分组密码算法密文的统计检测新方法研究
分组密码和数据加密标准
Recommended Reading
• 王育民刘建伟编著, 通信网的安全----理论 与技术,2000,5 • Scneier, B. Applied Cryptography, New York: Wiley, 1996 • Mel, H.X. Baker, D. Cryptography Decrypted. Addison Wesley, 2001
4
图示:n=3时,一个n位到n位的分组密码
BOX S
n=3 0 2n=8 0 1 2n=8 0 1 2 3 4 5 6 7
5
1
Transformer
Transformer
2 3 4 5 6 7
0
1
1
1
Feistel密码
• 大多数传统分组加密算法都采用Feistel密 码结构,包括DES在内。 • Feistel建议使用乘积密码来增强密码的强 度。
34
计时攻击
• 通过对执行给定的多种密文解密所需时 间的观察,来获得关于密钥或明文的信 息。 • 利用加/解密算法对于不同的输入所花的 时间有着细微的差别。 • DES可以抵御计时攻击。
35
差分分析和线性分析
• 1990年,以色列密码学家Eli Biham和Adi Shamir提出了差分密码分析法,可对DES 进行选择明文攻击。 • 线性密码分析比差分密码分析更有效。
17
示 意 图
DES
18
DES描述
• DES利用56比特串长度的密钥K来加密长度为 64位的明文,得到长度为64位的密文。
19
DES加解密过程
• 令i表示迭代次数,⊕表示逐位模2求和,f为加 密函数。DES的加密和解密过程表示如下。
分组密码工作模式的研究现状_吴文玲
, 它们分别 是 ECB、 CBC、 CFB 和 OFB. 在文 件
F IPS 113中 , 公布了 DES 的认证模式 CBC-MAC. 在 文件 F IPS 46 -3 中, 公布了 T riple -DES 的 7 种工作模 式, 它们同时也被包含进 ISO 的相关文件中
[ 2~ 4]
.在
收稿日期 : 2005-10 -25 . 本课题得到国家自然科学基金 ( 60373047 )和国 家 / 九七三 0重点 基础研究 发展规划 项目基金 ( 2004CB318004) 资 助 . 吴文玲 , 女 , 1966年生 , 博士 , 研究员 , 博士生导师 , 目 前主要 从事密 码学与 信息安 全方面 的研究 工作 . E-m ai: l ww l @ is . iscas . ac . cn . 冯登国 , 男 , 1965 年生 , 博士 , 研究员 , 博士生导师 , 目前主要从事信息与网络安全方面的研究与开发工作 .
中图法分类号
The State -of -The -Art of Research on B lock C ipherM ode of Operation
WU W en -L ing FENG Deng-Guo
(S tate K ey Laboratory of Inf or m a tion Security, In st itu te of Sof tw are, Ch in ese Acad e m y of S ciences, Be ijing 100080)
Abstract
A m ode of operation , or m ode , for shor, t is an algorith m th at features the use o f a symm etric
分组密码 4.1分组密码设计原则和设计方法
M C 0 1 1 3 2 4 3 5 4 6 5 7 6 0 7 9 8 8 9 2
密文为: 4560 5628
二、分组密码基本设计原则
1
安全原则
2
实现原则
二、分组密码基本设计原则
1
安全原则
安全性是分组密码设计时应考虑的最重要因
素。人们一般将 Shannon 提出的混乱原则和扩散 原则作为保证分组
x1 x2
m1
xn xn 1 xn 2
m2
x2 n
