43、关联数据处理与Ascon密码分析技术解析

perl8

于 2025-10-19 14:20:19 发布

阅读量28

点赞数

CC 4.0 BY-SA版权

分类专栏： CT-RSA 2015密码学精粹文章标签：关联数据处理 Ascon密码算法 Nonce窃取

本文链接：https://blog.youkuaiyun.com/perl8/article/details/154333249

CT-RSA 2015密码学精粹专栏收录该内容

58 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

关联数据处理与Ascon密码分析技术解析

在密码学领域，如何高效处理关联数据以及对密码算法进行安全分析是至关重要的研究方向。本文将深入探讨关联数据的处理方法，以及对Ascon密码算法的详细安全分析。

关联数据处理方法

在处理关联数据时，有多种方法和优化策略可供选择。

数据处理顺序与选择

在处理关联数据时，通常需要独立处理 (N, M)，也可以使用 donkeyHeaderTrailer。但与常规不同的是，必须先处理 A 再处理 N。如果在确定应用之前需要选择构造方式，基于海绵的密文转换可能更适合处理 A 的各种或未知位置。

进一步优化策略

Nonce 窃取（Nonce Stealing） ：该方法由 Rogaway 提出。在基于块密码且带 Nonce 的认证加密中，通常将 Nonce 设置为明文，即计算 EK(N)。为了平衡安全性，将 |N| 设置为块大小的一半，这样在计算 EK(N) 时，块的另一半就会产生空闲空间。Nonce 窃取的思想就是利用这个空闲空间来处理 A，即计算 EK(N∥A)。当 |A| 小于块大小的一半时，这种方法能显著提高性能。同时，Nonce 窃取也可应用于基于海绵的方案。在基于海绵的方案中，置换大小 b 远大于目标安全位数 κ，因此 Nonce 窃取的效果更为明显。许多设计遵循旧的安全边界，选择满足 c > 2κ。通过设置 |N| = |K| = κ，N∥K 可以放入 c 中，整个速率 r 位都可用于处理 A。需要注意的是，K 必须位于容量部分而非速率部分，否则安全证明将失效。
密钥转换（Key Translation） ：这是一种新的技术，旨在进一步提高处理 A 的速度。在 monkeyDuplex 构造中，IV 设置为 N∥K 和填充位，其中 K 占据 IV 容量部分的 |K| 位。密钥转换的思想是在初始置换调用之前吸收 |K| 位的 A，这样在安全性损失较小的情况下提高了效率。但密钥转换与 monkeyDuplex 的安全目标相悖，因为它在第一次置换调用之前吸收了 |K| 位的输入。不过，只要不重复使用相同的 (N, K)，仍能证明其具有相同的安全性。然而，密钥转换存在一个简单的相关密钥攻击。假设有两个分别使用 K 和 K ⊕Δ 的预言机（Δ 为攻击者已知），那么使用 K 的预言机对 (N, A) 的处理结果和使用 K ⊕Δ 的预言机对 (N, A ⊕Δ) 的处理结果相同。为防止这种攻击，可确保每个 Nonce 即使对于不同的密钥也只使用一次，在实际应用中可使用计数器作为 Nonce 的来源。此外，如果方案支持不同的密钥大小，必须对密钥进行适当填充，以防止密钥长度扩展攻击。在 Nonce 重复的情况下，基于海绵的认证加密基本不提供任何机密性，而密钥转换在这种情况下仅提供 κ/2 位的安全性。这是因为 Mendel 提出的密钥恢复攻击利用时间 - 内存权衡，通过 TM = 2κ 的权衡可以恢复 κ 位的密钥。

案例分析：ICEPOLE - 128

以 ICEPOLE - 128 为例，其 b = 1280，c = 254，|K| = |N| = 128。K 设置为 c 的 128 位，N 设置为 c 的 126 位和 r 的 2 位，并且使用 1 位作为帧位。通过 Nonce 窃取，IV 中最多可处理 1280 - 128 - 128 - 1 = 1023 位的 A。再结合密钥转换，还可额外处理 128 位的 A，总共最多可处理 1151 位的 A。由于 |A| 通常较短，这两种技术在实际应用中具有显著影响。

