传统密码学的可证明安全性与蓝牙组合器相关性分析
传统密码学的可证明安全性
在传统密码学领域,可证明安全性一直是研究的重点。基于去相关理论的工具为处理相关问题提供了便利,使证明过程更加简便。
去相关理论的定义与性质
- 定义与符号 :对于从集合 $M_1$ 到集合 $M_2$ 的随机函数 $F$ 和整数 $d$,定义“$d$ - 维分布矩阵” $[F] d$,其元素 $[F]_d{(x_1,\cdots,x_d),(y_1,\cdots,y_d)} = Pr[F(x_1) = y_1, \cdots, F(x_d) = y_d]$。给定度量结构 $D$,可定义两个随机函数 $F$ 和 $G$ 的“$d$ - 维去相关距离”。当 $G$ 是均匀分布的随机函数 $F^ $ 时,该距离称为“函数 $F$ 的 $d$ - 维去相关偏差”,记为 $DecF_d^D(F)$;当 $F$ 是置换 $C$,$G$ 是均匀分布的置换 $C^ $ 时,称为“置换 $F$ 的 $d$ - 维去相关偏差”,记为 $DecP_d^D(F)$。常用的度量结构由范数 $||.||_2$、$|||.||| {\infty}$、$||.||_a$、$||.||_s$ 定义,这些范数具有 $||A \times B|| \leq ||A||.||B||$ 的性质,可简化密码学安全性的处理。
-
性质
:$d$ - 维分布矩阵具有性质:若 $F$ 和 $G$ 是独立随机函数,$F$ 从 $M_2$ 到 $M_3$,$G$ 从 $M_1$ 到 $M_2$,则 $[F \circ G]
d = [G]_d \times [F]_d$。对于均匀分布的随机函数 $F^
$,有 $[F]_d \times [F^
]_d = [F^
]_d \times [F]_d = [F^
]_d$。使用矩阵范数 $||.||$ 时,可得 $DecF_d^{||.||}(F \circ G) \leq DecF_d^{||.||}(F).DecF_d^{||.||}(G)$,置换情况同理。范数 $|||.|||
{\infty}$、$||.||_a$、$||.||_s$ 可表征不同类型区分器的最佳优势,例如:
- 对于随机函数 $F$ 和 $G$,$|||[F] d - [G]_d||| {\infty} = 2. BestAdv_{Cl_d^{na}}(F, G)$
- $||[F] d - [G]_d||_a = 2. BestAdv {Cl_d^{a}}(F, G)$
- 当 $F$ 和 $G$ 是置换时,$||[F] d - [G]_d||_s = 2. BestAdv {Cl_d^{s}}(F, G)$
密码原语设计的随机性
-
Luby - Rackoff 结果
:Luby - Rackoff 结果针对具有真正随机轮的 Feistel 结构。对于四个独立的均匀分布随机函数 $F_1^
$、$F_2^
$、$F_3^
$、$F_4^
$,有:
- $DecF_d^{||.||_a}(\Psi(F_1^ , F_2^ , F_3^*)) \leq 2d^2.2^{-\frac{m}{2}}$
- $DecP_d^{||.||_a}(\Psi(F_1^ , F_2^ , F_3^*)) \leq 2d^2.2^{-\frac{m}{2}}$
-
$DecP_d^{||.||_s}(\Psi(F_1^
, F_2^
, F_3^
, F_4^
)) \leq 2d^2.2^{-\frac{m}{2}}$
其中 $\Psi(F_1, \cdots, F_r)$ 表示 Feistel 方案,第 $i$ 轮函数为 $F_i$。
-
一般方法
:通过结合 Patarin 的 “H 系数方法” 和 Maurer 的方法,可简化证明随机函数去相关偏差上界的过程。相关引理如下:
- 引理 4 :设 $d$ 为整数,$F$ 是从集合 $M_1$ 到集合 $M_2$ 的随机函数,$X$ 是 $M_1^d$ 中元素两两不同的子集,$F^*$ 是均匀分布的随机函数。若存在子集 $Y \subseteq M_2^d$ 和正实数 $\epsilon_1$、$\epsilon_2$,满足 $|Y|p_0 \geq 1 - \epsilon_1$ 且 $\forall x \in X$,$\forall y \in Y$,$[F]_d{x,y} \geq p_0(1 - \epsilon_2)$,则 $DecF_d^{||.||_a}(F) \leq 2\epsilon_1 + 2\epsilon_2$。
