Ascon与DTABS安全研究进展
超级会员免费看
密码分析与属性签名安全:Ascon与DTABS研究
Ascon密码置换的分析
Ascon是一种密码算法,其置换过程的分析对于理解其安全性至关重要。通过特定模型可以证明,3轮Ascon置换至少有15个差分活跃S盒(概率 ≤ 2⁻³⁰),至少有13个线性活跃S盒(偏差 ≤ 2⁻¹⁴,复杂度 ≥ 2²⁸)。这些活跃S盒数量的界限是紧密的,但概率界限不一定紧密。基于这些结果,能进一步证明完整的12轮初始化或最终化至少有60个差分活跃S盒(概率 ≤ 2⁻¹²⁰)和至少52个线性活跃S盒(偏差 ≤ 2⁻⁵³,复杂度 ≥ 2¹⁰⁶),不过这些界限几乎肯定不是紧密的,并且难以使用SAT求解器推导超过3轮的界限。
以下是不同轮数Ascon置换的最小活跃S盒数量:
| 轮数 | 差分 | 线性 | 结果类型 |
| ---- | ---- | ---- | ---- |
| 1 | 1 | 1 | 证明 |
| 2 | 4 | 4 | 证明 |
| 3 | 15 | 13 | 启发式 |
| 4 | 44 | 43 | 启发式 |
| ≥5 | > 64 | > 64 | 启发式 |
从这些数据可以看出,对于Ascon置换,随着轮数的增加,活跃S盒的数量也相应增加。并且在比较最佳差分特征与最佳线性特征时发现,对于超过两轮的Ascon置换,线性特征的活跃S盒数量更少,这可能表明Ascon更容易受到线性密码分析的攻击。然而,对于5轮Ascon,最佳的线性特征有超过64个活跃S盒,假设所有活跃S盒都有最佳可能的偏差,攻击复杂度已经高于2¹²⁸。
Ascon的伪造攻击
通常,前面提到的特征不能直接用于攻击,因为特征可能需要满足额外的要求。在对Ascon - 128最终化的攻击中,合适的特征在置换输入时,可能只允许状态字x₀存在差异,其余状态字必须无差异。对于最终化的输出,唯一要求是x₃和x₄有固定的差异模式,不需要知道置换输出时x₀、x₁和x₂的预期差异。
对于轮数缩减的Ascon,已经找到了适用于3轮最终化(概率为2⁻³³)和4轮最终化(概率为2⁻¹⁰¹)的特征。以下是3轮最终化伪造攻击的差分特征示例:
| | 输入差异 | 1轮后 | 2轮后 | 3轮后 |
| ---- | ---- | ---- | ---- | ---- |
| x₀ | 8000000000000000 | 8000100800000000 | 8000000002000080 |???????????????? |
| x₁ | 0000000000000000 | 8000000001000004 | 9002904800000000 |???????????????? |
| x₂ | 0000000000000000 | 0000000000000000 | d200000001840006 |???????????????? |
| x₃ | 0000000000000000 | 0000000000000000 | 0102000001004084 | 4291316c5aa02140 |
| x₄ | 0000000000000000 | 0000000000000000 | 0000000000000000 | 090280200302c084 |
Ascon的差分 - 线性密码分析
差分 - 线性密码分析结合了差分和线性特征进行攻击。在这种分析中,一个短差分特征和一个短线性特征的组合成功概率若优于长线性或差分特征的概率,这种分析就特别有用,可能原因是较少轮数的扩散效果不佳。攻击要成功,两个特征的个体概率需相对较高。根据相关理论,这种差分 - 线性特征输出的偏差约为2pq²,其中q是线性部分的偏差,p是差分特征的概率,这会导致数据复杂度为O(p⁻²q⁻⁴)。
对于Ascon - 128,可以使用差分 - 线性特征作为密钥流区分器。以初始化阶段为例,只允许在随机数(x₃,x₄)中存在差异,而线性活跃位必须在x₀中以便观察。对4轮初始化进行分析,构建差分 - 线性特征:
- 差分部分:在第1轮的同一个S盒中设置两个差异,以2⁻²的概率在该S盒输出有一个活跃位,线性层使第2轮有3个S盒活跃,这3个S盒输入的相同位有差异,且以2⁻³的概率输出有2个活跃位的相同模式,由于线性层,第3轮有11个S盒存在差异。
- 线性特征:使用第4轮有1个活跃S盒、第3轮有5个活跃S盒的特征,其偏差为2⁻⁸,且设置S盒使第3轮的线性活跃S盒与有输入差异的11个S盒不重叠。生成的差分 - 线性特征偏差为2⁻²⁰,但实际中由于可能的特征组合众多,预期偏差会更好。
