本發(fā)明涉及信息安全領(lǐng)域��,具體是一種結(jié)合非受干擾比特傳播性質(zhì)與milp技術(shù)的不可能差分區(qū)分器搜索方法�����。
背景技術(shù):
1、不可能差分分析是差分分析的一經(jīng)典變種�����。分別由knudsen[1]和biham[2]獨立提出。不可能差分分析定義如下:設(shè)輸入差分為δin�,輸出差分為δout,ek表示分組密碼在密鑰k下的加密過程�����,若對于任意k���,從δin到δout的傳播概率為0����,則δin和δout為一個不可能差分區(qū)分器����,即無解。
2���、不可能差分攻擊可以分為兩個階段:第一個階段是區(qū)分器搜索階段����,首先將輸入差分δin以概率為1向后傳播r1輪得到α����,將輸出差分δout以概率為1向前傳播r2輪得到β����。如果α≠β�,那么是一個r1+r2輪不可能差分區(qū)分器;第二個階段是密鑰恢復(fù)階段��,將獲得的區(qū)分器輸入輸出差分分別向兩端擴展r3和r4輪����,并且恢復(fù)出r3和r4輪中涉及的所有輪密鑰,進而根據(jù)密鑰編排算法恢復(fù)出密碼的主密鑰����。根據(jù)上述步驟可知,為了使攻擊輪數(shù)r1+r2+r3+r4盡可能的大�,首先需要找到一條或多條盡可能長的不可能差分區(qū)分器,因此區(qū)分器的搜索方法十分重要�。
3��、2016年cui等人[3]使用milp工具刻畫差分傳播規(guī)律���,并在搜索不可能差分區(qū)分器時考慮s盒的細(xì)節(jié)���。
4���、2017年sasaki等人[4]將milp自動化技術(shù)應(yīng)用于不可能差分區(qū)分器的搜索,通過固定輸入輸出差分值獲得有效的不可能差分區(qū)分器���。
5�����、2020年sun等人[5]結(jié)合截斷模型和比特模型各自的優(yōu)點����,提出了一種利用中間相錯技術(shù)搜索截斷不可能差分的模型���,該模型同時刻畫了差分值和差分模式�。
6���、之后在2022年�����,cao等人[6]使用milp模型刻畫非受干擾比特在密碼操作中的傳播規(guī)律�,預(yù)設(shè)矛盾點并以模型有解獲得有效的不可能差分區(qū)分器。
7�����、然而上述文獻中已有模型卻存在不足�。文獻[5]中同時刻畫差分值和差分模式的模型,由于它只能以字節(jié)或半字節(jié)為單位進行搜索���,因此不能用于那些存在比特操作的密碼算法����,使該模型的適用范圍受到了限制����。文獻[4]中通過固定輸入輸出差分值并根據(jù)milp求解器返回模型不可行來獲得不可能差分區(qū)分器,雖然可以以比特進行搜索��,但是由于由所有可能的δin和δout組成的集合十分龐大���,因此難以遍歷所有可能的輸入輸出����,在實際有限時間內(nèi)只能遍歷其中某一較小子集���,比如輸入和輸出差分漢明重量各為1的子集�����。此外為了降低整個攻擊流程的復(fù)雜度�����,可將區(qū)分器搜索和擴展��,以及密鑰恢復(fù)結(jié)合起來���,而若是以模型無解搜索區(qū)分器,則結(jié)合將難以實現(xiàn)����,因此固定輸入輸出的搜索模型難以進一步提高攻擊效率。而文獻[6]中的刻畫非受干擾比特的不可能差分區(qū)分器搜索模型�����,雖然可以按比特刻畫���,也不需要固定輸入輸出差分���,但是并非s盒全部非零輸入差分���,所對應(yīng)的輸出差分中都存在非受干擾比特,該模型并不能很好的處理此種情況���。此外該模型將差分值的往前往后傳播過程拆分為兩個獨立的傳播模型m0和m1����,并且需要手動固定矛盾點���,故模型效率受到限制����,且無法獲得所有的有效區(qū)分器�。
8、[1]knudsen,lars."deal-a?128-bit?block?cipher."complexity?258.2(1998):216�����。
9��、[2]biham,eli,alex?biryukov,and?adi?shamir."cryptanalysis?ofskipjackreduced?to?31rounds?using?impossibledifferentials."advances?in?cryptology-eurocrypt’99:international?conference?on?the?theory?and?application?ofcryptographic?techniques?prague,czech?republic,may?2–6,1999?proceedings18.springer?berlin?heidelberg,1999。
10���、[3]tingting?cui,keting?jia,kai?fu,shiyao?chen,meiqin?wang:newautomatic?search?tool?for?impossible?differentials?and?zero-correlationlinear?approximations.iacr?cryptol.eprint?arch.2016:689(2016)。
11�����、[4]sasaki,yu,and?yosuke?todo."new?impossibledifferential?search?toolfrom?design?and?cryptanalysis?aspects:revealing?structural?properties?ofseveral?ciphers."advances?in?cryptology–eurocrypt?2017:36th?annualinternational?conference?on?the?theory?and?applications?of?cryptographictechniques,paris,france,april?30–may?4,2017,proceedings,part?iii?36.springerinternational?publishing,2017�����。
