看原文内容请购买。

欧洲分组密码标准SHACAL-2算法的研究分析

欧洲分组密码标准SHACAL-2算法的研究分析
韦宝典
【期刊名称】《计算机工程》
【年(卷),期】2006(032)005
【摘要】由标准哈希算法SHA-2演变而来的SHACAL-2是新当选的3个欧洲分组密码标准算法中分组长度和密钥长度最长的算法,其安全强度被认为最高.提案沿袭单向哈希函数的形式来描述算法,文章以分组密码传统的规范形式刻画SHACAL-2算法的完整加密过程,指出算法扩散特性较差的缺点,给出分组密码算法加密过程与哈希算法压缩过程的对应关系,并提供了算法的详细解密过程和相应的加解密数据,为算法实现提供参照:补充了相应的轮常数;进一步研究了长分组长度和密钥长度的必要性,指出算法加解密结构不具有相似性.最后,对欧美4个分组密码标准进行了比较分析.
【总页数】3页(P4-6)
【作者】韦宝典
【作者单位】中山大学信息科学与技术学院电子与通信工程系,广州,510275
【正文语种】中文
【中图分类】TP312
【相关文献】
1.SHACAL-2算法中非线性函数的差分特性及其应用 [J], 沈璇;李瑞林;李超;赵光耀
2.SHACAL-2算法的差分故障攻击 [J], 魏悦川;李琳;李瑞林;李超
3.SHACAL-2*算法的差分故障攻击 [J], 沈璇;赵光耀;李超
4.SHACAL-2算法的研究与改进 [J], 时阳阳;黄玉划;陈帮春
5.我国SM4分组密码算法正式成为ISO/IEC国际标准 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

差分攻击原理

差分攻击原理密码学的发展使得网络和网络交互变得更加安全，并通过加密技术来保护用户的隐私和信息安全。

但是，经常出现新的攻击方式使得加密技术变得不够安全。

差分攻击作为一种比较新的攻击方式，使得密码学要面对新的挑战。

本文将深入探讨差分攻击原理。

差分攻击被广泛用于分组密码，它旨在寻找分析密码算法的弱点。

差分攻击利用密码算法中数据之间的差异来构造密钥。

攻击者通过构造特定的明文来观察密文的变化，然后利用差分相等来分析密钥。

在这种攻击中，攻击者从密文和明文之间的差异中提取有关密钥的信息。

分组密码算法将明文数据分成块，并且每个数据块都被转换为密文数据块。

差分攻击者将两个密文数据块之间的差异与与任意两个相应的明文数据块之间的差异进行比较。

攻击者会从中得到一个统计信息，他们将利用统计信息来构造密钥。

攻击者会继续修改明文数据，检查由此产生的密文之间的差异，并将其与他们之前收集的统计信息进行比较。

在分析了足够的数据之后，差分攻击者将能够识别密钥的部分或全部。

差分攻击的成功取决于攻击者的观察和分析能力。

他们必须能够分析密码算法的明文/密文对之间的差异，并从中提取有关密钥的信息。

差分攻击者还需要能够构造明文/密文对，并通过比较这些对之间的差异来获取有关密钥的更多信息。

攻击者可以使用计算机程序来执行攻击，并尝试找到最有效的攻击方式。

虽然差分攻击在密码学中被广泛讨论，但仍有一些方法可以防御这种类型的攻击。

一种常见的防御方法是使用差分难度。

差分难度是一个与密码算法相关的值，用于衡量针对该算法执行差分攻击的难度。

给定差分难度值，分析算法的难度将会增加，从而减少攻击者成功攻击密码的可能性。

另一种常见的防御方法是增加轮数。

当使用轮数较多的密码算法时，攻击者需要处理更多的密文对和明文对，从而使差分攻击变得更加困难。

总之，差分攻击是一种针对密码算法的常见攻击方式。

通过观察密文和明文之间的差异以及构建明文/密文对，攻击者可以从中提取有关密钥的信息。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第32卷第2期电子与信息学报Vol.32No.2 2010年2月 Journal of Electronics & Information Technology Feb. 2010SHACAL-2算法的差分故障攻击魏悦川①李琳②④李瑞林②李超①②③①(国防科技大学计算机学院长沙 410073)②(国防科技大学理学院长沙 410073)③(中国科学院软件所信息安全国家重点实验室北京 100039)④(西安陆军学院西安 710108)摘要：该文采用面向字的随机故障模型，结合差分分析技术，评估了SHACAL-2算法对差分故障攻击的安全性。

