高级加密标准的差分特征

2-
150
百度文库
的 4 轮差分特征, 于是 AES 至少存在 12 750
150
组最大概率为 2-
的 4 轮差分特征.
3
AES 的 r ( ∀5) 轮差分特征
Matsui 给 出 了 一 种 实际 有 效 的 算 法来 搜 索
特征输入活性盒分布图有如下 16 种可能: ( 1) 4 ∃ 1 ∃ 4 ∃ 16, W c( a 1 ) = 1, W c ( a 3 ) = 4; ( 2) 3 ∃ 2 ∃ 8 ∃ 12, W c( a 1 ) = 1, W c ( a 3 ) = 4; ( 3) 2 ∃ 3 ∃ 12 ∃ 8, W c( a 1 ) = 1, W c ( a 3 ) = 4; ( 4) 1 ∃ 4 ∃ 16 ∃ 4, W c( a 1 ) = 1, W c ( a 3 ) = 4; ( 5) 8 ∃ 2 ∃ 3 ∃ 12, W c( a 1 ) = 2, W c ( a 3 ) = 3; ( 6) 6 ∃ 4 ∃ 6 ∃ 9, W c ( a 1 ) = 2 , W c ( a 3 ) = 3, a 1 的活性列中活性盒数目为 2 ; ( 7) 4 ∃ 6 ∃ 9 ∃ 6, W c ( a 1 ) = 2 , W c ( a 3 ) = 3, a 1 的活性列中活性盒数目为 3 ; ( 8) 2 ∃ 8 ∃ 12 ∃ 3, W c( a 1 ) = 2, W c ( a 3 ) = 3; ( 9) 3 ∃ 12 ∃ 8 ∃ 2, W c( a 1 ) = 3, W c ( a 3 ) = 2; ( 10) 6 ∃ 9 ∃ 6 ∃ 4, W c( a 1 ) = 3 , W c ( a 3 ) = 2 , a 3 的活性列中活性盒数目为 2 ; ( 11) 9 ∃ 6 ∃ 4 ∃ 6, W c( a 1 ) = 3 , W c ( a 3 ) = 2 , a 3 的活性列中活性盒数目为 3 ; ( 12) 12 ∃ 3 ∃ 2 ∃ 8 , W c( a 1 ) = 3 , W c( a 3 ) = 2; ( 13) 4 ∃ 16 ∃ 4 ∃ 1 , W c( a 1 ) = 4 , W c( a 3 ) = 4; ( 14) 8 ∃ 12 ∃ 3 ∃ 2 , W c( a 1 ) = 4 , W c( a 3 ) = 1; ( 15) 12 ∃ 8 ∃ 2 ∃ 3 , W c( a 1 ) = 4 , W c( a 3 ) = 1; ( 16) 16 ∃ 4 ∃ 1 ∃ 4 , W c( a 1 ) = 4 , W c( a 3 ) = 1. 定理 2 2
[ 4]
1
搜索 AES 差分特征的方法
AES 是典 型具有 SPN 结构的分组 密码, Xi ,
Yi 分别表示 AES 的 第 i 轮的 S 盒输入、 输出差 分 ; 则第 i 轮的输出差分 Xi + 1 = P Yi , 其中 P 是 AES 线性层的线性变换所对应的矩阵. 首先回顾文献 [ 1] 中的一些基本概念 . 定义 1 AES 的用 4 # 4 矩阵表示的 16 个字节 输入、 输出以及经过变换所得的中间过程统称状态 ( St at e) . 一个状态 a 中至少有一个字节不为 0 的列 称为活性列 ( active column ) . W c ( a) 表示状态 a 中 活性列的数目. 定义 2 状态中不为 0 的字 节被称为 活性盒 ( act ive box ) ; 在某一轮中输入差分的状态中不为 0 的字节被称为差分活性盒( different ial act ive box ) . 为了有效搜索 AES 的高概率差分特征, 下面引 入 r 轮差分特征的输入差分活性盒分布图的概念: 定义 3 n 1 ∃ n 2 ∃ % ∃ n r 表示 r 轮差 分特征
曾祥勇1, 2 , 张焕国1 , 刘合国2, 3
( 1. 武汉大学 计算机学院 , 湖北 武汉 430072; 2. 信息安全国家重点实验室( 中国科学院研究生院 ) , 北京 100039; 3. 湖北大学 数学与计算机科学学院 , 湖北 武汉 430062)
摘
要 : 通过对美国高级加密标准 ( A ES) 特点的分 析 , 引 入差分 特征输 入差分 活性盒 分布图 的概念 , 给出 了
( 2 - 1) = 4 080 种可能 ; 以 设 S1 S1 i, P S1 2
- 1
分状态的第一轮 S 盒的输出差分状态为 P S2 = P
- 1
X 2, S1 2 与
X 2 , 这里 S1 , S 2 分 别是数 据对
在 AES 的 S 盒 作用 下的 象, 则 S1 1
X 2 都是差分活性盒数目为 4 的差分状态; 由
( X 1, X 2, X 3, X 4, X 5, X 6 X 7, X 8) . 上述搜索方法与 AES 的结构特征 ( 能够用输入 活性盒分布图刻画其差分特征) 有直接的关系, 可能 它并不适用于其他密码系统或用于其他密码系统的 搜索效果很差 . 用这种方法搜索 r 轮高概率的差分 特征之前, 应判断它可能的输入差分活性盒分布图. 因为 X i 的取值有 225 i 种可能 , 所以选择从较小
- 1
column 变换 . 根据 AES 密钥长度的不同 AES 有着 不同的加密轮数 , 考虑最后一轮轮函数也含有 Mix column 变换 , 容易知道这种约定是合理的 . 定理 1 AES 有且仅有 4 2
- 54
080 组最大 概率为
的 3 轮差分特征.