……
k
加 密 算 法
c1
k
加 密 算 法
c2
…… ……
密文
y1 y2
ys ys 1 ys 2
y2s
主要特点:同一密钥,同一加密算法, 分组加密,分组长度固定。
加密: ci Ek (mi ), i 1, 2,
c c1 c2 ,
4.1
分组密码设计原则和设计方法
4.1
分组密码设计原则和设计方法
分组密码概述 分组密码设计原则 分组密码设计方法
一、分组密码概述
分组密码是将明文数据序列按固定长度 进行分组,然后在同一密钥控制下用同一算 法逐组进行加密,从而将各个明文分组变换 成一个长度固定的密文分组的密码。 二进制明文的分组长度称为该分组密码 的分组长度或分组规模。同样,二进制密钥 的长度称为分组密码的密钥长度或密钥规模。
人们一般将shannon提出的混乱原则和扩散原则作为保证分组密码安全性的两个基本设计原扩散原则混乱原则混乱原则又称混淆原则又称混淆原则confusionconfusion混乱原则就是将密文明文密钥三者之间的统计关系和代数关系变得尽可能复杂保证密钥和明文的任何信息既不能由密文利用统计关系确定出来又不能由密文利用代数方法确定出来
现代密码学(第三章)讲述
一、分组密码的基本概念
分组密码的优缺点
分组密码的加解密算法(E,D)简洁快速,所占用的 计算资源小,易于软件和硬件实现。一般来说,用 硬件实现时,流密码比分组密码更简单快速;用软 件实现时,分组密码比流密码更简单快速。 加解密算法(E,D)参数固定,比流密码更容易实现 标准化。 由于明文流被分段加密,因此容易实现同步,而且传 输错误不会向后扩散。 分组密码的安全性很难被证明,至多证明局部安全性。
2018/12/21 17
一、分组密码的基本概念
透明性和灵活性
透明性即要求算法是可证明安全的(虽然 这是很困难的)。这就要求算法尽可能 使用通用部件,避免黑盒。 灵活性即要求算法的实现可以适应多种计 算环境;明文分组长度可以伸缩;算法 可以移植和变形。
2018/12/21 18
一、分组密码的基本概念
要求:加解密算法(E,D)不存在弱明文和弱密钥。
2018/12/21 6
一、分组密码的基本概念
为了抵抗已知明文攻击(甚至选择明文攻 击),分组密码应该满足的性质
混淆性:所设计的密码应使得明文、密文、密钥之 间的依赖关系相当复杂,以至于这种依赖关系对 密码分析者来说是无法利用的。密码分析者利用 这种依赖关系的方法非常多,因此混淆性也是一 个极为繁杂的概念。
2018/12/21 3
一、分组密码的基本概念
分组密码所面对的主要威胁: 已知明文攻击
分组密码的密钥z被重复使用,即多次一密。 因此最主要的威胁就是已知明文攻击。 设攻击者Eve获得了一组明文/密文对(m,c)。 他试图在加密方程c=E(m, z) 或解密方程 m=D(c, z)中求出密钥z 。
2018/12/21 4
2018/12/21 26
分组密码体制
2018/10/5
图3.1 分组密码框图
3
• 与流密码不同之处在于输出的每一位数字不是 只与相应时刻输入的明文数字有关,而是与一 组长为n的明文数字有关。 • 在相同密钥下,分组密码对长为n的输入明文组 所实施的变换是等同的,所以只需研究对任一 组明文数字的变换规则 • 这种密码实质上是字长为n的数字序列的代换密 码
– 在以软件实现时,应选用简单的运算,使作用于 子段上的密码运算易于以标准处理器的基本运算, 如加、乘、移位等实现,避免用以软件难于实现 的逐比特置换。 – 为了便于硬件实现,加密和解密过程之间的差别 应仅在于由秘密密钥所生成的密钥表不同而已。 这样,加密和解密就可用同一器件实现。 – 设计的算法采用规则的模块结构,如多轮迭代等, 以便于软件和VLSI(超大规模集成电路)快速实 现。
2018/10/5
13
• 如果分组长度太小,系统则等价于古典的 代换密码,容易通过对明文的统计分析而 被攻破。
– 这个弱点不是代换结构固有的,只是因为分 组长度太小。如果分组长度n足够大,而且从 明文到密文可有任意可逆的代换,那么明文 的统计特性将被隐藏而使以上的攻击不能奏 效
