HIGHT轻量级分组密码容错代数故障攻击研究

针对现有HIGHT轻量级分组密码代数故障攻击方法在故障失效发生的场景下故障位置判定出错进而影响攻击成功率的问题,提出并讨论了一种容错代数故障攻击方法.该方法首先对故障失效特性进行深入研究,利用故障注入位置、故障失效与密文差分之间的对应关系,构建了一个完备的故障位置区分器以实现对各种场景下故障位置的准确判定.然后在此基础上提取故障失效信息以实现故障信息最大化利用,并对故障信息等效代数方程组构建方法进行优化,实现了故障信息等效代数方程组的自动化构建.最后对提出的攻击方法的复杂度和成功率进行了分析和实验验证.实验结果表明,与现有攻击相比,提出的攻击方法容错能力更强,能检测出所有显性故障失效,攻击的成功率达到100%,且故障信息等效代数方程组构建自动化程度更高,解析器平均求解时间更少.     

基于故障信息的SOSEMANUK猜测确定攻击

针对SOSEMANUK流密码已有攻击方法复杂度过高的不足,提出并讨论了一种基于故障信息的猜测确定攻击方法.首先利用代数方法构建密码在比特层面的等效代数方程组,然后向密码注入随机单字故障,在深入分析故障传播特征的基础上,将故障信息表示成代数方程组并猜测密码部分内部状态,使用CryptoMinisat解析器求解代数方程组恢复密码初始内部状态.实验结果表明:对密码首轮加密进行攻击,恢复密码全部初始内部状态所需的故障注入次数为20次,计算复杂度为O(296),对密码前两轮加密进行攻击,无须猜测密码内部状态,仅注入10个单字故障即可恢复密码全部初始内部状态.与已有结果相比,新方法攻击复杂度显著降低.     

基于汉明重的MIBS密码代数旁路攻击

对MIBS密码代数旁路攻击能力进行了评估:首先给出代数旁路攻击模型,构建MIBS密码等价代数方程组;采集微控制器上MIBS密码实现加密过程中功耗泄露,并选取功耗特征明显的部分泄漏点,基于模板分析进行加密中间状态汉明重推断;利用SAT(可满足性)、PBOPT(伪布尔随机优化)及LP(线性编程)分别对MIBS代数方程组和汉明重泄露进行表示;最后采用SAT问题解析器CryptoMinisat和混合整数编程问题(SCIP)解析器进行密钥恢复,并在不同场景下进行大量攻击实验.结果表明:MIBS密码易遭代数旁路攻击;汉明重推断正确条件下,利用1条功耗轨迹中4轮汉明重信息泄露可成功恢复完整密钥;汉明重推断部分正确条件下,基于SAT,PBOPT和LP这3种代数方程组求解方法,可分别在汉明重推断错误率不超50％,65％和60％的情况下成功恢复MIBS完整密钥.     

基于故障注入的硬件木马设计与差分分析

基于差分故障分析原理,提出一种实现密码芯片密钥泄漏的新型硬件木马设计.利用随机状态值实现激活电路,利用单个异或门(XOR)实现故障注入,构建基于故障信息的差分分析模型.以数据加密标准(data encryption standard,DES)密码算法为攻击目标,以SASEBO旁路攻击标准评估板作为硬件实现平台,设计并实现了极小化的泄漏型硬件木马电路,其逻辑测试空间超过2117,且仅需5个寄存器和8个LUT.采用差分分析方法,对两组故障信息进行分析,经过171.68s成功破解密钥.     

LBlock分组密码代数旁路攻击

对轻型分组密码LBlock抗代数旁路攻击安全性进行了评估.给出了LBlock密码算法的代数方程表示方法,使用示波器采集微控制器ATMEGA324P上的LBlock实现功耗泄露,利用泊松相关系数方法推断加密中间状态汉明重,基于可满足性问题并转化为代数方程组,同LBlock密码算法代数方程联立,最后使用CryptoMinisat解析器进行方程组求解,成功恢复加密密钥.实验结果表明:微控制器上的LBlock实现易遭受代数旁路攻击,仅需一条功耗曲线,已知明密文下的3轮汉明重泄露、未知明密文条件下6轮汉明重泄露分别经2.4s和0.4s分析即可恢复80 bic完整密钥.     