结果显示：SHACAL-2算法对差分故障攻击是不免疫的。

恢复出32 bit子密钥的平均复杂度为8个错误密文，完全恢复出512 bit密钥的复杂度为128个错误密文。

关键词：分组密码；SHACAL-2；差分故障攻击中图分类号：TN918 文献标识码：A 文章编号：1009-5896(2010)02-0318-05 DOI: 10.3724/SP.J.1146.2008.01575Differential Fault Analysis on SHACAL-2Wei Yue-chuan① Li Lin②④ Li Rui-lin②Li Chao①②③①(College of Computer Science of National University of Defense Technology, Changsha 410073, China)②(Science College of National University of Defense Technology, Changsha 410073, China)③(State Key Laboratory of Information Security, Graduate University of Chinese Academy of Sciences,Beijing 100039, China)④(Xi’an Army Command College, Xi’an 710108, China)Abstract:By using word-oriented fault model and the technique of differential cryptanalysis, the security of SHACAL-2 against differential fault analysis is evaluated. Result shows that SHACAL-2 is not immune to such kind of attack. 8 faulty ciphertexts can recover a sub key of 32 bit on average and 128 faulty ciphertexts are needed to recover all the 512 bit keys.Key words:Block cipher; SHACAL-2; Differential fault analysis1引言2003年，欧洲NESSIE(New European Schemes for Signatures, Integrity and Encryption)计划宣布了新的分组密码标准算法：Rijndael算法，MISTY1算法，Camellia算法和SHACAL-2算法，其中SHACAL-2算法的分组和密钥长度最长，安全性被认为最高，它是由标准Hash函数SHA-256演变而来的，分组长度为256 bit，密钥长度为512 bit，迭代次数为64轮。

故障攻击是侧信道攻击方法的一种，由Boneh 等人于1996年首次提出[1]，他们利用密码计算过程中的错误，来攻击基于RSA-CRT实现的签名方案。

一般而言，硬件设备均能正确地执行各种密码运算，但在外界干扰的情况下，密码模块的运算过程中可2008-11-27收到，2009-11-04改回国家自然科学基金(60803156)和信息安全国家重点实验室开放基金(01-07)资助课题通信作者：魏悦川 wych004@ 能出现硬件故障或运算错误，利用这些故障行为或错误信息恢复密钥的攻击即是故障攻击。

这种攻击方法一经提出立即引起了人们的广泛关注，并展示出了其对密码体制安全性的极大破坏性。

1997年，Biham 等人在故障攻击的基础上结合差分分析技术，提出了差分故障攻击的概念[2]，并成功地攻击了DES算法，显示了DES类密码所采用的Feistel结构对该攻击的不免疫性。

此后，差分故障攻击又成功地攻击了椭圆曲线加密体制、3DES算法、SMS4算法、AES-128算法、ARIA算法、CLEFIA算法、KeeLoq算法和SHACAL-1算法等[310]−。

由于诱导故障多是针对硬件设备(如智能卡等)，所以故障攻击大多应用于密码算法的硬件实现，且由于其简单易行又十分有效，故障攻击已成为目前最有效的侧信道攻击方法之一。

诱导故障的本质其实就是引入差分，可以说差分故障攻击是一种特殊的差分攻击，只是差分的选取可以出现在加密的中间状态，但攻击原理仍然是第2期魏悦川等：SHACAL-2算法的差分故障攻击 319差分分析。

本文分析了SHACAL-2算法的加密特性，采用面向字的故障诱导模型，结合差分分析技术，对该算法进行了攻击。

攻击结果表明：SHACAL-2不抵抗差分故障攻击。

平均需要8个错误密文就可以恢复出1个32 bit 子密钥，平均需要128个密文就可以完全恢复出512 bit 密钥。

2 SHACAL-2算法SHACAL-2密码[11]提案基于单向Hash 函数SHA-256中压缩函数的加密模式设计。

该算法以32比特的字为处理单位，分别用+，−表示模232加和模232减；用⊕和&表示两个32 bit 操作数的异或运算和与运算，用¬表示取反运算，用()i R X 和()i S X 表示将32 bit 字X 向右移动i 比特和向右循环移动i 比特。

