分組密碼抗線性攻擊安全性的評估方法
【專利摘要】本發(fā)明公開了一種分組密碼抗線性攻擊安全性的評估方法,包括:將分組密碼分成前后兩個部分�����;先對第一部分建立第一混合整數(shù)線性規(guī)劃模型���,并求解以獲得第一部分中的活躍S盒個數(shù)的下界�����,記為第一下界��;再對整個所述分組密碼建立第二混合整數(shù)線性規(guī)劃模型���,并求解以獲得第二部分中的活躍S盒個數(shù)的下界,記為第二下界�����;之后、將第一下界與第二下界的和作為所述分組密碼的活躍S盒個數(shù)的下界�,并進(jìn)一步確定所述分組密碼的線性逼近表達(dá)式的最大偏差概率的上界。本發(fā)明的方法所獲得的分組密碼的抗線性攻擊的安全性的高低的可靠性更高�。
【專利說明】分組密碼抗線性攻擊安全性的評估方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全分組密碼設(shè)計與分析領(lǐng)域,特別涉及一種通過獲取分組密碼 中活躍S盒個數(shù)下界的以進(jìn)行分組密碼抗線性攻擊安全性的評估方法����。
【背景技術(shù)】
[0002] 對稱密碼是一種加解密使用相同密鑰的密碼體制,對稱密碼利用密鑰和加密算法 將明文變?yōu)槊芪?�。運用相同的密鑰和解密算法��,可以從密文恢復(fù)出明文�����。其中�,分組密碼是 一種廣泛使用的對稱密碼����,它在長度為m比特主密鑰的控制下將輸入的明文分組當(dāng)作一個 整體加密處理,輸出一個等長(如果明文長度是n�,則密文長度也為η)的密文分組,解密則 是指將密文在同一密鑰的控制下恢復(fù)出明文。其中����,η為明文的分組長度,m為主密鑰長度�����, m為正整數(shù)����,η為正整數(shù)。
[0003] 分組密碼的設(shè)計通常遵循兩個原則:安全性原則和實現(xiàn)原則?����,F(xiàn)代分組密碼主要 采用輪迭代設(shè)計�,即把密碼學(xué)性質(zhì)較弱的函數(shù)迭代多次以滿足這兩個原則。根據(jù)算法采用 結(jié)構(gòu)的不同����,現(xiàn)行主要結(jié)構(gòu)可分為Feistel(-種密碼結(jié)構(gòu))結(jié)構(gòu)、SPN(替換置換網(wǎng)絡(luò))結(jié) 構(gòu)和Lai-Massey (-種密碼結(jié)構(gòu))結(jié)構(gòu)等���。這些結(jié)構(gòu)都由基本運算構(gòu)成�,包括X0R(異或)、 比特置換�、數(shù)據(jù)分叉、S盒替換等����。
[0004] 對一個輪函數(shù)迭代r次的分組密碼來說,該分組密碼共有r輪��,其中r為正整數(shù)����。 一個分組長度為η比特的r輪分組密碼,每輪需要使用一個η比特子密鑰����,每輪用到的子密 鑰是由該分組密碼的主密鑰通過一個確定的密鑰擴(kuò)展算法得到的。
[0005] 分組長度為η的分組密碼的輪函數(shù)結(jié)構(gòu)通常包括三個操作��,如圖1所示���。這三個 操作分別為:
[0006] (1)輪密鑰異或操作����。將輪函數(shù)的η個輸入比特(圖1中箭頭表示)與相應(yīng)輪的 子密鑰進(jìn)行異或操作�,并輸出η個輸出比特。
[0007] (2)分組S盒操作��。將操作⑴中的η個輸出比特分成n/Wl組輸出比特��,其中 Wl 為正整數(shù)���,η被Wl整除����,從而每組輸出比特均為Wl比特���;每組輸出比特經(jīng)過一個S盒后得到 新的輸出比特�,其中所述S盒的輸入為 Wl比特����,輸出為w2比特。共有n/w2個S盒分別處理 經(jīng)過步驟(1)的異或操作之后并分組的輸出比特���。
[0008] 如圖2所示����,為一個S盒的輸入輸出示意圖�。一個輸入為Wl比特�,輸出為《 2比特 的S盒本質(zhì)上是一個映射:
[0009]
【權(quán)利要求】
