流密码立方攻击(基于图算法)

流密码常见概念

流密码(Stream cipher)是对称加密的一种。流密码将明文(Plaintex)看成二进制数据流，通过初始密钥生成加密密钥流$z_i$与明文流$p_i$做异或操作获得密文流$c_i$，即$c_i=p_i\oplus z_i$。由于异或操作是可逆的，则解密操作可以由相同的$z_i$获得，即$p_i=c_i\oplus z_i$。

反馈位移寄存器

位移寄存器是利用有限长度的密钥生成任意长度的密钥流$z$的重要工具，其工作原理是每生成一位加密密钥比特$z_i$，都利用寄存器自身的某些比特对寄存器的第1位进行更新，其他比特位则右移。下图展示了一个反馈位移寄存器的工作原理，寄存器的第1到4位直接右移，空出来的第1位由寄存器上一步状态的第4,5位做乘法运算并与第1位做异或运算得到。

如果寄存器的更新操作中涉及非线性运算(上图中的乘法操作就是非线性的)，则称为非线性反馈位移寄存器(Non-Linear feedback shift register，NFSR)，否则称为线性反馈位移寄存器(Linear feedback shift register，LFSR)。

轮函数

轮函数实际上是反馈位移寄存器更新操作的数学表达式，如上图展示的寄存器的表达式为：$s_1^r=s_1^{r-1}\oplus s_4^{r-1}{s}_5^{r-1}$，其中上标$r$表示轮数，下标$i$表示寄存器的第$i$位。通常，为了使流密码足够复杂，在输出第1位加密密钥比特之前要进行$R$次轮函数迭代。

Ancry

现实使用的流密码为了密码强度都设计得非常复杂(密钥多达几十甚至几百位，初始轮数$R$也非常大)，因此几乎只能从数学上对密码进行立方攻击，而实际上的破解过程需要交由计算机，这对初学者学习立方攻击造成了一定的困扰。为此本文设计了一个名为Ancry的密码算法，该算法只包含5个密钥比特，初始轮数$R=10$，每一个工作步骤都十分简洁明了。Ancry流密码的工作流程如下图所示。

Ancry的第1个寄存器的初始状态存放5bit的密钥，第2个寄存器的初始状态存放5bit的公开变量，这些变量是公开可控的。令$s=(x,v)$，则Ancry的轮函数的数学表达式为：$$s_1^r=s_8^{r-1}+s_7^{r-1}{s}_{10}^{r-1},(1)$$$$s_6^r=s_2^{r-1}+s_4^{r-1}{s}_5^{r-1},(2)$$$$z_i=s_3^{i+9}+s_9^{i+9}$$
由上述第3个表达式可以得出，输出第一位加密密钥比特之前进行了10次初始化迭代，即$R=10$。以下为Ancry的Python实现代码。

# Author:   AngieJC
# Date:     2022/01/17
# Mail:     htk90uggk@outlook.com

import sys

def Ancry(vec_x, vec_v, plaintext):  # 流密码，vec_x为密钥x，vec_v为公开参数v，plaintext为明文
    z = []  # z为输出的密钥比特

    # 初始轮数r=10
    R = 10
    x = vec_x.copy()
    v = vec_v.copy()
    for i in range(R):
        for j in range(len(vec_x) - 1):
            x[j + 1] = vec_x[j]
        x[0] = vec_v[2] ^ (vec_v[1] * vec_v[4])
        for j in range(len(vec_v) - 1):
            v[j + 1] = vec_v[j]
        v[0] = vec_x[1] ^ (vec_x[3] * vec_x[4])
        vec_x = x.copy()
        vec_v = v.copy()

    # 计算z
    cyphertext = []
    for i in range(len(plaintext)):
        # 添加一位密钥比特
        z.append(vec_x[2] ^ vec_v[3])
        cyphertext.append(z[-1] ^ plaintext[i])

        # 更新x与v
        for j in range(len(vec_x) - 1):
            x[j + 1] = vec_x[j]
        x[0] = vec_v[2] ^ (vec_v[1] * vec_v[4])
        for j in range(len(vec_v) - 1):
            v[j + 1] = vec_v[j]
        v[0] = vec_x[1] ^ (vec_x[3] * vec_x[4])
        vec_x = x.copy()
        vec_v = v.copy()

    return cyphertext

if __name__ == "__main__":
    x = input("密钥：")
    if(len(x) != 5):
        print("密钥长度应当为5！")
        sys.exit()
    vec_x = []
    for i in range(len(x)):
        vec_x.append(int(x[i]))
    # vec_x = [int(x[0]), int(x[1])]
    v = input("公开参数：")
    if (len(v) != 5):
        print("公开参数长度应当为5！")
        sys.exit()
    vec_v = []
    for i in range(len(v)):
        vec_v.append(int(v[i]))
    # vec_v = [int(v[0]), int(v[1])]
    p = input("明文：")

    plaintext = []
    for i in range(len(p)):
        plaintext.append(int(p[i]))

    cyphertext = Ancry(vec_x, vec_v, plaintext)
    print("明文：", plaintext)
    print("密文：", cyphertext)