. 于是对第 r
- 1
证 AES 两轮差 分特征的输入差 分活性盒总 数至少是 5, 则 AES 三轮差分特征的输入差分活性 盒总数至少是 9, 且此时差分特征输入活性盒的分 布图为 4 ∃ 1 ∃ 4. 以差分活性盒 数目为 1 的任意差 分状态
的 3 轮差分特征. 下面来研究差分活性盒总数为 25 的所有可能 4 轮差分特征, 并且给出它们的输入活性盒分布图 . AES 的 4 轮差分 特征的最大概 率理论值[ 5] 为 2150
, 保证 4 轮差分活性盒总数为 25 是达到这个
值的必要条件. 设 4 轮 AES 的输入差分状态分别为 a 0 , a 1 , a 2 , a 3 , W ( a ) 表示状态 a 的活性盒数目 , 则
8
轮输出差分为 X r + 1 的明文对 , 可以先计算出它们 经过第 r 轮线性层之前的差分 Yr = P X r + 1, Xr , 对 再搜索 出所有可 能的第 r 轮的 输入差分 轮的所 有可能 的输入 差分
X 2 作为第二轮的输入差分状态共有 16 # X2 = Y1 作为输出差
- 1
X r 的所有可能值重复上面的工作 , 直到得出第一 X 1 , 这种 操作 被称 为 AES 的 r 轮差分特征的逆向搜索 . 本文给出的 AES r 轮差分特征的搜索方法, 根 据 r 轮差分特征输入差分活性盒的分布图, 先确定 要搜索的是具有何种输入差分活性盒分布图的差分 特征 , 然后从 n i 值较小( 值为 1 , 2, 3) 的第 i 轮同时 进行正向和逆向搜索操作 . 例如: 要搜索输入差分活 性盒分布图为 16 ∃ 4 ∃ 1 ∃ 4 ∃ 16 ∃ 4 ∃ 1 的 7 轮差分 特征, 首先确定较小 n i 值 , 即 n 3 = n 7 = 1, 从 i = 3 用逆向搜索得到 2 轮差分特征 ( X 1 , 其中 X 2, X 3 ) , X 3, X 1 , X 2 , X 3 的差分活性盒数目分别为 16, X 3, X 4 , X 5 的差分活 性盒数 X 5, X 6, X7
第 50 卷 第 1 期 2004 年 2 月
武汉大学学报 ( 理学版 ) J. W uhan U niv. ( N at. Sci. Ed. )
V ol. 50 N o. 1 Feb. 2004, 060~ 064
文章编号 : 1671 8836( 2004) 01 0060 05
高级加密标准的差分特征
一种 计算 A ES 差分特征 的方法 , 从而使得计算 A ES 的多轮差分特征成为可能 . 并且给出了用这种方法获 得的 AES 3~ 12 轮高概率的差分特征 , 其中 3 、 4 轮差分特征的概率与理 论值相符 . 到目前 为止 , 本文给出 的 3~ 12 轮差分 特 征概率是所有已知的 AES 的多轮 差分特征概率中最大的 ; 并且首次给出了 AES r ( 3 ! r ! 12) 轮 最大概率差分特征 的差分活性盒数目范围及概率上界 . 关 键 词 : 分组密码 ; 差分特征 ; 高级加密标准 文献标识码 : A 中图分类号 : T P 309
于 AES 的 S 盒的 EXOR 表的最大值是 4( 且每行仅 有惟一的最大 值) , 于是第一轮有惟一 最大概率为 ( 2- 6 ) 4 = 2- 24 的差分状态作为输入; 设第二轮 S 盒 惟一的最大概率 2
- 6
的输出差分状态为 X3 = P
- 24
Y2 , 则第
三轮的输入差分状态为
Y2 , 同上分析可 的 输 出差 分 状态
收稿日期 : 2003 03 23 基金项目 : 国 家 自然 科 学 基 金 ( 60373089, 60373041) ; 湖 北 省 武 汉 市 晨 光 计划 ( 20025001007) ; 湖 北 省 自 然 科 学 基 金 资 助 项 目 ( 2002A B0037) 作者简介 : 曾祥勇 ( 1973 ) , 男 , 博士后 , 现从事密码学和代数表示论研究 . E mail: xyzeng2002@ sina. com
第1期
曾祥勇 等 : 高级加密标准的差分特征
61