1. 一種分組密碼抗線性攻擊安全性的評估方法�����,包括: 步驟1���、將分組密碼分成兩個部分����,其中第一部分為所述分組密碼的至少前1輪�,第二 部分為所述分組密碼中除第一部分以外的其它所有輪; 步驟2���、對所述分組密碼的第一部分中的每一個運算的輸入和輸出比特分別引入一個 線性掩碼變量��; 步驟3�����、對所述分組密碼的第一部分中的每一個S盒引入線性活躍變量����; 步驟4、針對所述分組密碼的第一部分中的每一個線性掩碼變量和每一個線性活躍變 量賦予一限制集��,并以最小化所述分組密碼的第一部分中的所有S盒的線性活躍變量之和 為第一目標(biāo)函數(shù)���,建立第一混合整數(shù)線性規(guī)劃模型; 步驟5��、求解所述第一混合整數(shù)線性規(guī)劃模型����,以獲得所述分組密碼的第一部分中的活 躍S盒個數(shù)的下界,記為第一下界��; 步驟6�、對整個所述分組密碼每一個運算的輸入和輸出比特分別引入一個線性掩碼變 量; 步驟7�、對整個所述分組密碼的每一個S盒引入線性活躍變量; 步驟8�����、針對整個所述分組密碼的每一個線性掩碼變量和每一個線性活躍變量賦予所 述限制集����,并增加所述分組密碼第一部分中出現(xiàn)的所有線性活躍變量之和大于等于第一下 界的限制,以最小化所述分組密碼的第二部分中的所有S盒的線性活躍變量之和為第二目 標(biāo)函數(shù)��,建立第二混合整數(shù)線性規(guī)劃模型; 步驟9����、求解所述第二混合整數(shù)線性規(guī)劃模型,以獲得所述分組密碼的第二部分中的活 躍S盒個數(shù)的下界�����,記為第二下界���; 步驟10�、將所述第一下界與第二下界的和作為所述分組密碼的活躍S盒個數(shù)的下界���, 并利用所述分組密碼的活躍S盒個數(shù)的下界確定所述分組密碼的線性逼近表達(dá)式的最大 偏差概率的上界�。
2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于: 所述分組密碼的分組長度為B比特�����,所述分組密碼共有R輪�,每一輪中具有T個S盒, 所述分組密碼中共有G個S盒,每個S盒具有P個輸入比特和P個輸出比特�����; 其中����,G = TXR���,P = 8/1'����,8���、1?��、1\6���、?均為正整數(shù)���,且8能夠被1'整除�����; 所述第一部分為所述分組密碼中的第1輪至第N輪��,所述第二部分為所述分組密碼中 的第N+1輪至第R輪�����,其中�����,1彡N〈R�����。
3. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于: 所述分組密碼中�,任意一個S盒的任意一個輸入比特位置所引入的線性掩碼變量表 示為x[r,t����,p]���,任意一個S盒的任意一個輸出比特位置所引入的線性掩碼變量表示為 y[r, t, p],每個x[r, t, p]變量以及每個y[r, t, p]變量只取0和1其中的一個值�; 若X [r,t��,p] = 1�,則表示該X [r,t���,p]所代表的S盒的輸入比特位置的線性掩碼變量為 1 ; 若X [r,t���,p] = 0,則表示該X [r���,t,p]所代表的S盒的輸入比特位置的線性掩碼變量為 〇 ���; 若y [r����,t���,p] = 1����,則表示該X [r,t�����,p]所代表的S盒的輸出比特位置的線性掩碼變量為 1 ; 若y [r���,t�,p] = 0,則表示該X [r����,t,p]所代表的S盒的輸出比特位置的線性掩碼變量為 〇 �����; 其中����,r的取值范圍為從1到R的整數(shù),t的取值范圍為從1到T的整數(shù)�,p的取值范圍 為從1到P的整數(shù)��。
4. 根據(jù)權(quán)利要求3所述的方法����,其特征在于: 所述分組密碼中����,任意一個S盒所引入的活躍變量表示為A[r, t],每個A[r, t]變量只 取0和1其中的一個值��; 若A[r, t] = 1�,則表示該A[r, t]所代表的S盒為活躍S盒; 若A[r, t] = 0,則表示該A[r, t]所代表的S盒為不活躍S盒��; 其中��,r的取值范圍為從1到R的整數(shù)�,t的取值范圍為從1到T的整數(shù)��。