12��、[5]ling?sun,david?gérault,wei?wang,and?meiqin?wang.on?the?usage?ofdeterministic(related-key)truncated?differentials?and?multidimensional?linearapproximations?for?spn?ciphers.iacr?trans.symmetric?cryptol.,2020(3):262-287,2020�。
13、[6]cao,weiwei,wentao?zhang,and?chunning?zhou."new?automatic?searchtool?for?searching?for?impossible?differentials?using?undisturbed?bits."international?conference?on?information?security?and?cryptology.cham:springernature?switzerland,2022���。
技術(shù)實現(xiàn)思路
1�、針對以上問題����,本發(fā)明提出的不可能差分區(qū)分器搜索方法,對文獻[6]中的非受干擾比特模型進行了如下改進:截斷模型忽略s盒細(xì)節(jié)導(dǎo)致搜索準(zhǔn)確度降低����,并且對存在按比特操作的密碼無法進行區(qū)分器搜索�����,為了解決該不足���,本發(fā)明milp模型按比特對區(qū)分器進行刻畫與搜索。
2���、本發(fā)明的目的是提出一種結(jié)合非受干擾比特差分傳播性質(zhì)與milp技術(shù)的不可能差分區(qū)分器搜索方法�����。該方法主要針對輕量級分組密碼�,將經(jīng)過線性與非線性操作前后的差分值關(guān)系轉(zhuǎn)化為線性約束條件���,并將這些約束條件加入到milp模型中��。并且為了檢測到區(qū)分器中間輪可能出現(xiàn)的矛盾�����,引入了兩種類型的矛盾點以及對應(yīng)的約束條件�����,最終求解模型并以模型可解搜索不可能差分區(qū)分器���,由求解器返回輸入輸出差分值����。
3��、實現(xiàn)本發(fā)明目的的技術(shù)方案是:
4���、基于非受干擾比特與milp的不可能差分區(qū)分器搜索方法,包括如下步驟:
5���、(1)對密碼算法中的部件進行建模:
6�、對不可能差分區(qū)分器涉及到的每一個比特�,在milp模型中使用兩個二進制變量表示,根據(jù)密碼算法輪函數(shù)操作����,例如s盒和異或操作的差分傳播性質(zhì),使用線性不等式組來刻畫差分傳播的性質(zhì)�����,并將這些不等式組加入到milp模型文件中;
7����、(2)設(shè)立矛盾位置,并對矛盾進行建模:
8���、設(shè)不可能差分區(qū)分器的輸入差分值為δin����,在經(jīng)過r1輪加密后差分值以概率為1等于α���,區(qū)分器輸出差分為δout���,在經(jīng)過r2輪解密后差分值以概率為1等于β,如果滿足α≠β����,即在α與β中對應(yīng)的比特之間存在矛盾,那么構(gòu)成一個r1+r2輪不可能差分區(qū)分器��;
9��、為了獲得有效的不可能差分區(qū)分器,需要在搜索模型的中間輪建立關(guān)于矛盾點的約束�,本發(fā)明在milp模型中提出了兩類矛盾點,可任選其一加入到模型中��;
10����、(3)使用求解器對模型進行求解獲得有效的不可能差分區(qū)分器:
11、根據(jù)實際的搜索要求���,可選擇是否添加目標(biāo)函數(shù),并使用gurobi求解器對上述步驟中生成的lp模型文件進行求解�,如果模型有解,則返回步驟(2)中δin和δout的具體值��,所得結(jié)果為r1+r2輪不可能差分區(qū)分器的輸入輸出差分值�����,由求解器返回輸入輸出差分值��。
12��、本發(fā)明是一種改進的基于非受干擾比特的不可能差分區(qū)分器搜索模型���,核心在于通過追蹤非受干擾比特在密碼操作中的傳播規(guī)律來刻畫輸入輸出差分的往前往后傳播�����,并且加入了新的矛盾刻畫模型�,當(dāng)輸入輸出差分經(jīng)若干輪傳播后對應(yīng)比特間出現(xiàn)了矛盾,即α≠β����,則可以通過矛盾指示變量來檢測到這些矛盾點,確保所獲得區(qū)分器的正確性�。最后在使用求解器求解時可以選擇獲得最小漢明重量的區(qū)分器或者是所有有效的區(qū)分器,以適應(yīng)各種需求����。
13、本發(fā)明的有益效果是:
14���、(1)本發(fā)明搜索方法�����,支持比特級操作的密碼����,對比特差分未知的情況進行了進一步的細(xì)分,研究了多個未知比特之間的關(guān)系��,使用特殊值來區(qū)分這些比特���。如此可以比傳統(tǒng)方法排除更多可能傳播情況��,找到已有模型無法找到的區(qū)分器�;
15�、(2)本發(fā)明搜索方法,引入了兩類矛盾點��,根據(jù)兩種矛盾各自的性質(zhì)�����,引入對應(yīng)的指示變量和輔助變量���,以及它們之間的關(guān)系不等式組。使用這兩類變量可將輸入輸出差分往前往后傳播過程整合至統(tǒng)一的模型中�,并且無需手動設(shè)置矛盾點,自動化程序比已有的非受干擾比特模型更高����;
16�����、(3)本發(fā)明搜索方法���,以milp模型有解搜索不可能差分,傳統(tǒng)的以模型無解搜索區(qū)分器不便于與區(qū)分器擴展���、密鑰恢復(fù)流程相結(jié)合��,本模型能夠提高整個攻擊的效率����。