Attack

如果 PRESENT 有不同的排列,那會保護它免受統計飽和攻擊嗎?

  • January 31, 2022

分組密碼PRESENT易受統計飽和攻擊長達 15 輪 (PDF) ,這裡有一個簡單的範例。

我的問題是,如果某些(或全部)排列發生了變化:

  1. 這會保護它免受統計飽和攻擊嗎?
  2. 如果是這樣,那麼我們是否可以使用少於 31 發子彈而不會對“其他”攻擊造成弱點?

對於您的第一個問題,我們可以考慮更改 PRESENT 中的兩個排列:

  • 非線性層,即 S-box 的並行應用。
  • 線性層,它是按位排列。

統計飽和攻擊並不是真正基於 S-box 的屬性,因此人們可能不會期望替換它會有很大幫助。但是,S-box 確實有助於分組密碼的整體擴散,因此 S-box 的選擇確實會產生影響。您提到的論文在第 4 節(從第 12 頁開始)中詳細討論了 S-box 的影響。他們得出的結論是

值得注意的是,PRESENT S-box 是抵抗我們攻擊的最糟糕的選擇之一。

這從附錄 D 中的圖 14 非常清楚。

更好的對策是替換按位排列,因為它是導致漏洞的原因。PRESENT 的線性層也會導致其他攻擊,特別是線性密碼分析。例如,Cho 的縮減圓 PRESENT 的線性密碼分析是基於這種按位排列提供的有限擴散以及 S 盒的一位軌蹟的存在。

提出最近密碼GIFT的論文包含一些關於如何在類似 PRESENT 的分組密碼中選擇良好排列的想法。不過,他們並沒有重新審視統計飽和攻擊。

對於您的第二個問題(我們可以使用少於 31 輪),這在很大程度上取決於新的 S-box 和線性層是什麼。統計飽和攻擊可以延長到 24 輪,請參閱這些勘誤表和改進以了解正確的複雜性。多元線性密碼分析最多可以達到 26 輪或(也許)27 輪。用更強大的線性層替換按位排列可以防止這兩種攻擊,但不可能排除其他攻擊(特別是如果我們不知道替換是什麼)。

引用自:https://crypto.stackexchange.com/questions/51721