的输入差分活性盒的分布图, 其中 n i ( i = 1, 2 , %, r ) 为第 i 轮的输入差分活性盒的数目. 这个概念可以将所有的 r 轮差分特征组 成的 集合分成若干个子集, 每个子集中的元素有着相同 的输入差分活性盒分布图 . 由文献 [ 1] 知, 差分特征 的输入差分活性盒总数很大程 度上影响着它 的概 率; 相对而言, r 轮高概率差分特征的输入 差分活 性盒总数较小 . 文献 [ 1] 正是根据这个 原因对 AES 抗差分攻击能力进行评估 , 证明 AES 有足够的抗差 分攻击能力. 因此, 在具有较小输入差分活性盒总数 的 r 轮差分特征中 , 能够在较小范围内有效地搜索 到高概率的差分特征 . 对输入差分为 X 1 的明文对, 先搜索出它们经 Y1 , 经过线性层得 过 S 盒变换后的所有可能差分 X 2= P X r + 1= P Y1 , 对
到第 1 轮的输出差分 P Y 1 , 即第 2 轮的输入差分 X 2 的所有可能值重复上面的工 作, % , 这样经过 r 轮得到了所有可能的输出差分 Yr , 这种操作被称为 AES 的 r 轮差分 特征的正向搜索 . AES 具有如下特点 : 第 i 轮的 S 盒的输出差分 Yi 与第 i + 1 轮的输入差分 即 X i+ 1 = P Yi 且 Yi = X i+ 1 相互惟一决定 , Xi+ 1 P
62
武汉大学学报 ( 理学版 )
第 50 卷
i= 0
&
3
W ( a i ) = 25, 当且仅当 W ( a 0) + W ( a 1) = 5 W c ( a 1) W ( a 2) + W ( a 3) = 5 W c ( a 3) W c ( a 1) + W c ( a 3) = 5 按上面的 3 个等式分情况分析可知 : 4 轮差分
54
知存在 惟 一的 最大 概率 为 2
4, 1; 从 i = 3 正向 搜索得 到 2 轮差 分特 征 ( X 4 , X 5 ) , 其中 差分 特征 ( X 5 ,
X 4 . 于是 AES 有且仅有 4 080 组最大概率为 2-
目分别为 1, 4, 16; 然后从 i = 7 逆向搜索得到 2 轮 X 6 , X 7 ) , 其中 的差分活性盒数目分别为 16 , 4 , 1; 最后从 i = 7 正 向搜索得到 1 轮差分特征( X 7 , X 8 ) , 其中 X 7 的 差分活性盒数目 1. 于是得到所有输入差分活性盒 分布图为 16 ∃ 4 ∃ 1 ∃ 4 ∃ 16 ∃ 4 ∃ 1 的 7 轮差分特征
n
n i 值入手能提高计算机的搜索效率 . 同时, 这种方 法不适合用来搜索 ni 值都较大的差分特征 ; 另一方 面 , 每个 n i 值都较大的差分特征的概率较小 [ 1 ] , 用 来搜索它们也没有太大的实际意义.
2
AES 的 3~ 4 轮差分特征
AES 的最后一轮的轮函数较为特殊 , 不含 Mix
最大概率的多轮差分特征; 并且由此给出了 AES r 轮
0
引
言
最大概率差分特征的差分活性盒数目范围及概率上 界, 这为最终找到 AES r ( ∀5) 轮最大概率差分特征 提供了基础, 具有重要的意义.
美国高级加密标准 AES[ 1] 正式颁布后, 研究是否 存在着一种实际有效攻击 AES 的方法成为分组密码 研究领域的新挑战; 但是被认为最有希望的平方攻 击、 差分攻击和线性攻击等都不能对 AES 实施有效 的攻击[ 2, 3] . AES 有足够抗差分攻击和线性攻击的能 力, 是通过估计它抗差分攻击和线性攻击能力的下界 得出的结论 , 但是 AES 最大概率的多轮差分特征和 线性特征的具体值并不为人们所知 . 是否存在其他的 S 盒能够取代 AES 的 S 盒, 使代替后的系统呈现出 更强的抗差分攻击、 线性攻击等其他攻击的能力呢? 为了回答这些问题 , 研究 AES 最大概率的差分特征 和线性特征的具体情况是很有必要的 . Sugita 等人提供了一个算法, 可以得到 AES 多 轮差分特征的概率近似值 ; 但是这种方法得出的结果 很不精确, 它的另一个缺点是不能具体给出高概率的 差分特征. 本文通过对 AES 特点的分析, 引入 r 轮差 分特征的输入差分活性盒分布图的概念, 给出了一种 计算 AES 差分特征的方法 , 从而使得计算 AES 的多 轮差分特征成为可能. 用这种方法可以获得 AES 的 3 ~ 12 轮的高概率差分特征( 其中 3、 4 轮是最好的, 即: 与理论值相符 ) . 到目前为止, 它们是所有已知的 AES