轻量级分组密码PRIDE的线性解析.ppt

-- * -- 轻量级分组密码PRIDE的线性分析 汇报人：伊文坛 信息工程大学 河南 郑州 2015年10月23日 上海 主要内容 一、研究背景和工作动机 二、PRIDE密码的设计特点 三、PRIDE密码线性分析的具体过程 一、研究背景和工作动机 PRIDE是Albrecht等在2014美密会上提出的轻量级分组密码算法； PRIDE密码算法采用的是典型的SPN结构，分组长度64比特，密钥长度128比特，共迭代20轮； PRIDE设计特色在于线性层，兼顾了安全和效率。 一、研究背景和工作动机 一、研究背景和工作动机 目前针对PRIDE的分析有如下分析结果： 赵静远等：构造出1-3-1型两轮可迭代的概率为 2-8 的差分路径，进而构造概率为2-58的15轮的差分路径，往前、后各扩展1和2轮，对18轮PRIDE进行分析； 杨倩倩等：构造出2-2型一轮可迭代的概率为 2-4 的差分特征，迭代15轮，往前、后各扩展2轮，结合S盒的差分特点，攻击了19轮的PRIDE算法； 戴艺滨等：在一些相关密钥条件下，构造出概率为 2-4 的两轮可迭代的差分特征，对全轮PRIDE算法做了差分分析。 一、研究背景和工作动机 目前针对PRIDE的安全性分析仅有在单密钥和相关密钥条件下的差分分析结果。我们第一次考虑评估该密码算法在线性分析下的安全性。分析过程中，我们关注了如下三个问题： 高偏差线性路径的构造； PRIDE 算法S盒运算的一些线性性质； 明文剖分技术的一个应用。 一、研究背景和工作动机 分析方法 轮数 数据复杂度 时间复杂度 工作出处 相关密钥差分分析 20 239CPs 260 ENC Dai, et al. 差分分析 18 260CPs 266 ENC Zhao, et al. 差分分析 19 262CPs 263 ENC Yang, et al. 线性分析 18 260KPs 286 ENC 本文 线性分析 19 262KPs 295 ENC 本文 PRIDE密码算法的主要分析结果 二、PRIDE密码的设计特点 非线性层是由16个相同的规模为4比特的S盒并置而成； 线性层包括三部分，置换层（拉线）、矩阵变换层 和逆置换层（拉线）； 拉线部分可以描述成 矩阵层是有4个规模为16比特的矩阵并置，其中第1、4个矩阵是对角和对偶矩阵，分支数为 4。 二、PRIDE密码的设计特点 二、PRIDE密码的设计特点 PRIDE密码算法的轮函数 PRIDE密码的S盒运算存在一些弱点： 存在偏差较大输入输出掩码相同，并且重量为 1 的线性逼近； S盒运算输出的第2比特可以有输入的第2、3和4比特确定，和输入第1比特无关。 PRIDE密码的线性层存在一些弱点： 存在局部对偶性； 矩阵变换层矩阵分支数为4，相对较小。 二、PRIDE密码的设计特点 三、PRIDE密码线性分析的具体过程 利用偏差较大的线性逼近来区分随机函数和密码算法； 主要过程包括线性逼近的构造、数据收集、部分加解密和密钥筛选等； 要求是已知明文，数据量和线性逼近的偏差以及成功概率有关。 三、PRIDE密码线性分析的具体过程 三、PRIDE密码线性分析的具体过程 E2 E1 E3 明文 密文 Step 1 对由多轮复合构成的E2进行线性逼近： 选择适当a=(a0,…, an-1)和b=(b0,…, bn-1)，使对E2的线性逼近a→b的优势尽可能地大。这里 a和b称作为掩码(mask) 表达式为0的概率减掉不为0的概率 三、PRIDE密码线性分析的具体过程 命题 对于PRIDE算法采用的S盒运算，线性逼近 成立的概率为0.75，偏差为2-2。 这样，结合线性层的特点，PRIDE算法存在16条2轮迭代并且偏差为2-5线性逼近 和8条1轮迭代，偏差为2-3线性逼近 三、PRIDE密码线性分析的具体过程 例如： 偏差为2-5的2轮可迭代线性逼近 偏差为2-3的1轮可迭代线性逼近 这里0和1都是十六进制表示。 三、PRIDE密码线性分析的具体过程 E2 E1 E3 明文 密文 Step 2 将a·x写成明文和密钥k1的部分比特的函数： 将b·E2(k2, x)写成密文和密钥k3的部分比特的函数： 从而得到线性逼近方程: 三、PRIDE密码线性分析的具体过程 E2 E1 E3 得到的线性逼近方程: E3-1 E1-1 对于错误的密钥,等式成立的概率接近0.5。 对于正确的密钥，等式成立的概