在实际评估偏差时,最佳情况下在x₃和x₄的第63位设置差异,在第4轮替换层输出的x₀的第9位可得到2⁻²的偏差,远优于理论分析结果。对于5轮初始化,在x₃[63]和x₄[63]存在差异时,x₀[16](最后替换层)观察到2⁻¹⁰的偏差,若仅使用差异符号相同的随机数,偏差可提高到2⁻⁹。对于6轮初始化,使用2³⁶个输入未能观察到偏差。
此外,观察到输出偏差依赖于秘密和常量位的具体值,这可用于对轮数缩减的Ascon - 128进行密钥恢复攻击。以4轮初始化的缩减版本为例,攻击者可选择随机数并观察密钥流,通过在x₃[63]和x₄[63]设置差异的随机数对进行足够数量的查询,计算密钥流x₀[0]的偏差,借助预先观察到的偏差模式表,攻击者可恢复两个密钥位。由于Ascon的特征在64位字内具有旋转不变性,可通过在不同位设置差异并观察相应位置的偏差来恢复其他密钥位,每一位位置只需2¹²个样本就能得到稳定结果,该攻击的预期时间复杂度为2¹⁸。对于5轮初始化的缩减版本,能可靠恢复值为(0, 0)和(1, 1)的密钥位对,复杂度为2³⁶,但其他对需要暴力破解,平均额外复杂度为2³²,最坏情况为2⁶⁴,预期攻击复杂度约为2³⁶。
去中心化可追踪属性基签名的安全改进
属性基签名(ABS)允许消息根据以谓词表示的签名策略进行签名,能使验证者相信签名由满足策略的用户生成,同时不泄露用户身份和使用的属性。其安全性要求用户隐私和不可伪造性,可追踪属性基签名(TABS)在此基础上增加了匿名撤销机制,允许追踪者恢复签名者的身份,这对于执行问责和阻止滥用很重要。
现有的属性基签名构造在策略表达能力和安全性类型(选择性或适应性)上有所不同。支持更具表达性策略的适应性安全方案更优,因为能覆盖更多潜在应用。虽然存在支持阈值策略且签名大小恒定的构造,但支持单调/非单调策略的构造,其签名大小与策略中的属性数量或系统安全参数呈线性关系。支持多个属性权威的构造最初存在需要中央可信权威的问题,直到Okamoto和Takashima提出了第一个完全去中心化的构造。Escala等人在标准ABS方案中添加了可追踪性特征并提出单属性权威设置的模型,El Kaafarani等人则为去中心化可追踪属性基签名(DTABS)提出了安全模型和通用构造。
然而,现有模型存在一些缺点:
- 不可伪造性/不可诬陷性要求过度依赖对属性权威的信任,假设存在安全的方式将秘密属性密钥从属性权威传递给用户。例如,单权威模型依赖属性权威完全诚实,而更强大的多权威模型假设至少有一个属性权威完全诚实。这在可追踪设置中可能是严重限制,因为恶意属性权威或拦截秘密属性密钥的一方可能代表用户签署满足受损属性子集的任何谓词,从而危及用户的清白。
- 缺乏追踪健全性要求,即确保有效签名只能追溯到单个用户,即使系统中的所有实体都完全腐败。这对于许多应用至关重要,例如用户因签名获得奖励或滥用签名权可能导致法律后果的情况。
- 现有构造中的追踪成本高,包括追踪证明的大小以及生成和验证的成本。最有效的现有构造验证单个签名的开启需要34个配对。
为解决这些问题,提出了更强的安全模型,适用于动态和完全去中心化的设置,其中属性管理分布在不同的权威之间,用户和属性权威可以随时加入系统。该模型提供了更强的不可诬陷性定义,捕捉了追踪健全性的有用概念,并提供了更清晰的可追踪性定义。同时,提出了一个通用构造,允许表达性签名策略并满足强适应性安全要求,通过部署强大的非交互式标签基加密方案,省去了现有构造中证明追踪正确性所需的昂贵零知识证明。最后,在标准模型中给出了两个示例实例化,不仅提供了更强的安全性,而且比现有构造更高效,追踪的计算和通信开销更小,例如验证追踪正确性仅需4个配对。
总结
Ascon密码算法的分析从多个角度揭示了其安全性特征,包括不同轮数的活跃S盒情况、伪造攻击的可能性以及差分 - 线性密码分析的效果和应用。而去中心化可追踪属性基签名的研究则聚焦于现有模型的不足,提出了改进的安全模型和高效的构造方法,为相关领域的安全保障提供了新的思路和方案。这些研究成果对于密码学的发展和实际应用中的安全需求都具有重要意义。
密码分析与属性签名安全:Ascon与DTABS研究(下半部分)
Ascon密码分析总结与展望
Ascon密码算法在密码学领域具有一定的研究价值,通过对其置换过程、伪造攻击以及差分 - 线性密码分析等方面的研究,我们对其安全性有了更深入的了解。
从活跃S盒的分析来看,不同轮数的Ascon置换呈现出活跃S盒数量增加的趋势,并且线性特征在多轮置换中表现出的活跃S盒数量较少,这为密码分析提供了方向。然而,对于5轮及以上的Ascon,攻击复杂度已经非常高,这表明该算法在一定程度上具有较好的安全性。