- 引理 5 :设 $d$ 为整数,$C$ 是集合 $M$ 上的随机置换,$X$ 是 $M^d$ 中元素两两不同的子集,$F^ $ 是均匀分布的随机函数,$C^ $ 是均匀分布的随机置换。若 $[C]_d{x,y} \geq [C^ ]_d{x,y}(1 - \epsilon)$ 对所有 $x$ 和 $y$ 在 $X$ 中成立,则 $DecP_d^{||.||_s}(F) \leq 2\epsilon$;若 $[C]_d{x,y} \geq [F^ ]_d{x,y}(1 - \epsilon)$ 对所有 $x$ 和 $y$ 在 $X$ 中成立,则 $DecP_d^{||.||_s}(F) \leq 2\epsilon + 2d^2(#M)^{-1}$。
-
随机置换集合
:Zheng - Matsumoto - Imai 研究了广义 Feistel 变换的伪随机性,定义了三种类型的变换 $\psi_1$、$\psi_2$、$\psi_3$。对于具有 $k$ 分支的广义 Feistel 方案,在独立均匀分布随机函数 $F_1^
, \cdots, F_{2k - 1}^
$ 下,有:
- $DecP_d^{||.||_a}(\Psi_1(F_1^ , \cdots, F_{2k - 1}^ )) \leq 2(k - 1)d^2.2^{-\frac{m}{k}}$
- $DecP_d^{||.||_a}(\Psi_2(F_1^ , \cdots, F_{k^2 - 1}^ )) \leq \frac{k^2}{2} d^2.2^{-\frac{m}{k}}$
- $DecP_d^{||.||_a}(\Psi_3(F_1^ , \cdots, F_{k^2 - 1}^ )) \leq (k^2 - 2k + 2)d^2.2^{-\frac{m}{k}}$
操作模式与类似构造
- CBC - MAC :Bellare - Kilian - Rogaway 研究了将块密码函数 $C$ 转换为消息认证码 $MAC$ 的常规 $CBC - MAC$ 构造。对于固定整数 $\ell$,由均匀分布随机函数 $F^*$ 定义在 $\ell m$ 位块上的 $MAC$ 函数,有 $DecF_d^{||.|| a}(MAC) \leq d\ell(d\ell - 1)2^{-m}$。当 $F$ 是伪随机函数时,$DecF_d^{||.||_a}(MAC) \leq DecF {d\ell}^{||.||_a}(F) + d\ell(d\ell - 1)2^{-m}$。
- 类似结果 :可以从单块输入(SBI)MAC 构造固定输入长度(FIL)MAC,也可从 FIL - MAC 或 SBI - MAC 构造可变输入长度(VIL)MAC,从 SBI - 加密构造 VIL - 加密等。例如,对于两个独立的随机函数 $F_1$ 和 $F_2$ 定义的 $MAC$ 函数,考虑区分器受限为 $d$ 次查询且总长度为 $qm$ 位时,有 $DecF_{d,q}^{||.||_a} \leq DecF_q^{||.||_a}(F_1) + DecF_d^{||.||_a}(F_2) + q(q - 1)2^{-m}$。
蓝牙组合器的相关性分析
蓝牙技术中的流密码 E0 产生的密钥流序列长度在实际使用中受到严格限制。通过分析蓝牙组合器的相关性,可以证明这种限制的重要性,并提出改进组合器相关性的方法。
相关性定理
- 定义与符号 :考虑有限域 $GF(2^n)$ 作为线性空间,对于向量 $w = (w_1, w_2, \cdots, w_n)$ 和 $x = (x_1, x_2, \cdots, x_n)$,定义内积 $w \cdot x = w_1x_1 \oplus w_2x_2 \oplus \cdots \oplus w_nx_n$,线性函数 $L_u(x) = u \cdot x$。两个布尔函数 $f$ 和 $g$ 的相关性定义为 $c(f, g) = 2^{-n}(#{x \in GF(2^n) | f(x) = g(x)} - #{x \in GF(2^n) | f(x) \neq g(x)})$。Parseval 定理表明,任何布尔函数都与某些线性函数相关,即 $\sum_{w \in GF(2^n)} c(f, L_w)^2 = 1$。