从利用容量的角度看关联数据处理

这项工作的目标是优化处理 A 的速度，也可看作是一系列旨在利用海绵容量的研究的一部分，更广泛地说，是利用原本用于安全而非效率的状态位。例如，donkeySponge 受 ALRED 构造的启发，而我们的构造也受到了一系列研究的启发。
- 增强 Merkle - Damgård ：donkey 头、donkey 尾和并发吸收提高了处理关联数据的速度。类似的思想也体现在增强的 Merkle - Damgård（MD）方法中，该方法提高了基于哈希函数的消息认证码（HMAC）的效率。在 HMAC 计算中，每个压缩函数调用仅处理 m 位消息，而每个块的输入大小为 m + n 位，其中 n 位状态仅用于混合压缩函数，这与海绵构造中的容量作用相同。增强的 MD 方法允许将 n 位消息异或（吸收）到链变量中，且安全性损失极小。
- 在容量中吸收额外信息 ：在海绵构造中，更有意义地利用容量是一项具有挑战性的任务。一些构造在这方面取得了进展：
- JH 哈希函数利用容量接收来自前一个链变量的前馈，有助于提高安全性。JH 模式后来被应用于 SPN - hash 哈希函数设计中，CAESAR 候选方案 Artemia 也采用了 JH 模式进行认证加密。
- donkeySponge 构造在 MAC 中不仅在速率部分吸收消息位，还在容量部分吸收，与增强的 MD 方法在提高 MAC 计算性能方面有相似之处。
- monkeyDuplex 构造在第一次置换调用之前的初始化过程中，将密钥 K 吸收到容量中，提高了性能。

Ascon 密码算法安全分析

Ascon 是 Dobraunig 等人提交给 CAESAR 竞赛的密码算法，基于海绵状构造，状态大小为 320 位，有 Ascon - 128 和 Ascon - 96 两种版本。本文主要聚焦于 Ascon - 128 的安全分析。

Ascon 概述

工作模式 ：Ascon 的工作模式基于 MonkeyDuplex。加密过程分为四个阶段：初始化、处理关联数据、处理明文和最终化。这些阶段使用两种不同的置换 pa 和 pb，其中 pa 用于初始化和最终化，pb 用于数据处理阶段。初始化阶段接收秘密密钥 K 和公共 Nonce N，确保在新的 Nonce 下，数据处理阶段开始时状态看起来是随机的。在处理关联数据时，将 r 位块与状态异或，并在每次异或后调用 pb。如果没有关联数据需要处理，该阶段可以省略。明文以类似的方式处理，在添加明文后从状态中提取密文块。为了区分关联数据和明文，会将一个常量异或到内部状态的秘密部分。处理完所有数据后，进入最终化阶段并返回 k 位标签 T。
置换：Ascon 使用两种置换 pa 和 pb，它们都迭代应用相同的轮函数 p，pa 应用 a 轮，pb 应用 b 轮。轮变换 p 包括对 x2 进行常量加法，然后应用非线性替换层和线性层。

安全分析结果

对 Ascon - 128 进行了详细的安全分析，结果如下表所示：
| 攻击类型 | 轮数 | 时间复杂度 | 方法 | 来源 |
| — | — | — | — | — |
| 置换区分器 | 12 / 12 | 2¹³⁰ | 零和 | 第 3 节 |
| 密钥恢复 | 6 / 12 | 2⁶⁶ | 类立方体 | 第 4.4 节 |
| 密钥恢复 | 5 / 12 | 2³⁵ | 差分 - 线性 | 第 5.4 节 |
| 密钥恢复 | 5 / 12 | 2³⁶ | 差分 - 线性 | 第 5.4 节 |
| 密钥恢复 | 4 / 12 | 2¹⁸ | - | - |
| 伪造攻击 | 4 / 12 | 2¹⁰¹ | 差分 | 第 5.3 节 |
| 伪造攻击 | 3 / 12 | 2³³ | - | - |

基于 Ascon 的低代数度，能够为完整的 12 轮 Ascon 置换构造复杂度为 2¹³⁰ 的零和区分器。还使用类似的代数性质构造了基于立方体测试器的区分器，并使用类立方体技术对初始化减少到 5 轮的 Ascon 进行了具有实际复杂度的密钥恢复攻击，理论上密钥恢复攻击可扩展到 6 轮初始化。同时，首次给出了 Ascon 的线性密码分析结果，并改进了设计者在差分密码分析方面的结果。通过启发式搜索获得了线性和差分特征，以及通过计算机辅助证明了对线性和差分密码分析的安全边界（最小活动 S 盒数量）。利用这些结果，对最终化 3 轮的情况进行了实际的伪造攻击，对 4 轮最终化进行了理论上的伪造攻击。

综上所述，通过对关联数据处理方法的研究和对 Ascon 密码算法的安全分析，我们可以更好地理解密码学中的数据处理和安全保障机制，为密码算法的设计和应用提供有价值的参考。

