密码分析之代数攻击简介

代数攻击简介

---

密码分析是为了还原加密的密文而对密码或系统进行分析的研究.顾名思义,代数密码分析是密码分析方法的一种,主要利用代数技术,如方程求解算法.对于具有简单代数结构的密码,例如具有低代数度的轮函数的密码协议(例如DES的轮函数是一个对合变换),代数密码分析被证明是强大的.

动机(Motivation)

具有简单代数结构的对称加密算法(意即抗代数攻击)正从许多要求具备轻量级实现、高效隐秘对策和低乘法复杂性等特定需求的应用场景中涌现出来.

实现轻量级方案的方法之一是最小化算法circle的logic area(逻辑实现电路的复杂度).为了具有尽可能小的logic area,优先使用具有低代数次数和稀疏代数表示的轮函数.一个显著的例子是流密码Trivium.低阶稀疏基元的另一个优点是降低了侧信道密码攻击对抗的实现成本.例如,SHA-3 winner Keccak和认证加密方案ASCON旨在通过使用稀疏二次轮函数来降低隐秘对策(masking countermeasures)的成本.在多方计算(MPC)、全同态加密(FHE)和零知识证明(Zero-Knowledge proof)的背景下,提出了许多新的对称原语.这些原语的主要设计目标是最小化乘法复杂度,即最小化实现电路中的乘法次数/最小化电路的乘法深度.分组密码LowMC和MiMC是最早专门用于多方计算(MPC)和全同态加密(FHE)的设计之一.

分析上述密码的安全性是一个重大挑战.因此毫不奇怪,代数密码分析在分析中起着核心作用.

代数攻击(Algebraic Attacks)

代数攻击的主要思想是通过求解包含消息、密文和密钥bit的非线性方程组来反向推导密钥.这个想法最早可以追溯到香农的开创性工作(但是由于那会儿计算机算力的限制这个idea并未引起关注).典型的代数攻击有两个阶段:

• 首先,攻击者建立足够多的低阶或结构化(多元)非线性方程;

• 然后通过求解方程组恢复密钥bit;

请注意,对于密码分析,第一步只需要执行一次.最常用的代数方程组求解算法包括线性化算法(设新变元进行降次)和Gröbner基算法.线性化通过用新变量替换非线性高次项来求解所得到的非线性方程组.具体地说,每个非线性高次单项式都被一个新变量替换.然后得到的新方程组是纯线性的,可以用高斯消去法求解.另一类求解多元代数方程组的通用算法是基于Gröbner基的.在实践中,如果方程数量不太多,也可以转化问题并使用自动工具求解,包括SAT求解器.

通常很难从设计良好的密码协议中找到低代数度或结构化的方程组.考虑到求解一般非线性方程的困难性,大多数密码自然不受普通代数攻击的威胁.代数攻击的一个成功应用是对基于线性反馈移位寄存器的流密码的攻击.最近的一个相关研究工作是对Marvelous和MiMC的Gröbner基攻击 [1].

高阶差分和立方体攻击(Higher Order Differential and Cube Attacks)

高阶差分和立方体攻击将目标密码视为一个多变量多项式.然而,对于真实世界的密码,构造出的多项式可能极其复杂.该策略是通过对输入空间的一些子集或子空间的求和操作来考虑多项式的简化版本.因此,简化后的多项式比原来的复杂多项式更容易处理.

首先介绍布尔函数的一阶导数和高阶导数.令$F(x)$是 { 0 , 1 } n \{0,1\}^{n} {0,1}n到 { 0 , 1 } m \{0,1\}^{m} {0,1}m上的函数.对于任意的 v ∈ { 0 , 1 } n v \in\{0,1\}^{n} v∈{0,1}n,$F$关于$v$的差分即为函数:

$$D_{v}F(x)=F(x)\oplus F(x\oplus v)$$

对于任意的$k$-维子空间 V ⊂ { 0 , 1 } n V \subset\{0,1\}^{n} V⊂{0,1}n和对$V$中任意的基 { v 0 , ⋯   , v k − 1 } \{v_{0}, \cdots, v_{k-1}\} {v0​,⋯,vk−1​},其关于$V$的对$F$的$k$-阶差分是定义如下的函数:

D V F ( x ) = D v 0 D v 1 ⋯ D v k − 1 F ( x ) = ⨁ u ∈ V F ( x ⊕ u ) , ∀ x ∈ { 0 , 1 } n D_{V} F(x)=D_{v_{0}} D_{v_{1}} \cdots D_{v_{k-1}} F(x)=\bigoplus_{u \in V} F(x \oplus u), \forall x \in\{0,1\}^{n} DV​F(x)=Dv0​​Dv1​​⋯Dvk−1​​F(x)=u∈V⨁​F(x⊕u),∀x∈{0,1}n

给出一个实例:令$f\left(x_0,x_1,x_2,x_3\right)=x_0\oplus x_1\oplus x_1{x}_2\oplus x_2{x}_3$.然后$D_{(1,0,0,0)}f(x)=1,D_{(0,0,1,0)}f(x)=x_1\oplus x_3$,并且$D_{(1,0,0,0)}{D}_{(0,0,1,0)}f(x)=0$.在此例中,差分操作后的代数度必然比原函数低.这并不是巧合.实际上,可以证明,函数的任何一阶导数的阶数都严格小于函数的阶数.这意味着对任意的子空间$V$且其空间维度大于等于$\text{deg}(F)$,我们有:

$$D_{V}F(x)=\{\begin{array}{ll}\text{ constant, }& \text{ if }\dim (V)=\mathrm{deg}(F)\\ 0,& \text{ if }\dim (V)>\mathrm{deg}(F)\end{array}$$

对所有的 x ∈ { 0 , 1 } n x \in\{0,1\}^{n} x∈{0,1}n成立.上述特性称为高阶差分特性(higher order differential property),可用于获取有关消息或密钥bit的信息.

立方体攻击(Cube Attacks) 利用了比高阶差分性质更微妙的性质.通过仔细选择求和空间,可以得到具有一些可检测性质的约化多项式:(非)恒常性、线性、平衡性和中性等.在上述例子中,差分$D_{(0,0,1,0)}f(x)=x_1\oplus x_3$是线性化的.因此它可用于生成关于$x_1,x_3$的线性方程. 立方体攻击在分析流密码(包括Trivium和类似Trivium的设计)时非常强大.在[2]中可以找到这方面的一些进展.

插值攻击(Interpolation Attacks)

插值攻击还考虑了被分析原语的多项式表示.但在这里,我们试图恢复多项式的一些系数,以推断有关密文的信息.假设对称密钥原语具有未知密钥$K$,明文/密文对表示为$(x,y)$,以及一个中间bit $z$.我们考虑如下多项式:

• $y=F(K,x)$代表加密过程;

• $z=F_1(K,x)$代表加密方向的代数关系;

• $z=F_2(K,y)$代表解密方向的代数关系.

对于足够多的已知或选定的明文/密文对,可以通过多项式插值或求解线性方程组来重构目标多项式的某些未知系数.我们注意到这些系数与密钥相关.然后可以应用各种策略来恢复密钥 $K$(包括之前说的解多项式方程组的方法).最近的一个插值攻击的工作是针对分组密码MiMC的攻击 [3].

参考文献

1. Martin R. Albrecht, Carlos Cid, Lorenzo Grassi, Dmitry Khovratovich, Reinhard Lüftenegger, Christian Rechberger, Markus Schofnegger: Algebraic Cryptanalysis of STARK-Friendly Designs: Application to MARVELlous and MiMC. IACR Cryptology ePrint Archive 2019: 419 (2019)
2. Qingju Wang, Yonglin Hao, Yosuke Todo, Chaoyun Li, Takanori Isobe and Willi Meier: Improved Division Property Based Cube Attacks Exploiting Algebraic Properties of Superpoly. Advances in Cryptology-CRYPTO 2018 (I): 275-305, 2018
3. Chaoyun Li and Bart Preneel: Improved Interpolation Attacks on Cryptographic Primitives of Low Algebraic Degree. Selected Areas in Cryptography 2019. Available on IACR Cryptology ePrint Archive 2019: 812 (2019)
4. ALGEBRAIC CRYPTANALYSIS: A SHORT INTRODUCTION (https://www.esat.kuleuven.be/cosic/blog/algebraic-cryptanalysis/)