-
相关性定理
:
- 定理 3 :给定函数 $f: GF(2^n) \times GF(2^k) \to GF(2)$ 和 $g: GF(2^m) \to GF(2^k)$,设 $h(x, y) = f(x, g(y))$,则对于所有 $u \in GF(2^n)$,$v \in GF(2^m)$,有 $c_{x,y}(h(x, y), u \cdot x \oplus v \cdot y) = \sum_{w \in GF(2^k)} c_{x,z}(f(x, z), u \cdot x \oplus w \cdot z)c_{y}(w \cdot g(y), v \cdot y)$。
- 定理 4 :设 $f: GF(2^n) \times GF(2^k) \to GF(2)$ 和 $g: GF(2^k) \times GF(2^m) \to GF(2)$ 是布尔函数,则对于所有 $u \in GF(2^n)$,$w \in GF(2^m)$,有 $c_{x,y,z}(f(x, y) \oplus g(y, z), u \cdot x \oplus w \cdot z) = \sum_{v \in GF(2^k)} c_{x,y}(f(x, y), u \cdot x \oplus v \cdot y)c_{y,z}(g(y, z), v \cdot y \oplus w \cdot z)$。
- 推论 5 :设 $f: GF(2^n) \times GF(2^k) \to GF(2)$ 是布尔函数,则对于所有 $u \in GF(2^n)$,有 $c_{x,y,\xi}(f(x, y) \oplus f(\xi, y), u \cdot (x \oplus \xi)) = \sum_{v \in GF(2^k)} c_{x,y}(f(x, y), u \cdot x \oplus v \cdot y)^2$。
组合生成器
组合生成器的一般形式为:
$z_t = \bigoplus_{i = 1}^{n} x_{i,t} \oplus c_{0,t}$
$c_t = f(x_{t - 1}, c_{t - 1}, \cdots, c_{t - d})$
其中 $x_t = (x_{1,t}, \cdots, x_{n,t}) \in GF(2^n)$ 是时刻 $t$ 的新鲜输入,$c_{0,t} \in GF(2)$ 是来自内存的一位输入。新鲜输入通常由 $n$ 个线性反馈移位寄存器(LFSR)生成。内存由 $md$ 位组成,通过函数 $f$ 更新。相关攻击基于新鲜输入位和输出位之间的相关性,这些相关性通常通过穷举搜索找到。
蓝牙组合器
蓝牙加密算法 E0 由四个总长度为 128 的 LFSR 和一个非线性内存更新函数 $f$ 组成,$f$ 是一个非线性函数 $f_1$ 和线性映射 $T$ 的组合。输出密钥序列 $z_t = x_{1,t} \oplus x_{2,t} \oplus x_{3,t} \oplus x_{4,t} \oplus c_{0,t}$,非线性序列 $s_{t + 1} = \lfloor\frac{x_{1,t} + x_{2,t} + x_{3,t} + x_{4,t} + 2c_{1,t} + c_{0,t}}{2}\rfloor$。
- 映射 $T$ :$T$ 由 $T_0$、$T_1$ 和 $T_2$ 组成,$c_t = T_0s_t \oplus T_1c_{t - 1} \oplus T_2c_{t - 2}$。不同的 $T_0$、$T_1$ 和 $T_2$ 选择会导致系统的相关性不同。
- 相关性分析 :分析利用了 $c(w \cdot s_{t + 1}, u \cdot x_t \oplus v \cdot c_t)$ 形式的相关性,其中 $u \in GF(2^4)$,$v = (v_1, v_0) \in GF(2^2)$。通过分析得到最强的相关性关系为 $c(c_{0,t} \oplus c_{0,t - 1} \oplus c_{0,t - 3}, 0) = -\frac{1}{16}$,进而得到 $c(z_t \oplus z_{t - 1} \oplus z_{t - 3}, \bigoplus_{1}^{4} x_{i,t} \oplus \bigoplus_{1}^{4} x_{i,t - 1} \oplus \bigoplus_{1}^{4} x_{i,t - 3}) = -\frac{1}{16}$。