• 从实现的角度来看,分组长度很大的可逆 代换结构是不实际的。
2018/10/5 9
⑤ 数据扩展尽可能地小。一般无数据扩展, 在采用同态置换和随机化加密技术时可引 入数据扩展。 ⑥ 差错传播尽可能地小。 • 要实现上述几点要求:
– 首先要在理论上研究有效而可靠的设计方法 – 而后进行严格的安全性检验 – 要易于实现
2018/10/5
10
§3.1.1 代换
• 如果明文和密文的分组长都为n比特,则明文 的每一个分组都有2n个可能的取值。为使加密 运算可逆(使解密运算可行),明文的每一个 分组都应产生惟一的一个密文分组,这样的变 换是可逆的, • 称明文分组到密文分组的可逆变换为代换。
差分攻击原理
差分攻击原理密码学的发展使得网络和网络交互变得更加安全,并通过加密技术来保护用户的隐私和信息安全。
但是,经常出现新的攻击方式使得加密技术变得不够安全。
差分攻击作为一种比较新的攻击方式,使得密码学要面对新的挑战。
本文将深入探讨差分攻击原理。
差分攻击被广泛用于分组密码,它旨在寻找分析密码算法的弱点。
差分攻击利用密码算法中数据之间的差异来构造密钥。
攻击者通过构造特定的明文来观察密文的变化,然后利用差分相等来分析密钥。
在这种攻击中,攻击者从密文和明文之间的差异中提取有关密钥的信息。
分组密码算法将明文数据分成块,并且每个数据块都被转换为密文数据块。
差分攻击者将两个密文数据块之间的差异与与任意两个相应的明文数据块之间的差异进行比较。
攻击者会从中得到一个统计信息,他们将利用统计信息来构造密钥。
攻击者会继续修改明文数据,检查由此产生的密文之间的差异,并将其与他们之前收集的统计信息进行比较。
在分析了足够的数据之后,差分攻击者将能够识别密钥的部分或全部。
差分攻击的成功取决于攻击者的观察和分析能力。
他们必须能够分析密码算法的明文/密文对之间的差异,并从中提取有关密钥的信息。
差分攻击者还需要能够构造明文/密文对,并通过比较这些对之间的差异来获取有关密钥的更多信息。
攻击者可以使用计算机程序来执行攻击,并尝试找到最有效的攻击方式。
虽然差分攻击在密码学中被广泛讨论,但仍有一些方法可以防御这种类型的攻击。
一种常见的防御方法是使用差分难度。
差分难度是一个与密码算法相关的值,用于衡量针对该算法执行差分攻击的难度。
给定差分难度值,分析算法的难度将会增加,从而减少攻击者成功攻击密码的可能性。
另一种常见的防御方法是增加轮数。
当使用轮数较多的密码算法时,攻击者需要处理更多的密文对和明文对,从而使差分攻击变得更加困难。
总之,差分攻击是一种针对密码算法的常见攻击方式。
通过观察密文和明文之间的差异以及构建明文/密文对,攻击者可以从中提取有关密钥的信息。
1、密码体制分类及典型算法描述
1、密码体制分类及典型算法描述密码体制分为三类:1、换位与代替密码体质2、序列与分组密码体制3、对称与非对称密钥密码体制。
典型算法描述:2、试对代替密码和换位密码进行安全性分析。
1.单表代替的优缺点优点: 明文字符的形态一般将面目全非缺点: (A) 明文的位置不变; (B) 明文字符相同,则密文字符也相同; 从而导致:(I) 若明文字符e被加密成密文字符a,则明文中e的出现次数就是密文中字符a的出现次数; (II) 明文的跟随关系反映在密文之中. 因此,明文字符的统计规律就完全暴露在密文字符的统计规律之中.形态变但位置不变 2. 多表代替的优缺点优点: 只要(1) 多表设计合理,即每行中元互不相同,每列中元互不相同.(这样的表称为拉丁方表) (2) 密钥序列是随机序列即具有等概性和独立性。
这个多表代替就是完全保密的。
等概性:各位置的字符取可能字符的概率相同独立性在其它所有字符都知道时也判断不出未知的字符取哪个的概率更大。
2. 多表代替的优缺点密钥序列是随机序列意味着1密钥序列不能周期重复2密钥序列必须与明文序列等长3这些序列必须在通信前分配完毕4大量通信时不实用5分配密钥和存储密钥时安全隐患大。
缺点周期较短时可以实现唯密文攻击。