Ancry简要分析

在介绍立方攻击之前先对Ancry进行一些简单的分析，以方便理解立方攻击的工作原理。
由于流密码的加密模式为$c_i=p_i\oplus z_i$，因此攻击者知道明文$p$和明文$c$就相当于知道密钥流$z$。
Ancry第1位加密密钥比特$z$(在不引起歧义的情况下，以下使用$z$代替$z_1$)的表达式为：$$z=s_3^{10}+s_9^{10}$$根据反馈位移寄存器的特点我们知道，一个比特生成并保存到寄存器的第一个位置后，一直在做右移操作，直到右移到寄存器的最右边被丢弃，而值并不发生任何变化，因此有$s_3^{10}=s_1^8$，$s_9^{10}=s_6^7$。再根据等式(1)和等式(2)，有$z=s_8^7+s_7^7{s}_{10}^7+s_2^6+s_4^6{s}_5^6$。对$z$一直进行递归分解，最终可以得到：$$\begin{gathered} z=v_1+x_5{v}_3+x_1{v}_3+x_1{v}_2{v}_5+x_5{v}_3+x_5{v}_2{v}_5+x_2{x}_3{x}_5+x_4{v}_2{v}_3+x_4{v}_2{v}_5 \\ +x_2{x}_3{x}_4{v}_2+v_2{v}_3+x_2{x}_3{v}_2{v}_3+v_2{v}_5+x_2{x}_3{v}_2{v}_5+v_1{v}_3{v}_4+x_2{x}_3{v}_1{v}_3{v}_4 \\ +v_1{v}_2{v}_4{v}_5+x_2{x}_3{v}_1{v}_2{v}_4{v}_5+x_4+x_3{v}_1+v_1{v}_2+v_1{v}_4+x_5{v}_2{v}_3+x_5{v}_1{v}_3{v}_4 \end{gathered}$$这个表达式称为$z$的代数范式(Algebraic Normal Form, ANF)。以上表达式是$z_1$的代数表达式，理论上来说，如果我们能够推出所有$z_i$的代数表达式，那么在实际加密过程中，也可以完全抛弃反馈位移寄存器而直接使用代数表达式计算密钥流。

读者也可以自己推出$z$的代数表达式
注意：由于二进制中有以下特性
性质1：$1^n=1,0^n=0$
性质2：$1+1=0,0+0=0$

因此$z$的代数表达式中$x^n$可以简化成$x$，$x+x$可以直接约去

立方攻击

立方攻击由Dinur和Shamir在2009年的欧密会上提出，其中的Shamir就是设计了RSA算法的三位作者中的S。
立方攻击只关心输出的第1位加密密钥比特，其中心思想是：选取一个关于公开变量$v$的立方索引$I$，把$z$的代数表达式分解成：$$z=p(x,v)t_I+q(x,v)$$其中$t_I$为被$I$索引的公开变量的连乘，即$t_I={\prod }_{i\in I}{v}_i$。说直白一点就是对$z$的代数表达式提取公因子$t_I$，$p(x,v)$为提取$t_I$之后的多项式，$q(x,v)$则为无法提取$t_I$的多项式。

例子1：
$x=(x_1,x_2,x_3),v=(v_1,v_2,v_3)$
$z=x_1{v}_1{v}_3+x_1{v}_2+x_2{v}_1{v}_2+x_2{x}_3{v}_1{v}_3+v_1{v}_3$
令 I = { 1 , 3 } I=\{1,3\} I={1,3}
则$z=(x_1+x_2{x}_3+1)v_1{v}_3+x_1{v}_1+x_2{v}_1{v}_2$
其中$p(x,v)=x_1+x_2{x}_3+1,t_I=v_1{v}_3,q(x,v)=x_1{v}_1+x_2{v}_1{v}_2$

将$z$分解成$p(x,v)t_I+q(x,v)$后我们可以得到一个非常有趣的结论，即$$\sum _{v\in C}z=p(x,v),(3)$$其中$C$是$I$所代表的立方，即$v_i\in I$取遍所有的$2^{|I|}$个0-1组合，$|I|$代表集合$I$中元素的个数。