在伪造攻击方面,虽然找到了适用于轮数缩减版本的特征,但实际攻击中还需要满足额外的条件。这说明Ascon在设计上对攻击有一定的抵御能力,攻击者需要更巧妙的策略才能实施有效的攻击。
差分 - 线性密码分析为Ascon的安全评估提供了新的视角。通过结合差分和线性特征,我们可以更准确地评估Ascon在不同初始化轮数下的安全性。实际评估中观察到的偏差与理论分析的差异,也为进一步的研究提供了契机,未来可以探索如何更好地利用这些差异来提高攻击的效率。
展望未来,对于Ascon的研究可以朝着以下几个方向发展:
-
多轮攻击研究
:目前难以使用SAT求解器推导超过3轮的界限,未来可以探索更有效的方法来分析更多轮数的Ascon置换,从而更全面地评估其安全性。
-
实际应用中的攻击优化
:在实际应用中,攻击者可能面临更多的限制和挑战。因此,需要研究如何在实际环境中优化攻击策略,提高攻击的成功率和效率。
-
与其他密码算法的比较研究
:将Ascon与其他密码算法进行比较,分析其优势和劣势,为密码算法的选择和应用提供参考。
去中心化可追踪属性基签名的应用与发展
去中心化可追踪属性基签名(DTABS)在许多领域都有潜在的应用价值,例如信任协商、属性基消息传递和秘密泄露检测等。通过解决现有模型的缺点,新的安全模型和通用构造为这些应用提供了更可靠的安全保障。
在信任协商方面,DTABS可以确保消息的签名者身份在必要时可以被追踪,同时保护用户的隐私。例如,在商业合作中,双方可以通过属性基签名来验证对方的身份和权限,而追踪功能可以在出现纠纷时帮助确定责任方。
在属性基消息传递中,DTABS可以实现根据用户的属性进行消息的定向传递,同时保证消息的真实性和不可伪造性。例如,在一个企业内部的消息系统中,只有具有特定属性的员工才能接收和发送某些敏感消息,而签名的可追踪性可以防止消息被滥用。
在秘密泄露检测方面,DTABS可以用于检测秘密信息是否被非法泄露。通过对签名的追踪,可以确定泄露信息的来源,从而采取相应的措施来保护秘密信息的安全。
未来,DTABS的发展可以从以下几个方面展开:
-
性能优化
:虽然新的构造在追踪效率上有了显著提高,但仍然可以进一步优化。例如,通过改进加密算法和签名机制,减少计算和通信开销,提高系统的整体性能。
-
应用拓展
:探索DTABS在更多领域的应用,例如物联网、区块链等。在物联网中,DTABS可以用于设备之间的身份验证和消息传递,提高物联网系统的安全性。在区块链中,DTABS可以用于智能合约的签名和验证,确保合约的执行符合预期。
-
与其他安全技术的融合
:将DTABS与其他安全技术,如零知识证明、同态加密等相结合,提供更强大的安全保障。例如,结合零知识证明可以在不泄露用户隐私的情况下验证签名的有效性,增强系统的安全性和隐私保护能力。
结论
Ascon密码算法和去中心化可追踪属性基签名(DTABS)的研究为密码学领域带来了新的成果和思路。Ascon的密码分析从多个角度揭示了其安全性特征,为密码算法的设计和评估提供了重要参考。DTABS通过改进现有模型的不足,提供了更强的安全性和更高的效率,为属性基签名在实际应用中的推广和应用奠定了基础。
未来,随着密码学技术的不断发展和应用需求的不断增加,我们可以期待更多的研究成果和创新应用。这些研究将不仅有助于提高密码系统的安全性和可靠性,还将为各个领域的信息化建设提供有力的支持。
相关表格和流程图
Ascon不同轮数攻击复杂度表格
| 轮数 | 攻击类型 | 复杂度 |
|---|---|---|
| 3 | 伪造攻击 | 2⁻³³ |
| 4 | 伪造攻击 | 2⁻¹⁰¹ |
| 4 | 密钥恢复攻击 | 2¹⁸ |
| 5 | 密钥恢复攻击 | 2³⁶ |
去中心化可追踪属性基签名改进流程 mermaid 流程图
graph LR
A[现有模型缺点] --> B[提出更强安全模型]
B --> C[设计通用构造]
C --> D[标准模型实例化]
D --> E[提高安全性和效率]
Ascon差分 - 线性密码分析流程 mermaid 流程图
graph LR
A[初始化差异设置] --> B[差分部分分析]
B --> C[线性特征分析]
C --> D[生成差分 - 线性特征]
D --> E[实际偏差评估]
E --> F[密钥恢复攻击]
扫一扫
52
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
