超级会员免费看
密码分析与轻量级哈希函数研究
1. PRINTcipher的截断差分攻击分析
1.1 平均复杂度与传统假设的错误性
在密码分析中,通常认为平均复杂度是有限的,且所有密钥的行为大致相似,轮密钥相互独立。然而,对于PRINTcipher而言,这些假设是错误的。当存在一个无偏差的密钥时,平均复杂度在形式上是无限的;而只要存在一个有偏差的密钥,γ/ϵ²就是有限的。
对于截断差分攻击,一个n位分组密码的截断差分特征通常可以用一组输入和输出差分来描述。假设独立的轮密钥,截断r轮差分特征的平均概率p是各轮概率pi的乘积。一般假设对于(几乎)所有密钥,固定密钥k下的概率pk≈p,但这可能是高度不正确的。
以PRINTcipher为例,存在一个截断差分特征,对于任何r≥2的轮数,pk∈{2⁻¹⁶, 0}。由于所有密钥中有2⁻²⁹的比例是弱密钥,所有密钥的平均概率pav = 2⁻¹⁶ · 2⁻²⁹ = 2⁻⁴⁵。这表明,将各轮概率相乘得到的平均攻击复杂度随着轮数增加趋于零的假设是错误的,而且所有密钥行为相似以及轮密钥独立的假设也会导致错误的结论。
1.2 以截断差分重新表述攻击
为了便于描述,考虑PRINTcipher - 48版本,固定置换密钥为00 11 00 00 10 01 00 00 11 00 00 00 00 11 00 00。考虑如下形式的r轮截断差分特征:
α →U ′ →U … U →U
其中,α = 000 100 011 101 000 100 001 100 000 000 001 110 001 000 101 110,U ′ = {001 100 1 1
订阅专栏 解锁全文
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