例子1续：
I = { 1 , 3 } I=\{1,3\} I={1,3}
则$$C=\{\begin{array}{l}(0,0,0)\\ (0,0,1)\\ (1,0,0)\\ (1,0,1)\end{array}$$
由于$v_2$并不是立方元素，可以是任意值或者直接置0

证明：
$$\sum _{v\in C}z=\sum _{v\in C}p(x,v)t_I+\sum _{v\in C}q(x,v)$$
$$p(x,v)t_I=\{\begin{array}{llc}p(x,v)& & 所有的v_i\in I均等于1(C中的最后一种情况)\\ 0& & C中其他三种情况\end{array}$$
则${\sum }_{v\in C}p(x,v)t_I=p(x,v)$

又由于$v_2=0$，则$q(x,v)=x_1{v}_1+x_2{v}_1{v}_2=x_1{v}_1$，${\sum }_{v\in C}q(x,v)=0x_1+0x_1+1x_1+1x_1=x_1+x_1$，由性质2可知，${\sum }_{v\in C}q(x,v)=0$
事实上，由于$C$中共有$2^{|I|}$个元素，即偶数个元素，根据性质2，${\sum }_{v\in C}q(x,v)$必然为0

综上，${\sum }_{v\in C}z=p(x,v)$得证

现在我们我们把目光再次聚焦到Ancry，$z$的表达式已经知道，根据立方$I$选取的不同，可以将$z$分解成一下几种形式(由于${\sum }_{v\in C}q(x,v)=0$，我们并不关心其具体表达式，因此在下列例子中都没有显式给出$q(x,v)$的表达式)：

1. I = { 1 , 2 , 3 , 4 , 5 } , 无 法 分 解 I=\{1,2,3,4,5\},无法分解 I={1,2,3,4,5},无法分解
2. I = { 1 , 2 , 4 , 5 } , p ( x , v ) = x 2 x 3 + 1 I=\{1,2,4,5\},p(x,v)=x_2x_3+1 I={1,2,4,5},p(x,v)=x2​x3​+1
3. I = { 1 , 3 , 4 } , p ( x , v ) = x 2 x 3 + x 5 + 1 I=\{1,3,4\},p(x,v)=x_2x_3+x_5+1 I={1,3,4},p(x,v)=x2​x3​+x5​+1
4. I = { 2 , 3 } , p ( x , v ) = x 2 x 3 + x 4 + x 5 + 1 I=\{2,3\},p(x,v)=x_2x_3+x_4+x_5+1 I={2,3},p(x,v)=x2​x3​+x4​+x5​+1
5. I = { 2 , 5 } , p ( x , v ) = x 1 + x 2 x 3 + x 4 + x 5 + 1 I=\{2,5\},p(x,v)=x_1+x_2x_3+x_4+x_5+1 I={2,5},p(x,v)=x1​+x2​x3​+x4​+x5​+1
6. $I只有1个元素分解意义不大$

Ancry攻击实例

基本信息：
$x=(1,0,0,1,0)$
I = { 2 , 5 } I=\{2,5\} I={2,5}
$p(x,v)=x_1+x_2{x}_3+x_4+x_5+1$

根据实际加密结果，有:
$$z=\{\begin{array}{l}1,v=(0,0,0,0,0)\\ 1,v=(0,0,0,0,1)\\ 1,v=(0,1,0,0,0)\\ 0,v=(0,1,0,0,1)\end{array}$$
则${\sum }_{v\in C}z=p(x,v)=x_1+x_2{x}_3+x_4+x_5+1=1+1+1+0=1$，即$$x_1+x_2{x}_3+x_4+x_5=0,(4)$$
在没有等式(4)之前，想要通过穷举的方式破解Ancry需要遍历$2^5=32$种密钥可能的取值。而符合等式(4)的密钥取值为$$x=\{\begin{array}{l}(0,0,0,0,0)\\ (0,0,0,1,1)\\ (0,0,1,0,0)\\ (0,0,1,1,1)\\ (0,1,0,0,0)\\ (0,1,0,1,1)\\ (0,1,1,0,1)\\ (0,1,1,1,0)\\ (1,0,0,0,1)\\ (1,0,0,1,0),正确密钥\\ (1,0,1,0,1)\\ (1,0,1,1,0)\\ (1,1,0,0,1)\\ (1,1,0,1,0)\\ (1,1,1,0,0)\\ (1,1,1,1,1)\end{array}$$共16种情况，再加上遍历立方$C$的4种情况，一共需要20个步骤即可破解Ancry，比穷举破解Ancry的32种情况要优秀不少。

参考文献

[1] Delaune, S., Derbez, P., Gontier, A., & Prud’homme, C. (2021). A Simpler Model for Recovering Superpoly onTrivium. Cryptology ePrint Archive.