算法中的基本函数有以下4个，定义如下，其中Ch 和Maj 分别被称为选择函数和主函数。

021322()()()()X S X S X S X Σ=⊕⊕161125()()()()X S X S X S X Σ=⊕⊕Ch(,,)(&)(&)X Y Z X Y X Z =⊕¬Maj(,,)(&)(&)(&)X Y Z X Y X Z Y Z =⊕⊕ 在如图1所示的一轮加密过程中，明文P 被存储在8个32比特变量0A ，0B ，0C ，0D ，0E ，0F ，0G 和0H 中，随后进行64次迭代，相应的密文C 由64A ，64B ，64C ，64D ，64E ，64F ，64G 和64H 级联组成。

一轮加密的函数更新过程如下：图1 SHACAL-2算法的一轮加密结构111011*********1()Ch(,,)2()Maj(,,);;;1;;;12i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i T H E E F G K W T A A B C H G G F F E E D T D C C B B A A T T ΣΣ+++++++++++++=++++=+====+====+这里i W 是常数；Ch ，Maj ，0Σ，1Σ都是具有32 bit 字输入，32 bit 字输出的函数。

SHACAL-2算法的512 bit 种子密钥K 被存储成16个32 bit 密钥字0115,,,K K K "，以下过程将这16个原始密钥字扩展成64个子密钥字(16,17,,i =" 63)：12701516()()i i i i i K K K K K σσ−−−−=+++0σ和1σ是线性函数：07183()()()(),X S X S X R X σ=⊕⊕1171910()()()()X S X S X R X σ=⊕⊕3 SHACAL-2算法的差分故障攻击3.1 故障模型与基本假设根据SHACAL-2算法的结构和轮函数的具体形式，为了充分利用差分传播性质, 本文采用面向字的故障诱导模型, 其基本假设为：(1)攻击者可以每次诱导加密过程中间状态的某个存储单元发生故障，但是他不知道具体的错误值；(2)对于同一个明文P 而言，攻击者可以获得在同一个密钥K 作用下的正确密文C 和错误密文*C 。

3.2 攻击的基本原理SHACAL-2算法没有采用传统的Feistel 结构，但是可以等价刻划为一类广义非平衡Feistel 结构：即每次迭代中仅有两个中间状态进行更新，其他保持不变。

SHACAL-2算法是以32 bit 字为单位进行运算的，所以本文采用面向字的差分故障诱导模型。

在进行攻击时，首先，获得一个明文和相应的正确密文。

其次，对上述明文进行加密，并对倒数第2轮进行随机故障诱导，获得所需的错误密文。

由于SHACAL-2算法未采用S 盒，而是一些简单的算术运算，所以本文在非线性部件中引入差分，根据加密算法的特点，利用差分分析技术恢复出一个未知状态，将未知状态值代入迭代函数中的代数方程，恢复出最后一轮的轮密钥。

利用该轮密钥对最后一轮进行解密，由解密获得倒数第2轮的输出值，此时，使用类似方法可依次攻击算法的其他轮，从而恢复出16轮轮密钥。

最后，利用SHACAL-2密钥扩展算法的特点恢复出512 bit 的种子密钥。

3.3 攻击的详细步骤本部分将详细介绍攻击过程。

本文方案假设对同一个明文P 进行多次故障诱导。

而在实际的攻击方案中攻击者完全可以随机地选择明文。

只要他可以得到一个正确密文和一个对应的包含有他所需要故障类型的错误密文即可。

我们注意到，在加密过程中，每一轮的8个字中有两个字被更新，密钥的参与仅仅是在变量1T 处，将1T 的最后一轮更新写成代数方程, 即：320 电子与信息学报第32卷646316363636363631()Ch(,,)T H E E F G K W Σ=++++(1)由于密文的8个字都是已知的，根据第2节中的迭代关系可知，式(1)中只有63H 和63K 是未知的，其中 6464646406464646412=()Maj(,,)T A T A B B C D Σ=−−−(2)若63H 已知，则可将密钥63K 表示为636463164646464631()Ch(,,)K T H F F G H W Σ=−−−−(3)而6362H G =这启示我们对倒数第2轮的输入进行故障诱导，以求出63H 的值。