Feistel结构上的中间相遇攻击

Feistel结构上的改进的中间相遇区分器

摘要

采用高效制表技术的改进的中间相遇密码分析已被证明是对SPN结构分组密码（尤其是高级加密标准）极为强大的密码分析方法。然而，针对平衡Feistel网络（BFN）和广义Feistel网络（GFN）的研究成果却较少。这主要是因为在预计算阶段存在影响路径的错位以及特殊的截断差分路径，即这两条路径在BFN和GFN密码中差异较大。本文提出了一种高效且通用的算法，用于在面向字的BFN和GFN分组密码上搜索最优的、基于高效制表技术的改进的中间相遇区分器。该算法基于递归算法和贪心算法。

为了验证我们方法的有效性，我们对14/16轮CLEFIA‐192/256实现了密钥恢复攻击，这是目前最好的攻击结果。同时，我们还给出了对13/15轮 Camellia‐192/256（不含 FL/FL−1）的密钥恢复攻击。

关键词 ： 分组密码 · Improved中间相遇攻击 · Effi-高效的制表技术 · Automatic搜索算法 · CLEFIA ·Camellia分组密码

1 引言

中间相遇攻击[8]最初由迪菲和赫尔曼提出，用于攻击DES。近年来，由于该攻击对分组密码高级加密标准（AES）具有显著效果而被广泛研究。对于AES，吉尔伯特和米尼耶在[12]中展示了针对7轮AES的一些碰撞攻击。在FSE 2008上，德米尔奇和 Sel¸cuk采用中间相遇技术改进了吉尔伯特和米尼耶的攻击方法，取代了原有的碰撞思想。更具体地说，他们指出4轮AES密文每个字节的值可以表示为一个函数，该函数依赖于 δ‐set（即一个包含256个明文的集合，其中一个字节（称为活动字节）取遍所有可能值，其余15个字节保持不变），并由 25[5]和 24[6] 8比特参数进行参数化。最新的改进在于存储差分而非具体数值。该函数用于在离线阶段构建区分器，即他们构建一个查找表，其中包含所有

改进的中间相遇区分器在Feistel结构上的应用 12 3

由 δ‐集合构造的可能序列。在在线阶段，他们识别出一个 δ‐集合，然后通过若干轮部分解密 δ‐集合，并检查其是否属于预计算表。在ASIACRYPT2010上，邓克尔曼、凯勒和沙米尔提出了许多新思想以解决德米尔奇和塞尔¸库攻击中的内存问题[10]。首先，他们仅存储 multiset，即带有多重性的无序序列，而非有序序列。第二个也是主要的思想是差分枚举技术，该技术利用截断差分特征上的特殊性质，将描述函数集合的参数数量从24减少到16。此外，德尔贝兹、富克和让在EUROCRYPT 2013[7],