tweak

QARMA算法的相关Tweakey不可能差分攻击

QARMA算法是在TOSC2017上发布的一族带有Tweak的轻量级分组密码算法,

它有64与128比特两种分组长度的版本,分别记为QARMA-64与QARMA-128。设n

是分组长度(n可取64与128),此时Tweak的长度为n比特,密钥长度为2n比特。

设计者声明QARMA-n可提供2n比特的安全性。目前,针对QARMA算法有一些

分析结果。

Zong等人在2016运动的十大好处 年对QAR-MA算法进行了中间相遇攻击。Yang等人于2018

年针对QARMA算法进行了不可能差分攻击,由于该攻击的复杂性珊瑚怎么养 超出了设计者的

安全性声明,所以其攻击是无效的。

目前为止,对QARMA-64算法最佳的分析结果是2019年Li等人所进行的10

轮相关Tweak统计饱和度分析,该攻击的手指转球 时间复杂度为259次10轮加密,数据复

杂度为2退烧的按摩手法 59个已知明文。对QARMA-128算法最佳的分析结果是Li等人所进行的

11轮Tweak差分不变偏差攻击,该攻击的时间复杂度为2126.1次11轮加密,数

据复杂度为2126.1个己知明文,DT(数据与时间复杂度的乘积)为2252.2.符合作

者的安全性声明,该攻击是有效的。

Zong等人提出了一种自动化搜索相关密钥不可能差白血病的初期症状 分特电脑开机死机 征的方法,受他们

方法的启发,我们对QARMA算法进行了相关Tweakey不可能差分路线的自动化搜

索。为了降低数据复杂性,我们尝试在区分器头部增加活跃字节,并通过构造结构

体来降低所需明文的数量。

根据本文所提出的扩散矩阵M的差分传递性质,结合设计者在设计文档中所

提出差分传递性质,我们对自动化工具搜索出的结果做了适量调整,得到两类6

轮相关Tweakey不可能差分区分器。该区分器从QARMA算法的第7轮开始,到第

12轮结束。

本文对QARMA算法的混淆矩阵M进行分析,发现当矩阵M的输入差分满足某

些限制条件时,可预测其输出升华和凝华 差分的某些字节是否活跃。应用该性质,结合设计者

所提出的差分传递性质,我们构造了两类6轮虾仁冬瓜汤的做法 的相关Tweakey不可能差分区分器。

接着,论文对QARMA抵抗相关Tweakey不可能差分分析的能力进行研究。基

于两个平行的区分器,使用等价密钥技术,本文对于带有外层白化密钥的

QARMA-128算法,进行了密钥恢复攻击。

该攻击的DT=2224.96,显然小于2256,容易验证该攻击有效。与前人的研究

结果相比,我们的时间与存储复杂度均有显著提升。

本文亦对10轮QARMA-64算法进行了密钥恢复攻击。基于6轮区分器,本文

分别对不带外层QARMA-64/128算法进行11轮相关Tweakey不可能差分攻击,且

攻击有效。