×
洛伦佐·格拉西;克里斯蒂安·雷赫伯格

重温吉尔伯特的已知关键区别。 (英语) Zbl 1448.94200号

设计。代码加密 88,第7期,1401-1445(2020).
总结:Known-key distinguishers由引入L.R.克努森V.里杰曼[Asiacrypt 2007,Lect.Notes Compute.Sci.4833,315–324(2007;Zbl 1153.94403号)]为了更好地理解分组密码在密钥不能被视为机密的情况下的安全性,即“secret-key模型和hash函数use-cases之间的事情”。试图找到一个符合这种直觉的严格模型仍在进行中。最近的进展H.吉尔伯特【Asiacrypt 2014,Lect.Notes Compute.Sci.8873,200–222(2014;Zbl 1306.94054号)]描述了一种新的模型,即使它很合理,似乎也与这种直觉不匹配。AES通常被视为此类分析的目标,这仅仅是因为AES或其构建块在许多超越经典加密的设置中使用。考虑AES-128。密钥模型中的结果最多覆盖6轮,而选择密钥模型的结果最多可达9轮。然而,吉尔伯特在已知关键模型中给出了一个更进一步的结果,涵盖了10轮。这是否意味着与哈希函数用例的密码分析相对应的用例天生效率较低,或者说它是新模型的一个工件?在本文中,我们为后者提供了有力的证据。在吉尔伯特的工作中,提出了两种论证或猜测,表明新模型是有意义的。首先,由于新模型,“扩展轮数”限制为两轮。其次,只有利用均匀分布特性的区分器才能以这种方式扩展。
我们反驳了这两个猜想,并得出以下结果:首先,我们还能够证明可能有两个以上的扩展轮。因此,我们描述了符合吉尔伯特模型的12轮AES上的第一个已知密钥区分器。第二个猜想被证明是不正确的,因为Gilbert提出的技术还可以用于基于另一个属性(截断微分)扩展已知密钥区分器。这项工作的一个潜在结论是,吉尔伯特的已知密钥模型和所选密钥模型之间的反直觉差距比最初想象的要大。然而,我们得出结论,吉尔伯特模型中的结果是由于模型中的伪影造成的。为了纠正这种情况,我们建议对已知密钥模型进行改进,以恢复其原始意图,以符合原始直觉。

引用于3文件

MSC公司:

94A60 密码学

关键词:

分组密码;置换;AES公司;已知密钥区分器

引文:

Zbl 1153.94403号;Zbl 1306.94054号

软件:

方形;凯卡克
PDF格式BibTeX公司 XML格式引用
\textit{L.Grassi}和\textit{C.Rechberger},德斯。密码术88,No.7,1401--1445(2020;Zbl 1448.94200)
全文: 内政部

参考文献:

[1] Andreeva,E.,Bogdanov,A.,Mennink,B.:理解块密码的已知密钥安全性。In:FSE 2013,LNCS第8424卷,第348-366页,(2013)·Zbl 1321.94033号
[2] Aumasson,J.-P.,Meier,W.:简化Keccak-f和Luffa和Hamsi核心功能的零和区分器,2009年。发表于:密码硬件和嵌入式系统尾声会议-CHES(2009)
[3] Bellare,M.,Micciancio,D.:无碰撞哈希的新范式:降低成本的增量。参见:EUROCRYPT 1997,LNCS第1233卷,第163-192页(1997)。
[4] Bertoni,G.、Daemen,J.、Peeters,M.、Van Assche,G.:关于Keccak-f.2010的零和区分符的注释。未发布,http://keccak.noekeon.org/NoteZeroSum.pdf。
[5] Biryukov,A.,Khovratovich,D.,Nikolić,I.:全AES-256的区分和相关密钥攻击。收录于:《密码》2009年,LNCS第5677卷,第231-249页,(2009)·兹比尔1252.94051
[6] Boura,C。;Canteaut,A.,18轮KECCAK-\(f)置换的零和性质,IEEE国际交响乐协会。Inf.Theory,2010,2488-2492(2010)
[7] Boura,C.,Canteaut,A.,De Cannière,C.:凯卡克和丝瓜的高阶微分性质。摘自:《2011年金融服务评估》,LNCS第6733卷,第252-269页(2011年)·Zbl 1307.94040号
[8] 布隆多,C。;莱安德,G。;Nyberg,K.,《重访差分线性密码分析》,J.Cryptol。,30, 3, 859-888 (2017) ·兹比尔1377.94038 ·doi:10.1007/s00145-016-9237-5
[9] Blondeau,C.,Peyrin,T.,Wang,L.:全席上的知识关键区分者。收录于:《密码》2015年,LNCS第9215卷,第455-474页,(2015)·Zbl 1375.94104号
[10] Cui,T.,Sun,L.,Chen,H.,Wang,M.:多结构统计积分识别器及其在AES中的应用。收录于:ACISP 2017,LNCS第10342卷,第402-420页,(2017)·Zbl 1416.94045号
[11] Daemen,J.、Knudsen,L.R.、Rijmen,V.:区块密码广场。收录:FSE 1997,LNCS第1267卷,第149-165页,(1997)·Zbl 1385.94025号
[12] Duan,M。;Lai,XJ,全轮Keccak-\(f\)置换的改进零和区分器,Chin。科学。公牛。,57, 6, 694-697 (2012) ·文件编号:10.1007/s11434-011-4909-x
[13] Daemen,J.,Rijmen,V.:Rijndael的设计:AES-高级加密标准。信息安全与密码Springer,纽约(2002年)·Zbl 1065.94005号
[14] Fouque,P.-A.,Jean,J.,Peyrin,T.:AES的结构评估和9轮AES-128的选择关键识别器。收录于:textitCRYPTO 2013,LNCS第8042卷,第183-203页,(2013)·Zbl 1310.94144号
[15] Ferguson,N.、Kelsey,J.、Lucks,S.、Schneier,B.、Stay,M.、Wagner,D.、Whiting,D.:Rijndael的改进密码分析。In:FSE 2000,LNCS第1978卷,第213-230页,(2001)·兹比尔0994.68631
[16] Gilbert,H.:AES的简化表示法。收录于:2014年亚洲期刊,LNCS第8873卷,第200-222页,(2014)·Zbl 1306.94054号
[17] Gilbert,H.,Peyrin,T.:超盒密码分析:改进AES类排列的攻击。In:FSE 2010,LNCS第6147卷,第365-383页,(2010)·Zbl 1279.94077号
[18] 格拉西(Grassi,L.)。;Rechberger,C。;Rønjom,S.,子空间跟踪密码分析及其在AES、IACR-Trans中的应用。对称加密。,2016, 2, 192-225 (2017)
[19] Jean,J.、Naya-Plasencia,M.、Peyrin,T.:多个有限出生日区分符和应用。收录于:SAC 2013,LNCS第8282卷,第533-550页,(2014)·Zbl 1362.94033号
[20] Knudsen,L.R.,Rijmen,V.:某些块密码的已知密钥区分符。收录于:2007年亚洲期刊,LNCS第4833卷,第315-324页,(2007)·Zbl 1153.94403号
[21] Knudsen,L.,Wagner,D.:积分密码分析。收录于:FSE 2002,LNCS第2365卷,第112-127页,(2002)·兹比尔1045.94527
[22] 兰伯格,M。;孟德尔,F。;Schläffer,M。;Rechberger,C。;Rijmen,V.,《反弹攻击和子空间区分:在漩涡中的应用》,J.Cryptol。,28, 2, 257-296 (2015) ·Zbl 1314.94082号 ·doi:10.1007/s00145-013-9166-5
[23] Leander,G.,Tezcan,C.,Wiemer,F.:搜索子空间轨迹和截断差分。IACR事务处理。对称加密。2018(1), 74-100 (2018).
[24] Lorenzo,G.,Christian,R.,Rönjom,S.:五轮AES的新结构微分性质。收录于:《2017年欧洲密码》,LNCS第10211卷,第289-317页,(2017)·Zbl 1415.94433号
[25] Mendel,F.,Peyrin,T.,Rechberger,C.,Schläffer,M.:简化Grostl压缩函数、ECHO置换和AES块密码的改进密码分析。In:SAC 2009,LNCS第5867卷,第16-35页,(2009)·Zbl 1267.94084号
[26] Mendel,F.,Rechberger,C.,Schläffer,M.,Thomsen,S.S.:反弹攻击:简化漩涡和Grostl的密码分析。一: n FSE 2009,LNCS第5665卷,第260-276页,(2009)·Zbl 1291.94130号
[27] Mennink,B.,Preneel,B.:关于已知密钥攻击对哈希函数的影响。收录于:2015年亚洲期刊,LNCS第9453卷,第59-84页(2015年)·兹比尔1375.94149
[28] Rönjom,S.,Bardeh,N.G.,Helleseth,T.:使用AES的溜溜球技巧。收录于:2017年亚洲期刊,LNCS第10624卷,第217-243页,(2017)·1420.94094兹罗提
[29] Sasaki,Y.,Yasuda,K.:11轮Feistel的Known-Key Distinguisers和散列模式的碰撞攻击。收录于:FSE 2011,LNCS第6733卷,第397-415页,(2011)·Zbl 1307.94095号
[30] Tunstall,M.,改进的基于“部分和”的AES平方攻击,SECRYPT,2012,25-34(2012)
[31] Wagner,D.:广义生日问题。收录于:《2002年密码》,LNCS第2442卷,第288-303页,(2002)·Zbl 1026.94541号
[32] Meiqin,W.、Tingting,C.、Huaifeng,C.、Ling,S.、Long,W.和Andrey,B.:积分Go统计:完整Skipjack变量的密码分析。收录于:FSE 2016,LNCS第9783卷,第399-415页,2016年·Zbl 1387.94104号
[33] Wang,Q.,Grassi,L.,Rechberger,C.:光子置换的零和分割。收录:密码学主题-CT-RSA 2018,LNCS第10808卷,第279-299页,(2018)·Zbl 1507.94055号
[34] Wei,L.,Peyrin,T.,Sokołowski,P.,Ling,S.,Piepzyk,J.,Wang,H.:论IDEA在各种哈希模式下的(In)安全性。In:FSE 2012,LNCS第7549卷,第163-179页,(2012)·Zbl 1312.94099号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。