eSTREAM序列密码候选算法的安全性研究.pdf

DoctoralDissertation ShandongUniversity eSTREAM序列密码候选算法的安全性分析 张海纳 山东大学数学学院 密码技术与信息安全教育部重点实验室 摘 要 2004年，为加强信息安全特别是密码与数字水印方面的合作研究，欧 NetworkofExceUencefor 洲启动了ECRYPT(European Cryptology)研究计 划。eSTREAM为ECRYPT计划的工程项目之一，主要任务是征集新的可以广 泛使用的序列密码算法，以改变2003年NESSIE工程6个参赛序列密码算法全部落 选的状况。该工程于2004年11月开始算法征集，至2005年4月，共收到34个候 参赛算法获选。自第二评估阶段至今，共有12个算法(第二阶段8个，第三阶段3 个，获选算法1个)被破解。 在导师的精心指导下，本论文主要对eSTREAM-r程的四个候选密码算法ABC v3(第三阶段)和Grainvl(最 v3(第二阶段)、TSC．4(第二阶段)、CryptMT 终获选)进行了安全性分析：在弱密钥条件下，破解了ABCv3和TSC一4；发 v3密钥初始化过程存在概率为l的差分特征；对Grainvl进行了 现CryptMT 弱Key-IV攻击。 v3 1．弱密钥条件下破解ABC ABCv3的密钥长度为128比特，是34个参赛算法中运行速度最快的算法 之一。ABCv1和v2为ABC 和Khazaei同时发现ABCvl的线性移位寄存器(LFSR)长度过短，通过分别征 vl。ABCv2加大LFSR的长度以弥补ABCvl的缺陷。但 服攻击破解了ABC 在SAC2006上，Wu和Preneel发现ABCv2存在一类弱密钥，并且在弱密钥条件 下，ABCv2可被破解。通过修改密钥初始化过程，消除Wu．Preneel弱密钥，ABC v3可抵抗以前所有攻击。 ABC系列算法结构主要由LFSR、T-函数和基于背包问题构造的S一盒三部分组 成。LFSR的最低权位32比特字与孓盒的输出进行模232加运算后作为密钥流输 出字。LFSR反馈多项式的项数为3，虽然可以提高运行速度，但同时也降低了安全 性，易受快速相关攻击。为此，算法设计者采用了T-函数、孓盒和模加运算等大 DoctoralDissertation ShandongUniversity 量非线性组件来掩藏LFSR的线性。特别是基于背包问题构造的S．盒，加火了分析 的难度。本文采取以恢复LFSR的内部状态为首要目标、以寻找算法核心部件孓盒 v3 的弱点为关键、以非线性模加运算的线性逼近为突破口的技术路线，发现ABC v3。 存在新型弱密钥，其发生的概率为2-2屯29。最终，在弱密钥条件下破解了ABC (1)证明两类线性逼近式的概率优势 从ABCv3最外层模加运算出发，首先研究二元非线性运算模加的线性逼近问 题。本文发现了一类具有高概率优势的线性逼近式，通过分类和数学归纳，给 出了此类线性逼近式的概率优势： m≤几，文(可)为整数可的第i低权位比特。另外一类线性逼近式反映了给定 条件下三组模加运算进位比特之问的线性关系。由于各组运算的相关性导致研 究的复杂化，W．u与Preneel通过计算机实验发现了该类遥近式的概率优势但 没有给出严格的数学证明。通过分类归纳，本文证明了该线性逼近式的概率优 势，并对其进行了推广，结果之一如下： 这两类具有概率优势的线性表达式反映了非线