35、全GOST分组密码的单密钥攻击解析

全GOST分组密码的单密钥攻击解析

在当今的密码学领域，加密算法的安全性至关重要。GOST分组密码作为俄罗斯于1989年发布的加密标准，一直以来受到广泛关注。然而，过去20年里，针对全GOST分组密码在无任何密钥条件（如弱密钥和相关密钥）下的密钥恢复攻击尚未有公开成果。本文将介绍一种全新的单密钥攻击方法，它适用于所有密钥类别，为GOST分组密码的安全性研究带来了新的视角。

1. GOST分组密码概述

GOST是基于32轮Feistel结构的分组密码，其块大小为64位，密钥大小为256位。轮函数由密钥加法、八个4×4位S盒和一个11位左旋转组成。值得注意的是，GOST标准中并未指定S盒的值，因此不同行业使用不同的S盒集合。例如，俄罗斯联邦中央银行使用的S盒就是其中之一。

由于其简单的结构，GOST分组密码非常适合紧凑的硬件实现。Poschmann等人展示了一种仅需651 GE的最紧凑实现方式。因此，GOST被认为是超轻量级分组密码之一，适用于包括RFID标签和传感器节点在内的受限环境。

2. 过往攻击方法回顾

在过去的20年中，针对GOST已经提出了多种攻击方法，具体如下表所示：
| 密钥设置 | 攻击类型 | 轮数 | 复杂度 | 数据 |
| — | — | — | — | — |
| 单密钥 | 差分攻击 | 13 | 未给出 | 251个选择明文 |
| 单密钥 | 滑动攻击 | 24 | 263 | 263个自适应选择明文 |
| 单密钥 | 滑动攻击 | 30 | 2253.7 | 263个自适应选择明文 |
| 单密钥 | 反射攻击 | 30 | 2224 | 23