轻量级密码研讨.docx

WG2——轻量级密码算法 目录 1. 安全隐私 2 1.1 安全 2 1.2 隐私 3 2. 分组密码 3 2.1 AES 4 2.2 CLEFIA 5 2.3 DES 6 2.4 DESXL 7 2.5 HIGHT 7 2.6 KASUMI 8 2.7 mCrypton 9 2.8 PRESENT 10 2.9 SEA 11 2.10 XTEA 13 3. 轻量级协议 16 3.1 HB 及其变体 16 3.2 HB协议 16 3.3 HB协议 17 3.4 对HB+的多种改进 18 3.5 随机HB及其变体 19 3.6 基于Rabin函数的协议 20 4. 近期安全成果 20 4.1 KATAN和KTANTAN 20 4.2 PRESENT算法 26 4.3 XTEA 29 1. 安全隐私 在本节中,我们给出一个大纲中遇到的安全隐私需求系统，涉及低成本普及设备的有限计算和通信资源, RFID标签比较典型 ,并且这些需求的方式可以使用一个轻量级密码协议来解决。我们考虑系统由两个主要组件:?低成本设备有限计算和通信能力包括至少一个集成电路,例如低成本RFID标签或智能卡。基础设施,即一个设备管理系统能够与重量轻通信设备。对于一个RFID系统,基础设施由后台系统连接到无线阅读。 这种系统的应用特别广泛:（例如）供给链的自动化管理,票务,电话卡,小额支付和访问控制、自动收费、公共运输,防止假冒,宠物跟踪、航空行李跟踪、图书馆管理。设备用于解决各种不同的需要，他们的内存和电源等特点，他们的通信和计算能力，还有这些所带来的成本。一个值得注意的标准化活动在这些文献内可以查找 [36,40]。这种系统的一个共同特点是设备和基础设施之间的通信协议必须允许基础设施来识别设备。后来我们专注于与此协议相关的安全和隐私问题。因此我们不认为相关的安全和隐私问题的信息存储、交换和处理在基础设施之内。毫不奇怪,如此广泛的应用程序和物理特性,对这些系统的安全隐私需要相当多样化。 (1)在安全隐私并不重要的问题上，一些最初的供应链管理应用程序使用RFID标签的标签仅仅是一个条形码替代品，而不是交付给最终消费者或使用“杀死”命令，在可以禁用之前交付给最终消费者,越来越多的应用程序的出现,低成本设备和无线电通信功能输入终端用户的生活(如图书馆管理、自动收费)导致越来越多的关注涉及他们隐私的潜在危害。令人担心的是,通过低成本设备附加到她所携带的对象,一个人可能会离开电子追踪她的动作和行为,成为可追踪的恶意方配备无线电设备（的对象）。(2)应用如票务或访问控制,拥有低成本设备伴侣具体化了一些权利需要防止伪造或模拟合法设备,例如通过克隆合法设备或数据的回放之前通过一个合法的标签。为了解决这些安全需求,身份验证机制,允许系统证实的身份标记是必需的。 虽然很难协调,后者的安全需要与前者的隐私需要经常是联合的,例如在售票的情况下,公共交通等等。根据是否合并没有安全和隐私保护功能,还是只有安全特性,或是只有隐私保护功能,或者两者兼有,轻量级协议允许基础设施来确定低成本设备，大致可以分成四类,如表所示。这个表中使用的术语将在后续中进行详细的解释。系统中的安全与隐私涉及普及设备现在已经成为密码学中一个非常活跃的研究课题,并且合适的本原和协议的设计是轻量级加密领域的一个重大挑战。 1.1 安全 身份验证,解决上述安全威胁(即防止合法设备的克隆或模拟),可能代表了大多数轻量级加密。利用主题下面的区别可以身份识别和身份验证:当一个协议允许一个系统识别设备,但不能证实这身份,因此抵制克隆或模拟攻击将被命名为一个鉴定协议,此协议允许系统识别设备和确证身份，将被命名为一个认证协议或相当于一个身份验证方案。如果一个认证协议另外又确认了设备，该设备对应的协议是合法的,我们将称之为相互认证协议。高效的身份认证解决方案正逐渐出现,即使是最受限系统。第一个可能的方法是使用一个分组密码在传统的质询-响应协议。为了考虑计算资源在某些设备(3000通用电气，甚至更少，通常被认为是作为一种复杂性上限为典型的低成本设备)的严重限制，专用的轻量级分组密码已经开发出来，例如DESXL, PRESENT,和KATAN [81, 18, 25]。这种专用的分组密码代表另一种可选的标准密码的轻量级实现诸如AES密码[136]。一些有着非常低的硬件脚本的流密码,例如Grain v1或 Trivium [53, 26]也有可能导致非常有效的身份验证解决方案。另一方面,一些具体的基于身份验证方案的流密码现今已被提出。轻量级的认证协议不是基于对称元素,例如SQUASH [119]和HB系列RFID方案[63, 46]，而是描绘了另一个有前景的研究项目,即使它保持着一个复杂的任务，到目前为止还是从这些家庭抵制部分密码分析结果来