换位密码的优缺点优点: 明文字符的位置发生变化;缺点: (A) 明文字符的形态不变;从而导致: (I) 密文字符e的出现频次也是明文字符e的出现次数; 有时直接可破! (如密文字母全相同) 换位密码优缺点总结:位置变但形态不变. 代替密码优缺点总结: 形态变但位置不变3、ADFGX密码解密过程分析1918年第一次世界大战已经接近尾声。
为了挽回日趋不利的局面德军集中了500万人的兵力向协约国发动了猛烈的连续进攻。
采用一种新密码ADFGX密码体制。
该密码用手工加解密费时不多符合战地密码的基本要求。
进行了两次加密有两个密钥一个是代替密钥棋盘密钥一个是换位密钥。
其结果是把前面代替加密形成的代表同一明文字符的两个字母分散开破坏密文的统计规律性。
分组密码的攻击方法与实例分析
分组密码的攻击方法与实例分析快速发展的网络技术和普及了计算机的应用,已经成为现代社会的重要组成部分。
作为一种必要的措施,用信息安全技术来保护数据和系统安全受到了广泛重视。
其中,分组密码技术作为最常用的信息安全技术,被广泛地应用于网络安全、电子商务安全等领域,已经发展成为重要的数据保密手段和密码技术理论。
但是,无论是在实践中还是在理论中,由于其本身特点,分组密码技术面临着攻击方法,被攻破也是不可避免的。
首先,从定义来看,分组密码技术是通过将明文映射成一组加密码,使攻击者无法推测出原始信息,从而保证信息安全。
分组密码技术也是一种非对称加密,具有无法破解、保护信息安全等特点,可用于文本、图像、视频等的加密。
但由于其易受到统计攻击、差分攻击、伪造攻击等攻击,也严重影响了它的安全性。
首先,统计攻击是一种常见的攻击方法,可以破解分组密码技术。
统计攻击主要是通过分析给定的加密信息,从而推断出明文信息的过程。
统计攻击的执行者可以分析出加密信息中的特征,并与明文信息的特征做比较,从而推测出明文信息,实现对分组密码的破解。
其次,差分攻击也是分组密码的一种常见的攻击方法,原理是分析两个相邻密文的差分,以便破解给定的分组密码。
基本原理是:分析两个相邻的分组密文差分,推断出加密时所用的密钥流,从而实现对分组密码的破解。
此外,伪造攻击也是一种令人担忧的攻击方式,采用伪造攻击可以对分组密码产生威胁。
原理是:它可以将一个未经授权的加密信息伪装成一个由攻击者自己授权的消息,从而冒充有权用户拥有一个非法的加密信息。
伪造攻击可用于破解分组密码,实现对分组密码的攻击。
最后,编码攻击是指破解分组密码的攻击方式,它是通过攻破分组密码算法所实现的。
它在给定密钥的情况下,可以解密出明文信息,也可以破解出密钥结构,从而破解出分组密码。
以上三种攻击方式都可以对分组密码技术实施攻击,从而使信息安全受到威胁。
由此可见,尽管分组密码技术在信息安全方面有许多优势,但也必须对其进行有效的防范和攻击,才能使其真正成为信息安全的一大助力。
识别密文加密类型的方法
识别密文加密类型的方法密文加密类型的识别方法是通过分析密文的特征和特性来确定加密算法的类型。
一般而言,密文加密类型的识别可以从以下几个方面入手:加密算法的基础和特点、密文的统计性质、密文的周期、密文的长度等等。
首先,在识别密文的加密类型之前,需要对各种常见的加密算法进行了解和了解。
主要的加密算法有对称加密算法(如DES、3DES、AES、RC4等)、非对称加密算法(如RSA、ElGamal等)以及哈希算法(如MD5、SHA-1等)。
在了解这些算法的基本原理和特点之后,我们可以根据密文的特征来确定加密算法的类型。
其次,我们可以通过对密文的统计性质进行分析来确定加密算法的类型。
具体来说,密文的统计性质包括密文字符的频率分布、重复出现字符的个数和位置等。
例如,如果密文中的字符频率分布符合英文明文字符的频率分布情况,那么可能是一种简单的替换式加密算法(如凯撒密码)。
另外,如果密文中出现了重复的字符且位置相同,那么可能是一种基于置换的加密算法。
通过对密文的统计性质进行分析,我们可以初步推测加密算法的类型。
此外,密文的周期性特征也可以帮助我们确定加密算法的类型。
周期性特征是指如果通过改变密钥或者明文进行加密,密文的周期性特征会有一定的规律。
