27、密码分析：ARIA与KATAN家族的攻击研究

密码分析：ARIA与KATAN家族的攻击研究

1. ARIA密码的新回旋镖攻击

1.1 E0 - 1差分分析

在对ARIA密码的研究中，E0 - 1差分有着特定的概率和特征。通过将方程(2)和(3)结合，由于回旋镖条件(1)，DL3可以以概率1被撤销。在反向DL3之后，字节3、4、6、8、9、13和14为非零，其余字节为零。SL3之后，这些字节出现差异的情况有多种，平均概率为(2 - 6.93)7 = 2 - 48.79。DL2输出字节0的差异为a，其余字节差异为零，SL2将字节0的差异转换为非零差异，并在DL1后扩散到字节3、4、6、8、9、13和14。E0 - 1差分的输出差异α包含这些非零和零差异，其发生概率Pr(α ← βin) ≈ 2 - 49。

1.2 攻击步骤

攻击者首先收集数据并将过滤后的数据存储在集合φ中，然后对φ中的剩余四重奏进行密钥搜索以找到K0的56位。具体攻击步骤如下：
1. 选择253个结构Sj，每个结构包含256个明文Pi,j，这些明文的七个字节（3、4、6、8、9、13和14）具有所有可能的值。请求对Pi,j进行加密以获得密文Ci,j，计算P′i,j = Pi,j ⊕ α并请求对其进行加密以获得C′i,j。
2. 对于每个密文Ci,j，计算新密文Di,j = Ci,j ⊕ δ，其中δ是一个固定的128位值，字节0为非零值a，其余字节为零。对C′i,j进行相同操作得到D′i,j。
3. 请求对Di,j和D′i,j进行解密以获得新密文Oi,j和O′i,j。
4. 仅将那些Oi,j ⊕ O′i,j在字节3、4、6、8、9、13和14具有非零差异，其余字节具有零差异的四重奏(Pi,j, P