下面是 Ascon 加密过程的 mermaid 流程图：

graph TD;
    A[初始化] --> B[处理关联数据];
    B --> C[处理明文];
    C --> D[最终化];
    A -- 输入: K, N --> A1[pa 置换];
    B -- 输入: A --> B1[pb 置换];
    C -- 输入: P --> C1[pb 置换];
    D -- 输出: T --> D1[pa 置换];

通过以上的分析和介绍，我们可以看到密码学在关联数据处理和算法安全分析方面的复杂性和重要性。在实际应用中，需要根据具体需求选择合适的处理方法和安全机制，以确保数据的安全性和隐私性。

关联数据处理与Ascon密码分析技术解析（续）

深入剖析Ascon密码算法安全分析的具体技术

在前面我们已经对Ascon的基本情况和安全分析的整体结果有了一定了解，接下来将深入探讨实现这些安全分析结果所使用的具体技术。

零和区分器构造

正如前面提到，基于Ascon的低代数度，能够为完整的12轮Ascon置换构造复杂度为$2^{130}$的零和区分器。具体来说，零和区分器是一种用于区分密码算法与随机置换的工具。在Ascon中，由于其低代数度的特性，使得在一定条件下可以找到输入的组合，使得经过12轮置换后输出的和为零。这一特性可以用来判断一个未知的置换是否为Ascon的置换。构造零和区分器的步骤大致如下：
1. 分析Ascon置换的代数结构，确定哪些变量和操作对代数度有重要影响。
2. 通过对输入变量进行特定的组合和赋值，使得在经过置换后能够满足零和条件。
3. 计算满足零和条件的输入组合的复杂度，这里复杂度为$2^{130}$，意味着需要进行$2^{130}$次操作才能找到合适的输入组合。

类立方体技术的应用

类立方体技术在Ascon的密钥恢复攻击中起到了重要作用。对于初始化减少到5轮的Ascon，使用类立方体技术进行密钥恢复攻击具有实际复杂度。具体操作步骤如下：
1. 选择合适的立方体变量：从Ascon的输入变量中选择一部分作为立方体变量。这些变量的选择需要根据Ascon的结构和特性进行，以确保能够有效地利用类立方体技术。
2. 构造立方体测试器：根据选择的立方体变量，构造一个测试器，用于判断某个密钥是否正确。测试器的构造通常基于Ascon的置换操作和输出结果。
3. 进行密钥搜索：通过对立方体变量进行不同的赋值，并使用测试器进行测试，逐步缩小密钥的搜索范围。对于初始化5轮的Ascon，经过一系列的操作，可以在实际复杂度内找到密钥。理论上，这种方法可以扩展到6轮初始化的情况，但随着轮数的增加，复杂度也会相应提高。

线性和差分密码分析

线性和差分密码分析是密码学中常用的分析方法，在Ascon的安全分析中也得到了应用。
- 线性密码分析 ：首次给出了Ascon的线性密码分析结果。线性密码分析的核心是寻找密码算法中输入和输出之间的线性关系。在Ascon中，通过启发式搜索，找到了一些线性特征。具体步骤如下：
1. 定义线性近似：确定输入和输出之间的线性表达式，例如某些输入位的异或和与某些输出位的异或和之间的关系。
2. 搜索线性特征：使用启发式算法，在Ascon的置换中搜索具有较高概率的线性特征。这些线性特征可以用来预测输出结果，从而为密钥恢复和伪造攻击提供线索。
- 差分密码分析 ：改进了设计者在差分密码分析方面的结果。差分密码分析主要关注输入的差分在经过密码算法后输出的差分情况。在Ascon中，通过启发式搜索和计算机辅助证明，得到了差分特征和对差分密码分析的安全边界（最小活动S盒数量）。具体步骤如下：
1. 定义差分：确定输入和输出的差分形式，例如输入的某些位发生变化后，输出的哪些位会相应地发生变化。
2. 搜索差分特征：使用启发式算法，在Ascon的置换中搜索具有较高概率的差分特征。
3. 证明安全边界：通过计算机辅助证明，确定Ascon在差分密码分析下的最小活动S盒数量，从而为评估Ascon的安全性提供依据。