例如,对于一种基于置换的加密算法,加密结果会出现周期为n的特征,而对于一种分组密码算法,加密结果会出现周期为n的特征。
通过对密文的周期性特征进行分析,我们可以初步确定加密算法的类型。
此外,密文的长度也是识别加密类型的重要指标之一。
一般而言,密文的长度会受到加密算法的影响,不同类型的加密算法会产生不同长度的密文。
例如,对称加密算法产生的密文长度与明文长度一致,而非对称加密算法则会产生较长的密文。
通过对密文的长度进行分析,可以排除一些加密类型。
综上所述,识别密文加密类型的方法包括分析加密算法的基础和特点、密文的统计性质、密文的周期、密文的长度等等。
通过综合分析这些特征,我们可以初步确定加密算法的类型,从而进行后续的解密工作。
几个轻量级分组密码算法的安全性分析
几个轻量级分组密码算法的安全性分析随着信息技术的飞速发展,密码学作为保障信息安全的核心技术,在现代信息安全领域中发挥着越来越重要的作用。
分组密码作为现代密码学的一个重要分支,其研究内容主要包括分组密码设计和分析两个方面。
一方面,密码设计人员的目标是设计出能够抵抗所有已知攻击的安全强度高的密码算法,而另一方面,密码分析者是在努力寻找密码算法的安全性漏洞和破译密码算法的攻击方法。
这两方面的研究相互促进,共同推动了分组密码理论的发展。
随着物联网的发展,RFID芯片和无线传感网络等微型计算设备的应用越来越广泛,在给人们的生活带来了极大便利的同时,如何确保了这类资源受限设备上信息的安全性,越来越引起密码学家的重视。
为了适应物联网上所使用的微型计算设备资源受限的特点,设计既具有低功耗和低资源占用又满足所需要的安全性要求的轻量级分组密码算法应运而生。
例如TWINE,PRESENT,LED,LBlock,SIMON 和 SPECK 等。
由于轻量级分组密码的设计目标是力求寻找安全性与执行性能的最佳折衷,然而在受限环境下运行的密码算法受资源条件约束,算法的安全性必然会受到一定影响,因此对轻量级密码算法的安全性评估显得尤为重要。
2005年,王小云教授提出了模差分比特分析方法和消息修改技术,破解了MD系列Hash函数,引起了 Hash函数研究的新高潮。
在分组密码研究中,因为密钥是未知的,不能直接运用消息修改技术。
分组密码中带密钥的比特条件方程如何求解?对于该困难问题,我们提出了动态密钥猜测的技术,取得了两项重要成果。
第一,我们充分研究密码算法中非线性运算的异或差分特性,提出基于比特的动态密钥猜测技术,极大地降低了猜测密钥的空间。
第二,对4比特S盒的差分特性进行了详细的分析,提出基于半字节运算的密钥猜测技术求解条件方程,降低攻击的复杂度。
使用该方法对轻量级分组密码算法SIMON和LBlock进行安全性评估,主要研究成果简要介绍如下:· SIMON族分组密码算法的动态密钥猜测差分分析SIMON算法是美国国家安全局(NSA)于2013年提出的一族分组密码算法,其设计思路是使之在硬件上有较高的性能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第27卷第3期 2015年6月 军械工程学院学报 Journal of Ordnance Engineering College V01.27 NO.3
Jun.2015
doi:10.3969/j.issn.1008—2956.2015.03.011
分组密码算法密文的统计检测新方法研究 吴杨,王韬,李进东 (军械工程学院信息工程系,河北石家庄050003)
摘要:为评估分组密码算法密文的统计分布特征,从统计密文中比特0和1的频数、连续比特0和1的频数及固定 分块长度内比特1出现频数的角度出发,定义了对应的密文统计检测值.通过对比分析不同分组密码算法密文统计 检测值间的差异性,进一步挖掘出检测值中所包含的显著特征值.对AES、Camellia、DES及3DES算法密文的统计 检测结果表明,提出的方法可有效提取对应分组密码算法密文的统计检测值及其显著特征值. 关键词:分组密码;算法识别;显著特征值;统计检测 中图分类号:TP309 文献标识码:A 文章编号:1008—2956(2015)03—0058—07
