轻量级分组密码twine的差分故障攻击.doc

轻量级分组密码TWINE的差分故障攻击 徐朋，魏悦川，潘晓中 (中国人民武装警察部队工程大学 电子技术系 陕西 西安 710086) 摘 要:为了对轻量级分组密码TWINE的安全性进行研究，分析了轻量级分组密码TWINE的抗差分故障攻击特性，给出了TWINE一种差分故障分析方法，采用面向半字节的随机故障模型对TWINE算法进行攻击.实验结果表明，在35轮注入4次故障后可将密钥空间降低至约.平均注入13.15次故障后可完全恢复80-bit密钥，最好的情况为注入12次故障完全恢复种子密钥，得到结论：TWINE算法易受差分故障攻击，需在使用前对设备加以保护. 关键词:轻量级分组密码；安全性；TWINE；差分故障攻击；随机故障模型 中图分类号 TP309 文献标识码：A 文章编号： Differential Fault Attack on TWINE XU Peng, WEI Yue-Chuan, PAN Xiao-Zhong (Engineering University of Chinese Armed Police Force Electronic Technique Department Xi’An 710086) Abstract: This paper analyzed the resistance of TWINE against differential fault attack in order to do research on the security of TWINE.A method of differential fault analysis on TWINE is presented and the nibble-based random fault model is applied to attack TWINE.As a result,the key space can be limited to after 4 injections of fault into round 35.The 80-bit primitive key can be determined after 13 injections o-f fault on average.The best result is that we determine the 80-bit primitive key by injecting 12 faults.So TWINE is vulnerable to differential fault attack and advanced protection should be used before applying this kind of device. Key words: lightweight block cipher; security；TWINE; differential fault attack; random fault model 0引 言 随着网络技术的快速发展，人类的通信越来越依赖网络，相应地需要大量的密码技术.由于现实生活中许多加密设备体积小且资源受限，为了满足人们对加密算法的安全性和实现效率的双重要求，近年来研究人员提出了许多轻量级分组密码，如MIBS[1],PRESENT[2]，LED[3],LBlock[4] ,PRINCE[5]等. TWINE[6]算法是在SAC 2012上由Tomoyasu Suzaki，Kazuhiko Minematsu, Sumio Morioka, 和 Eita Kobayashi提出的一种轻量级分组密码，分组长度为64-bit，支持80-bit或128-bit密钥长度.与其它轻量级分组密码相比，TWINE算法采用广义Feistel结构与优化分组置乱相结合的方法，可以将高效软件应用于不同的CPU。利用运算过程中的故障信息破解密码的思想由Boneh等人在1996年提出，并成功破解了RSA算法[7].1997年Biham和Shamir提出“差分故障攻击”的概念[8]，并用这种方法成功攻击了分组密码DES算法.近年来人们不断提出新的差分故障攻击方法并利用这些方法成功对一些轻量级分组密码算法进行了攻击,包括MIBS[9], LED[10],LBloc-k[11],PRINCE [12]等. 本文的密码分析思路如下：在对TWINE算法的结构进行了深入分析后，得出算法的最后两轮故障传播规律，并针对这种规律提出了一种针对TWINE 80 算法的差分故障攻击方法，可通过在35轮不同位置处诱导较少故障次数，在较短时间内恢复第36轮轮密钥，并在此基础上得到第35轮轮密