隨機 Sbox 的差分和線性密碼分析
假設我們使用密鑰執行統一排列來生成一個 sbox。大量文獻支持隨機 Sbox 可以使任何加密方案更弱的說法。我已經測試並發現隨機排列的 sbox 具有弱非線性和高微分機率。我們知道,要執行差分和線性攻擊,DDT 和 LAT 應該很方便。如果我們使 sbox 鍵依賴並且每個不同的鍵都會產生一個不同的 sbox(最佳情況)。現在,如果有人嘗試執行差分/線性密碼分析,那麼考慮猜測正確 sbox 的蠻力複雜性是否合乎邏輯?如果這是合乎邏輯的,那麼應對這種攻擊的方法應該是什麼?
對秘密 SPN(即使用秘密統一 S-Box)的典型攻擊是積分,參見例如
$$ 1 $$. 即使對於 AES:S-Box 對差分/線性攻擊也太好了(MixColumns 中的強混合也是必要的),所以最好的攻擊是另一種攻擊。(不包括相關密鑰攻擊,它允許停用許多 S-Box)。
更多的問題是:在某些特殊情況下,考慮具有“隨機”差異的差分密碼分析可能確實有用。參見例如
$$ 2 $$,Feistel 函式的輸出非常小,因此選擇哪個差值無關緊要 - 無論如何,差值將足夠強。 $$ 1 $$Biryukov, A.、Khovratovich, D. 和 Perrin, L. (2017)。簡化的 Kuznyechik、Khazad 和秘密 SPN 的多集代數密碼分析。IACR 對稱密碼學交易,2016(2),226-247。https://doi.org/10.13154/tosc.v2016.i2.226-247 $$ 2 $$Orr Dunkelman、Abhishek Kumar、Eran Lambooij、Somitra Kumar Sanadhya:基於 Feistel 的格式保留加密的密碼分析。IACR 加密。電子列印拱門。2020:1311 https://eprint.iacr.org/2020/1311
正確的是
大量文獻支持隨機 Sbox 可以使任何加密方案更弱的說法
但一般來說,這樣的陳述適用於固定的公共S-box(順便說一句,通常不適用於相當大的 S-box,尤其是當它們是排列時)。但問題是關於一個依賴於密鑰的S-box(以及在此之上的一個排列),這是一個非常不同的問題。
相當大的依賴於密鑰的 S 盒通常被認為是密碼的非線性和密鑰調度/注入的一個很好的組成部分(可能來自定時攻擊的前景除外),並且一些密碼使用它們,包括Blowfish。
現在,如果有人嘗試執行差分/線性密碼分析,那麼考慮猜測正確 sbox 的蠻力複雜性是否合乎邏輯?
是的,特別是如果 S-box 是唯一依賴於密鑰的轉換,則作為攻擊複雜性的更高界限。但是對於適當的設計,這可能不足以進行攻擊。
應對這種攻擊的方法應該是什麼?
試探性:一種方法是考慮 S-box(es) 的某種差分/線性屬性,該屬性具有相當大的機率來持有隨機密鑰,表明攻擊是可能的,從而得出結論,攻擊是可能的鍵的相當大一部分。