Research on New Statistical and Testing Method for Ciphertexts of Block Cipher
WU Yang,WANG Tao,LI Jin—dong (Information Engineering Department,Ordnance Engineering College,Shijiazhuang 050003,China)
Abstract:To evaluate the statistical distribution characteristics of ciphertexts,the corresponding statistical and testing values are defined according to the frequency of one and zero bit,the frequency of sequential one and zero bit,the frequency of one bit in hitstream blocks with fixed length in ciphertext.The distinct characteristics are mined according to the differences of the statistical and testing values of cipher texts from different block ciphers.The statistical and testing results of the cipher texts of AES,Camellia,DES and 3DES demonstrate that the proposed method can extract the statistical values of corresponding block cipher and their distinct characteristics effectively. Key words:block cipher;algorithm identification;distinct characteristic;statistic and test
在信息安全领域,分组密码算法以其易于标准 化及运算速度快等特点得到广泛应用,其安全性也 自然备受关注.分组密码算法统计检测对评估算法 安全性及指导算法的设计与改进均具有重要意义, 广大研究者针对分组密码及其他类型密码算法的统 计检测技术进行了大量的研究.分组密码算法统计 检测的分析对象主要是算法执行过程中的各轮输 出,而评价分组密码算法安全性的重要内容包括密 码算法输出的随机性检测和密码算法的扩散特性等 研究.分组密码的扩散特性主要包括密钥的扩散特 性和明文的扩散特性L1].密钥(明文)扩散特性指分 组密码对密钥(明文)的变化应该是敏感的,即密钥 (明文)的雪崩现象.根据严格雪崩准则,每变化密钥 (明文)任一比特,应导致密文分组大约一半比特的 变化,以此来评估算法的安全性.大量的数学统计分 析方法已被应用于对分组密码算法密文的统计检测 工作中,如何提出更加有效的统计检测方法,一直是 广大研究者关注的热点.
收稿日期:2015-05—12;修回日期:2O15一O6—12 基金项目:国家自然科学基金资助项目(61173191) 作者简介:吴杨(1985一),男,博士研究生.主要研究方向:网络协议识别 第3期 吴杨等:分组密码算法密文的统计检测新方法研究 1相关工作 在密码算法统计检测研究领域,相关工作主要 围绕分组密码算法的扩散特性、评估测试标准及方 法的建立等内容展开.针对分组密码扩散特性的依 赖性测试方法,文献[23从统计分析分组密码算法扩 散特性的角度出发,对其中各统计量的概率分布进 行了分析,并以AES_3]为分析对象,对其扩散特性 进行了研究,其研究的基础在于能够严格控制算法 的输人过程.