5. 根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述限制集包括: 限制一: 保證當(dāng)A[r��,t]變量所代表的S盒為活躍S盒時�����,該S盒的輸出線性掩碼變量中,至少 有一個輸入比特變量的值為1���,即: X [r, t, 1] +··· +x [r, t, P] -A[r, t] ^ 0 限制二: 保證當(dāng)A[r�����,t]變量所表示的S盒的輸出線性掩碼變量中有一個非零比特時�,該S盒必 須是活躍S盒�����,即: x[r, t, p]-A[r, t] ^ 0 限制三: 非零輸入線性掩碼變量一定導(dǎo)致非零輸出線性掩碼變量�,且非零輸出線性掩碼變量一 定導(dǎo)致非零輸入線性掩碼變量,即: Py [r, t, 1] +··· +Py [r, t, P] -x [r, t, 1]-----x [r, t, P] 且 Px [r, t, 1] +··· +Px [r, t, P] -y [r, t, 1]-----y [r, t, P] 限制四: 保證當(dāng)A[r�,t]變量所代表的S盒活躍時,輸入線性掩碼變量和輸出線性掩碼變量中至 少有B比特非零�,即: x[r, t, l]+***+x[r, t, P]+y[r, t, l]+***+y[r, t, P] ^ BXd 其中,d 彡 x[r, t, 1]�、...、d 彡 x[r, t, P]�����、d 彡 y [r, t, 1]、...���、d 彡 y [r, t, P]���,B 為 A[r, t] 變量所代表的S盒的極大分支數(shù); 限制五: 將所述S盒的凸閉包作為限制�,所述S盒的凸閉包為該S盒的所有非零概率的線性特 征所對應(yīng)的點集的凸閉包的H-表示; 限制六: 所述分組密碼的每一輪中�,輪密鑰異或操作的輸入線性掩碼變量和輸出線性掩碼變量 限制為: 所述輪密鑰異或操作的兩個輸入線性掩碼變量和輸出線性掩碼變量相等,即: z[l] = z[2] = z[3] 其中�,z[l]、z[2]分別為所述輪密鑰異或操作的兩個輸入比特的線性掩碼變量����,z[3] 為所述輪密鑰異或操作的輸出比特的線性掩碼變量; 限制七: 三叉結(jié)構(gòu)中的一個分支的線性掩碼變量等于另外兩個分支的線性掩碼變量的異或值�����, 即 z [4] = z [5] ? z [6] 其中����,z[4]為所述三叉結(jié)構(gòu)的任意一個分支比特的線性掩碼變量��,z[5]為所述三叉結(jié) 構(gòu)中除了 z[4]所屬分支比特以外兩個分支比特中的任意一個分支比特的線性掩碼變量, z [6]為所述三叉結(jié)構(gòu)中除了 z [4]和z [5]所屬分支比特以外的分支比特的線性掩碼變量����; 限制八: 所述分組密碼的輸入差分不全為0。
6. 根據(jù)權(quán)利要求5所述的方法��,其特征在于����,對于所述限制七,在所述第一混合整數(shù) 線性規(guī)劃問題和第二混合整數(shù)線性規(guī)劃問題中��,采用如下的不等式組刻畫表達(dá)式z[4]= z [5] ? z [6]: z [4] = z[5]+z[6]-2d 0彡d彡1 其中�����,d為虛擬變量�����,d���、z [4]����、z [5]、z [6]為0-1變量�。
7. 根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述步驟4中的第一目標(biāo)函數(shù)為:
8. 根據(jù)權(quán)利要求7所述的方法���,其特征在于,步驟8中���,所述分組密碼第一部分中出現(xiàn) 的所有線性活躍變量之和大于等于第一下界的限制為:
其中���,&為所述第一下界,即所述分組密碼的第一部分中的活躍S盒個數(shù)的下界��。
9. 根據(jù)權(quán)利要求4所述的方法��,其特征在于��,所述步驟8中的第二目標(biāo)函數(shù)為:
10. 根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述步驟10中�����,所述分組密碼的線性逼 近表達(dá)式的最大偏差概率的上界通過下式獲得:
其中����,P為所述分組密碼的線性逼近表達(dá)式的最大偏差概率的上界,Ps為所述分組密碼 中S盒的線性逼近表達(dá)式的最大偏差概率����,&為所述第一下界,k2為所述第二下界�����。
【文檔編號】H04L29/06GK104158796SQ201410331997
【公開日】2014年11月19日 申請日期:2014年7月11日 優(yōu)先權(quán)日:2014年7月11日
【發(fā)明者】胡磊, 孫思維, 喬珂欣, 馬小雙, 宋凌, 王鵬 申請人:中國科學(xué)院信息工程研究所