替代映射
通过选择合适的映射 $T$ 可以改善蓝牙组合器的相关性。设 $T_0$、$T_1$ 和 $T_2$ 为任意 $2 \times 2$ 矩阵,通过一系列变换和选择,如选择 $A$ 使得 $AT_2 = D$($D$ 为特定形式的矩阵),可以分析不同 $T_2$ 选择下建立相关性所需的近似次数。例如,当 $t_{3,2} = 1$ 时,两次相关性近似足以建立输入和输出之间的相关性;当 $t_{3,2} = 0$ 时,至少需要三次近似。
| $v_1$ | $v_0$ | weight of $u$ | $s_{1,t + 1}$ | $s_{0,t + 1}$ | $s_{1,t + 1} \oplus s_{0,t + 1}$ |
|---|---|---|---|---|---|
| 0 | 0 | 0 | 0 | 0 | $-\frac{5}{8}$ |
| 0 | 0 | 1 | $\frac{1}{4}$ | 0 | 0 |
| 0 | 0 | 2 | 0 | $\frac{1}{8}$ | 0 |
| 0 | 0 | 3 | 0 | 0 | 0 |
| 0 | 0 | 4 | 0 | $-\frac{1}{8}$ | 0 |
| 0 | 1 | 0 | $\frac{1}{4}$ | 0 | 0 |
| 0 | 1 | 1 | 0 | $\frac{1}{8}$ | 0 |
| 0 | 1 | 2 | 0 | 0 | 0 |
| 0 | 1 | 3 | 0 | $-\frac{1}{8}$ | 0 |
| 0 | 1 | 4 | $-\frac{1}{4}$ | 0 | 0 |
| 1 | 0 | 0 | $\frac{5}{8}$ | $-\frac{1}{4}$ | 0 |
| 1 | 0 | 1 | $\frac{1}{4}$ | 0 | 0 |
| 1 | 0 | 2 | $-\frac{1}{8}$ | $\frac{1}{4}$ | 0 |
| 1 | 0 | 3 | 0 | 0 | 0 |
| 1 | 0 | 4 | $\frac{1}{8}$ | $-\frac{1}{4}$ | 0 |
| 1 | 1 | 0 | 0 | $\frac{1}{4}$ | 0 |
| 1 | 1 | 1 | $-\frac{1}{8}$ | $\frac{1}{4}$ | 0 |
| 1 | 1 | 2 | 0 | 0 | 0 |
| 1 | 1 | 3 | $\frac{1}{8}$ | $-\frac{1}{4}$ | 0 |
| 1 | 1 | 4 | $-\frac{1}{4}$ | 0 | 0 |
graph TD;
A[新鲜输入x_t] --> B[组合器];
C[内存c_t] --> B;
B --> D[输出z_t];
B --> E[更新内存c_t+1];
E --> C;
通过上述分析,我们可以看到传统密码学的可证明安全性理论为密码设计和分析提供了有力的工具,而蓝牙组合器的相关性分析则为实际应用中的密码系统安全提供了重要的参考。在实际设计和使用密码系统时,需要综合考虑这些因素,以确保系统的安全性。
传统密码学的可证明安全性与蓝牙组合器相关性分析
终极分治攻击
在这部分,我们将探讨在给定密钥流长度超过最短线性反馈移位寄存器(LFSR)周期时,分治攻击是如何成为可能的。
分治攻击原理
假设在密钥流生成过程中,存在一个非零相关性 $\rho$,它存在于移位寄存器输出位的线性组合
$(u_{1,0}x_{1,t} \oplus \cdots \oplus u_{n,0}x_{n,t}) \oplus \cdots \oplus (u_{1,d}x_{1,t - d} \oplus \cdots \oplus u_{n,d}x_{n,t - d})$
和密钥流位的线性组合
$w_0z_t \oplus w_1z_{t - 1} \oplus \cdots \oplus w_dz_{t - d}$