文献[4]则针对分组密码随机性检测的 量化评估问题,以模糊多准则决策为基础,给出了分 组密码随机性评估模型,并与NIST的检测结果进 行了比较分析.文献[53对分组密码算法的自相关检 测的参数选择问题进行了研究,分析了检测参数子 集内参数间的关系,确定了检测过程中首选的移位 位数,其检测过程主要是通过移位的方式改变算法 输入,以此评估输出序列间的相关性.Juan等 基于 NIST测试包对AES和伪随机数生成器[7 输出序 列的随机性进行了测试.文献E83在介绍随机性测试 方法的数理统计原理及密码算法随机性测试流程的 基础上,利用NIST测试包中的16种常见随机性测 试方法,对欧洲加密标准Camellialg 进行了随机性 测试,分析验证了Camellia密文的随机性.Dileep 等_1。。对AES、DES及3DES等密码算法中不同字符 出现的频数进行了统计,并建立了对应的字典表,提 出了基于支持向量机的分组密码识别方案. 综上所述,当前广大研究者分析的对象主要为 单一的密码算法,如何比较分析不同分组密码算法 密文的统计特征,还有待进一步开展相关方面的研 究.文献[11]基于随机性检测方法,对分组密码密文 的随机性度量值分布特征进行了研究,提出了基于 分组密码密文随机性度量值分布特征的分组密码算 法识别方案。在文献[11]的基础上,笔者将提出一种 更加高效的针对典型分组密码算法AES、Camellia、 DES及3DES密文的统计检测新方法,为进一步开 展基于密文统计检测方法的分组密码算法识别奠定 基础. 2分组密码算法密文的统计检测方法 2.1基本思想 从统计学的角度来说,不同分组密码算法的密 文中比特0和1的出现频数、连续的比特0和1的 出现频数及固定长度分块内比特0和1的出现频数 等信息存在着一定的差异性.分组密码算法密文统 计检测采用的思想是首先定义与密文中比特0和1 的出现频数、连续的比特0和1的出现频数及固定 长度分块内比特0和1的出现频数相关的统计检测 值,而后进一步提取出可表征对应分组密码算法密 文统计检测特征的显著特征值. 2.2统计检测值的定义 2.2.1码元频数统计检测值 定义码元频数统计检测值的目的在于统计并检 测不同分组密码算法密文中比特0和1频数的分布 特征.对于分组密码算法的密文而言,其包含的比特 0和1应具有相同的出现频数.为便于描述,定义长 度为 的密文为C 一c ,C。,…,C…在提取密文C 的码元频数统计检测值过程中,首先基于z,一 2c,一1变换,构造出新的序列X 一 ,z ,…,,27 , 并统计序列X 的二项式和S ===z +z +…-4-z… 定义密文c 的码元频数统计检测值为 厂 一一Si. (1) 对于密文C 的码元频数统计检测值而言,当密文 中全为比特0或1时,_厂 可取得极值一1或1.因此, , 的取值范围为[一1,1].而对于分组密码密文的 码元频数统计检测值而言,其取值一般以0为中心 点,呈现出正态分布特点. 2.2.2游程频数统计检测值 游程为比特序列的子序列,由连续的0或1分 别构成0游程或1游程.定义密文的游程统计检测 值的目的在于统计不同分组密码算法密文中连续的 比特0和1的分布情况.首先,令Z 为密文C 中长 度为J的0游程的频数,0 ,为密文C 中长度为J 的1游程的频数.定义密文的游程统计检测值r 为 1 |1 r 一二> (0 ,一Z )。, (2)
d j—=—l 其中,a为密文中包含的最长游程的长度.
下面从理论角度对密文C 中包含的最长游程 长度的取值情况进行分析.理论上,随机序列中的0 游程和1游程的出现频数应是相同的.如前所述, 0 为游程长度为 时的1游程的出现频数,Z 为 游程长度为J时的0游程的出现频数.随机序列的 理论游程频数O ,(或Z ,)与序列长度 间满足m]
一On一20∞一2 O 3一…一2j一1O f一…, o
(3)
根据理论游程频数与序列长度间的关系可得,不同 长度的游程频数满足 军械工程学院学报 O , 一 , (4)
O 一 Y/i.