有限域上代数方程算法问题研究2013年度报告

该年度围绕关键科学问题"有限域上代数方程求解",结合密码学理论,在求解算法研究及其密码应用方面取得了以下3个方面的进展:(1)在有限域上方程系统求解算法方面,提出了一个二元域上带噪方程系统的求解算法;给出了一种从代数方程到CNF转换的高效算法;(2)在利用代数方程求解算法进行密码分析方面,推进了分组密码KATAN、PRINCE等分析;在多变量密码的分析方面,利用线性化方法分析了MFE改进方案、扩展的多变量公钥密码方案、两层非线性Piece in hand增强方案,用多项式向量的不确定插值方法改进了对SFLASH密码体制的攻击;利用线性化方法或格基约化算法分析了一些基于格及背包问题的密码算法;在代数攻击中自动推理方法的研究方面,利用解方程组的思想,提出了基于字的分组密码算法的不可能差分路径自动化搜索的算法,扩展了Mouha等人基于混合整数线性规划的方法,给出了一种自动化评估比特级分组密码抵抗相关密钥差分攻击安全性的方法;(3)在利用代数方法设计对称密码组件方面,给出了一系列基于线性反馈移位寄存器实现的低代价最优扩散层的构造;否证了C.Carlet于1998年提出的"任何一个AB函数都EA等价于一个置换"的猜想。除以上3个方面之外,针对ALE认证加密算法泄露消息没有受到密钥保护的特点,提出了一种新的伪造攻击方法——泄露状态伪造攻击。     

一类SPN结构密码设备的故障注入攻击技术(英文)

提出了一种有效的故障注入攻击技术,能够攻击一类使用特定结构SPN密码的设备.这种攻击方法基于字节错误模型,仅需要少量故障密文即可攻破一类具有特定置换层的SPN密码算法.分析给出了故障和特定置换层如何导致秘密信息泄露的原因.同时,对于具体的密码算法ARI-A和PRESENT进行了攻击实例.     

AES的插值攻击方法

由Jakobsen和Knudsen提出的插值攻击, 是对具有简单代数函数作为S盒的分组密码十分有效的一种密码分析方法. 本文分析了AES(Advanced Encryption Standard)算法中的代数表达式, 得出三轮AES加密后的明密文代数表达式具有次数较低(低于255次）的特点. 由于此特点, 通过拉格郎日插值公式, 利用255个函数值可唯一地求出254次多项式的表示, 把插值攻击应用到了低轮AES的密码分析中, 并给出了相应的结论及证明. 利用此攻击方法, 通过选取256对明密文, 即可还原4轮AES的密钥, 利用2048对明密文, 可成功地破译5轮AES密码, 并可把此攻击扩展到6轮的AES密码.     

低轮AES的插值攻击方法

针对AES(Advanced Encryption Standard)算法3轮加密后的密文代数表达式具有的次数较低(低于255)的特点,提出了低轮AES密码的插值攻击方法.该方法利用255个函数值可惟一求出254次多项式的拉格朗日插值公式.文中分析了AES加密算法中的密文代数表达式,并给出了相应的结论及证明.利用此攻击方法,通过选取28对明密文,即可还原4轮AES的密钥,利用211对明密文,可成功破译5轮AES密码,并可把此攻击扩展到6轮AES密码.     

近红外激光故障注入系统在密码芯片攻击中的应用

首先概括了当前流行的密码芯片攻击方法及优缺点,然后介绍了近红外激光故障注入系统,并详细描述了近红外激光故障注入理论、系统组成、工作原理,及实验设备与参数。以DES(data encryption standard)算法为例,通过数学推导,采用DFA(differential fault analysis)方法恢复密钥。最后,根据实验室搭建的近红外激光故障注入系统对芯片背面进行了故障攻击实验,在无任何防御措施下获取了DES算法密钥。通过实验,以及结合对有关防御方法的深入分析,展示了近红外激光故障注入攻击对密码芯片的具大威胁。