之间,且这种关系在 $d + 1$ 个时间步长内成立。根据推论 5,我们可以得到密钥流位的线性组合
$w_0(z_t \oplus z_{t + p}) \oplus w_1(z_{t - 1} \oplus z_{t + p - 1}) \oplus \cdots \oplus w_d(z_{t - d} \oplus z_{t + p - d})$
和 LFSR 输出位的线性组合
$u_{2,0}(x_{2,t} \oplus x_{2,t + p}) \oplus \cdots \oplus u_{n,0}(x_{n,t} \oplus x_{n,t + p}) \oplus \cdots \oplus u_{2,d}(x_{2,t - d} \oplus x_{2,t + p - d}) \oplus \cdots \oplus u_{n,d}(x_{n,t - d} \oplus x_{n,t + p - d})$
之间存在相关关系,其中第一个(最短)移位寄存器的输出位会相互抵消,因为它们是相等的。并且,通过推论 5 可知,在周期 $p$ 上的相关性强度至少为 $\rho^2$。
下面以定理的形式总结这个结果:
定理 8
:对于组合生成器,假设存在如下相关性
$c(w_0z_t \oplus w_1z_{t - 1} \oplus \cdots \oplus w_dz_{t - d}, (u_{1,0}x_{1,t} \oplus \cdots \oplus u_{n,0}x_{n,t}) \oplus \cdots + (u_{1,d}x_{1,t - d} \oplus \cdots \oplus u_{n,d}x_{n,t - d})) = \rho \neq 0$
设寄存器的长度为 $L_1, \cdots, L_n$,周期为 $p_1, \cdots, p_n$。那么,给定长度为 $p_1p_2 \cdots p_k + \frac{1}{\rho^4} + d$ 的密钥流,就可以对构成 $n - k$ 个寄存器初始内容的 $L_{k + 1} + \cdots + L_n$ 位进行穷举搜索。
如果 LFSR 寄存器具有本原反馈多项式,那么 $p_i = 2^{L_i} - 1$。在大多数应用中,$n$ 为偶数,且长度 $L_i$ 大致相同。在这种情况下,若组合生成器的输入位和输出位之间存在足够强的相关性,确定长度为 $L$ 的完整初始状态的复杂度上限约为 $O(2^{\frac{L}{2}})$,这需要大约 $O(2^{\frac{L}{2}})$ 数量级的输出位。
蓝牙中的周期性相关性
蓝牙 E0 组合器的相关性计算由于多次迭代而较为复杂。我们利用关系 $c_{0,t} + c_{0,t - 1} + c_{0,t - 3} = 0$ 进行分析。应用定理 3 可得:
$c(c_{0,t} \oplus c_{0,t - 1} \oplus c_{0,t - 3} \oplus c_{0,t + p} \oplus c_{0,t + p - 1} \oplus c_{0,t + p - 3}, 0) = c(s_{0,t} \oplus s_{0,t + p}, c_{0,t - 2} \oplus c_{1,t - 2} \oplus c_{0,t - 3} + c_{0,t + p - 2} \oplus c_{1,t + p - 2} + c_{0,t + p - 3})$
$= \sum_{w,w’ \in GF(2^2)} c(s_{0,t} \oplus s_{0,t + p}, w \cdot c_{t - 1} \oplus w’ \cdot c_{t + p - 1}) \cdot c(w \cdot c_{t - 1} \oplus w’ \cdot c_{t + p - 1}, c_{0,t - 2} \oplus c_{1,t - 2} \oplus c_{0,t - 3} \oplus c_{0,t + p - 2} \oplus c_{1,t + p - 2} \oplus c_{0,t + p - 3})$
再对乘积中的第一个相关性应用定理 4:
$c(s_{0,t} \oplus s_{0,t + p}, w \cdot c_{t - 1} \oplus w’ \cdot c_{t + p - 1}) = \sum_{u \in GF(2^2)} c(s_{0,t}, w \cdot c_{t - 1} \oplus u \cdot x)c(s_{0,t}, w’ \cdot c_{t - 1} \oplus u \cdot x)$
这里,$x$ 的坐标数量取决于 $p$ 是一个、两个还是三个 LFSR 的最小公共周期。
当 $p$ 是两个 LFSR 的最小公共周期时,从表 1 可知,仅当 $u = (0, 0)$ 且 $w = w’ = (1, 0)$,或 $u = (1, 1)$ 且 $w = w’ = (1, 0)$,或 $u = (0, 1)$ 且 $w = w’ = (1, 1)$,或 $u = (1, 0)$ 且 $w = w’ = (1, 1)$ 时,这些相关性不为零。我们舍弃 $w = w’ = (1, 1)$ 对应的项,因为它会导致更长的相关性关系,且数量可能较少但仍非负。从剩余的 $w = w’ = (1, 0)$ 项可得相关性的下界为:
$c(c_{0,t} \oplus c_{0,t - 1} \oplus c_{0,t - 3} \oplus c_{0,t + p} \oplus c_{0,t + p - 1} \oplus c_{0,t + p - 3}, 0) \geq (c(s_{0,t}, c_{1,t - 1})^2 + c(s_{0,t}, c_{1,t - 1} \oplus x_{1,t} \oplus x_{2,t})^2) \cdot c(c_{1,t - 1} \oplus c_{1,t + p - 1}, c_{0,t - 2} \oplus c_{1,t - 2} \oplus c_{0,t - 3} \oplus c_{0,t + p - 2} \oplus c_{1,t + p - 2} \oplus c_{0,t + p - 3})$
$= (c(s_{0,t}, c_{1,t - 1})^2 + c(s_{0,t}, c_{1,t - 1} \oplus x_{1,t} \oplus x_{2,t})^2) \cdot \sum_{u \in GF(2^2)} c(s_{1,t - 1}, c_{0,t - 2} \oplus u \cdot x)^2$
$= ((-\frac{1}{4})^2 + (\frac{1}{4})^2)(\frac{1}{4})^2 = 2^{-7}$
需要强调的是,这里提出的终极分治攻击具有理论性质,只有在分析者能够获取跨越部分输入周期的密钥流时才具有实际意义。例如,蓝牙 E0 算法在实际使用中,为每个明文帧加密时仅生成短段密钥流,且每次都从新的独立初始状态开始。
总结与建议
相关性降低建议
通过对蓝牙组合器的分析,我们发现可以通过对其内存更新函数进行小的修改来降低相关性。具体来说,改变线性映射 $T$ 中 $T_2$ 矩阵的选择,当 $t_{3,2} = 0$ 时,至少需要三次近似才能建立进位位之间的相关性,相比初始选择($t_{3,2} = 1$ 时只需两次近似),可以进一步降低相关性。这种改进虽然具有一定的理论意义,但在实际应用中也值得考虑。
密钥流长度限制建议
为了确保组合生成器的有效密钥长度与初始状态大小相当,必须限制生成器的使用方式,使得生成的任何密钥流块的长度都不超过输入序列的最短周期。这是因为当密钥流长度超过最短 LFSR 的周期时,分治攻击就可能变得可行。
综上所述,传统密码学的可证明安全性理论和蓝牙组合器的相关性分析为密码系统的设计和使用提供了重要的指导。在实际应用中,我们需要综合考虑这些因素,采取适当的措施来确保密码系统的安全性。
| 操作建议 | 具体内容 |
|---|---|
| 降低相关性 | 修改蓝牙组合器内存更新函数中线性映射 $T$ 的 $T_2$ 矩阵,使 $t_{3,2} = 0$ |
| 限制密钥流长度 | 确保生成的密钥流块长度不超过输入序列的最短周期 |
graph LR;
A[初始状态] --> B[生成密钥流];
B --> C{密钥流长度是否超周期};
C -- 是 --> D[存在分治攻击风险];
C -- 否 --> E[安全使用];
F[修改T2矩阵] --> G[降低相关性];
G --> E;
扫一扫
73
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