当0或1游程的长度值最大时,可认为该游程 出现频数近似为1.因此,0或1游程的最长游程长 度可表示Ot—log ?-/ 一2.从理论角度来说,随着 的增加,最长游程的长度也会随之增加.但对于分组 密码的密文而言,由于其分组长度相对固定,其最长 游程的长度与密文长度Y/ 在其密文的分组长度内 有着上述对应关系.由于分组密码的密文分组长度 有限且并非真正意义上的随机序列,因此,由0t— log 一2估计获得的分组密码算法密文的最长游 程长度一般小于实际的游程长度值. 2.2.3块内频数统计检测值 定义块内频数统计检测值的目的在于统计密文 序列以M为分块长度时,其各分块内比特0和1频 数的分布情况.在计算该统计检测值过程中,采用非
重叠分块方式将长度密文c 划分为N 一L /mj 个分块,丌,为第J个分块内比特1的出现概率.定义 密文的块内频数统计检测值为 叁 一 ㈤
由式(5)可知,当所有密文分块内比特1的出现 概率为1/2时,统计量b 将取得最小值0;当所有密 文分块内比特1的出现概率为1或0时,b 将取得 最大值1/4.对于多数分组密码算法而言,在一定的 分块长度条件下,其密文分块内比特l或0的出现 概率应尽量接近1/2.从理论角度来说,不同分组密 码算法其块内频数统计量同样具有正态分布特点. 2.3统计检测值的显著特征值提取 获得不同分组密码算法密文的上述统计检测值 后,可采用文献El13中的方法确定一定密文样本量 条件下不同分组密码算法的码元频数、游程频数及 块内频数统计检测值的不同取值个数,并将具有相 似取值个数的分组密码算法划分到相同的集合中. 对于处于同一集合中的分组密码算法而言,需进一 步提取其码元频数、游程频数及块内频数统计检测 值的显著特征值,以明确不同分组密码算法密文统 计检测值分布特点.在统计处于同一集合中的分组 密码算法A和D的密文统计检测值的显著特征值 过程中,设定其各自的密文分组数为g,而每组密文 的样本量为YEt,算法A的第i组密文G 可表示为 G 一(C ,C ,…,C ,…,C,5), (6) 式中:1≤i≤g,1≤ ≤m,c5为算法A的第i组密 文的第J条密文.算法D的密文采用同样方式予以 表示,不再赘述.算法A和D密文的统计检测值的 显著特征值提取过程如下. Step1统计获得算法A的密文分组G 、算法 D的密文分组G 的统计检测值厂、r和b.以G 为 例,其统计检测值可表示为 fFA一(fA,厂 ,…,/ ), 尺 一(r ,r ,…,r A ), (7) 【B 一(bA,6是,…,6A埘), 其中,F 、R 及B 分别为密文分组G 的统计检 测值,、r及b的集合., 、r 及乃 分别为算法A的 第i组密文中第J条密文对应的统计检测值. Step2 重复Step1统计获得分组密码算法A 的g组密文的统计值F 、R 及B ,算法D的g组 密文的统计值F 、R 、B . Step3对算法A进一步构造如式(8)所示的 统计量F 、R 和B .算法D的统计量FB、RB和 B 采用相同的构造方法予以确定: fF —Ff U F U…U F , R 一R U R U…U R , (8) IB —B U B U…U B . Step4 获得算法A的统计量FG、RO、Be,算 法D的统计量FB、R己和B己后,分别统计FG与 F己、R 与RB、BG与B己各自集合所特有的统计检 测值,并将其作为算法A、D统计检测值的显著特征 值.以算法A的统计检测值的显著特征值集合为 例,可表示为 fzA一(P 一1,g 一2,…,P 一 ), E 一(eA一】,e —2,…,eA一 ), (9) lE§一(P台一 ,P§一 ,…,P§一 ), 式中:E 、E金及E 分别为算法A的统计检测值 _厂、r和b的显著特征值集合,W 、W 及W。分别为 算法A的统计检测值厂、r、b所包含的显著特征值 个数,e … 盒一 及 一 则表示对应的集合E 、E 及E§中的第i个显著特征值. 2.4密文样本量的选择 以上密文统计检测显著特征值的提取是在一定 密文样本量条件下展开的.当密文样本量过少时,提 取的特征值信息并不足以反映不同分组密码算法密