伪造攻击的实现

基于线性和差分密码分析的结果，对Ascon的最终化阶段进行了伪造攻击。
- 3轮最终化的实际伪造攻击 ：对于3轮最终化的Ascon，利用前面得到的线性和差分特征，构造合适的输入，使得在经过3轮最终化后能够伪造出有效的标签T。具体操作步骤如下：
1. 分析3轮最终化的结构：了解3轮最终化阶段使用的置换pa的具体操作和特点。
2. 利用线性和差分特征：根据前面得到的线性和差分特征，选择合适的输入值，使得在经过置换后能够满足标签T的生成条件。
3. 进行伪造尝试：通过多次尝试不同的输入值，找到能够成功伪造标签T的组合。这种攻击具有实际复杂度，意味着在实际应用中是可行的。
- 4轮最终化的理论伪造攻击 ：对于4轮最终化的Ascon，同样基于线性和差分密码分析的结果，进行理论上的伪造攻击分析。虽然这种攻击目前还只是理论上的，但为进一步研究Ascon的安全性提供了方向。具体步骤与3轮最终化的伪造攻击类似，但由于轮数增加，复杂度也相应提高。

关联数据处理与Ascon安全分析的实际意义

在实际的密码学应用中，关联数据处理和Ascon的安全分析具有重要的意义。

关联数据处理的实际应用

关联数据处理的优化技术，如Nonce窃取和密钥转换，在实际应用中可以显著提高密码算法的性能。例如，在一些对数据处理速度要求较高的场景中，如网络通信中的数据加密和认证，使用这些优化技术可以减少处理时间，提高系统的响应速度。同时，通过对关联数据处理的研究，可以更好地理解密码算法的内部结构，为设计更高效的密码算法提供思路。

Ascon安全分析的重要性

对Ascon进行安全分析可以及时发现密码算法中存在的安全漏洞，为密码算法的改进和优化提供依据。在密码学领域，安全性是至关重要的，任何安全漏洞都可能导致数据的泄露和被篡改。通过对Ascon的安全分析，我们可以评估其在不同攻击下的安全性，为实际应用中的选择提供参考。例如，如果一个应用场景对密钥恢复攻击的抵抗能力要求较高，那么可以根据Ascon在密钥恢复攻击方面的分析结果来判断是否适合使用Ascon。

未来的研究方向

虽然我们已经对关联数据处理和Ascon的安全分析进行了深入研究，但仍然存在一些值得进一步探索的方向。

关联数据处理的进一步优化

目前的关联数据处理优化技术虽然取得了一定的成果，但仍然有改进的空间。例如，可以研究如何在保证安全性的前提下，进一步提高Nonce窃取和密钥转换的效率。同时，可以探索新的关联数据处理方法，以适应不同的应用场景。

Ascon安全分析的拓展

对于Ascon的安全分析，可以进一步拓展到更多的攻击类型和场景。例如，可以研究Ascon在量子攻击下的安全性，随着量子计算技术的发展，量子攻击对传统密码算法的威胁越来越大。此外，还可以研究如何提高Ascon对不同类型攻击的综合抵抗能力。

密码算法的设计与改进

通过对关联数据处理和Ascon安全分析的研究，可以为密码算法的设计和改进提供有价值的参考。未来可以设计出更加高效、安全的密码算法，以满足不断增长的信息安全需求。

下面是一个总结关联数据处理和Ascon安全分析主要技术的表格：
| 技术类别 | 具体技术 | 作用 | 复杂度 |
| — | — | — | — |
| 关联数据处理 | Nonce窃取 | 提高处理关联数据的性能 | - |
| 关联数据处理 | 密钥转换 | 进一步提高处理关联数据的速度 | - |
| Ascon安全分析 | 零和区分器构造 | 区分Ascon置换与随机置换 | $2^{130}$ |
| Ascon安全分析 | 类立方体技术 | 进行密钥恢复攻击 | 不同轮数复杂度不同 |
| Ascon安全分析 | 线性密码分析 | 寻找输入输出线性关系 | - |
| Ascon安全分析 | 差分密码分析 | 分析输入输出差分情况 | - |
| Ascon安全分析 | 伪造攻击 | 伪造标签T | 不同轮数复杂度不同 |

综上所述，关联数据处理和Ascon密码分析是密码学领域中重要的研究方向。通过深入研究这些技术，我们可以更好地保障数据的安全性和隐私性，为信息社会的发展提供坚实的安全基础。在未来的研究中，我们需要不断探索新的方法和技术，以应对日益复杂的安全挑战。

graph TD;
    E[关联数据处理研究方向] --> E1[进一步优化技术];
    E --> E2[探索新方法];
    F[Ascon安全分析研究方向] --> F1[拓展攻击类型];
    F --> F2[提高综合抵抗能力];
    G[密码算法设计与改进] --> G1[设计高效算法];
    G --> G2[提高安全性];

通过以上的分析和探讨，我们对关联数据处理和Ascon密码分析有了更深入的理解。在实际应用中，我们需要根据具体情况选择合适的技术和方法，以确保密码系统的安全性和性能。同时，不断关注密码学领域的最新研究成果，为应对未来的安全挑战做好准备。