超级会员免费看
基于截断压缩原像集的流密码低数据复杂度反转攻击
1. 引言
过去几十年,流密码发展迅速。基于线性反馈移位寄存器(LFSR)的密钥流生成器作为许多流密码的关键组件,常与非线性滤波器生成器结合以提升性能。像Grain v1、SNOW 3G、WG - 7和LILI - 128等流密码都采用了基于LFSR的非线性滤波器生成器。
对于基于LFSR的流密码,有代数攻击和反转攻击等经典分析方法。对于带有非线性滤波布尔函数的LFSR生成器,布尔函数的代数免疫性要足够大才能抵抗代数攻击;为抵抗反转攻击,流密码的“记忆”大小应接近或等于LFSR的长度(这里的“记忆”指特定反转攻击中攻击者猜测的与滤波函数抽头跨度相同的连续LFSR比特数)。设计者通常会选择具有最佳代数免疫性的布尔函数以及较大“记忆”大小的密钥流生成器。
然而,有时候攻击者可获取的数据量非常有限,因此研究数据复杂度低且时间复杂度低于暴力破解或宣称安全级别的攻击方法很有必要。本文提出了一种针对基于LFSR的非线性滤波密钥流生成器的低数据复杂度攻击方法。该方法在某些条件下,能用很少的密钥流比特比暴力破解更快地恢复LFSR的初始状态,即便滤波布尔函数具有最佳代数免疫性且“记忆”大小等于LFSR长度,此方法在恢复初始状态时所需的时间和数据也可能比代数攻击或Goli´c等人提出的反转攻击更少。
2. 预备知识
2.1 基于LFSR的非线性滤波密钥流生成器简介
设$B_n$为$n$个变量的布尔函数环,$f$是$B_n$中的任意布尔函数,定义$S_1(f) = {x \in F_2^n | f(x) = 1}$,$S_0(f) = {x \in F_2^n | f(x) = 0}$。
订阅专栏 解锁全文
扫一扫
93
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
