0 引言

1949年Shannon發(fā)表了經(jīng)典論文“Communication Theory of Secrecy System”[1]，該文從抵抗攻擊的角度出發(fā)，提出了加密算法的“混淆”和“擴(kuò)散”準(zhǔn)則?；煜蛿U(kuò)散成功地實(shí)現(xiàn)分組密碼明文、密鑰和密文之間呈現(xiàn)多種偽隨機(jī)性質(zhì)，因而成為現(xiàn)代分組密碼設(shè)計的重要原則之一。進(jìn)一步，Shannon還在文章中介紹了代替(Substitution)-置換(Permutation)網(wǎng)絡(luò)(簡稱SPN)，其主要是基于代替S盒和P置換兩種最基本組件的密碼運(yùn)算，又叫做混合變換(mixing transfor-mations)。不同的混合變換組合成了不同的整體結(jié)構(gòu)，以實(shí)現(xiàn)“混淆”和“擴(kuò)散”的目標(biāo)。目前分組密碼中比較主流的整體結(jié)構(gòu)有Feistel結(jié)構(gòu)、SP結(jié)構(gòu)、廣義Feistel結(jié)構(gòu)、MISTY結(jié)構(gòu)等。

隨著分組密碼設(shè)計與分析的發(fā)展，一方面算法結(jié)構(gòu)方面的研究越來越細(xì)化，比如Feistel-SP組合結(jié)構(gòu)、ARX結(jié)構(gòu)、基于邏輯單元設(shè)計的整體結(jié)構(gòu)等[2-4]；同時，以往主要用于分組密碼的整體結(jié)構(gòu)越來越廣泛地應(yīng)用于網(wǎng)絡(luò)空間安全領(lǐng)域的數(shù)據(jù)快速加密認(rèn)證體制中，如序列密碼設(shè)計、Hash函數(shù)設(shè)計以及認(rèn)證加密算法設(shè)計等，最具代表性的是2018年NIST發(fā)起的輕量級認(rèn)證算法征集活動，第一輪候選算法廣泛采用了這些整體結(jié)構(gòu)。另一方面對結(jié)構(gòu)的安全性分析和證明也有了豐富的成果[5-9]。與差分分析、線性分析相比，不可能差分區(qū)分器基于截斷差分構(gòu)建，對于差分性能較好的算法攻擊效果更好，如對CLEFIA的攻擊可以達(dá)到13輪[10]，對Camellia的攻擊最長可以達(dá)到14輪[11]；然而，密碼學(xué)者們更多地關(guān)注具體密碼算法的不可能差分安全性，對于一般的結(jié)構(gòu)安全性分析證明較少，以至于新的密碼算法設(shè)計會出現(xiàn)結(jié)構(gòu)方面的安全隱患，比如2019年全國密碼設(shè)計競賽中候選算法TASS1[12]，基于廣義Feistel結(jié)構(gòu)設(shè)計，并且采用了隨機(jī)密鑰池保證安全性，但是由于未對整體結(jié)構(gòu)進(jìn)行評估，導(dǎo)致了存在全輪不可能差分區(qū)分器[13]。因此，隨著信息安全技術(shù)及其應(yīng)用的快速發(fā)展，不管是現(xiàn)在還是將來，密碼結(jié)構(gòu)安全始終是密碼算法安全的首要保障。

本文對Feistel結(jié)構(gòu)、SP結(jié)構(gòu)、廣義Feistel結(jié)構(gòu)、MISTY結(jié)構(gòu)四種主要整體結(jié)構(gòu)進(jìn)行了介紹和研究，重點(diǎn)對廣義Feistel結(jié)構(gòu)的TYPE-I型、TYPE-II型和TYPE-III型進(jìn)行了詳細(xì)分析，基于這些結(jié)構(gòu)的特點(diǎn)構(gòu)建了不可能差分區(qū)分器，進(jìn)一步給出了詳細(xì)證明過程。本文研究希望能夠?yàn)榫W(wǎng)絡(luò)空間安全領(lǐng)域分組密碼、序列密碼、Hash函數(shù)、認(rèn)證加密等對稱密碼結(jié)構(gòu)的設(shè)計與分析提供參考。

本文詳細(xì)內(nèi)容請下載：http://ihrv.cn/resource/share/2000004904

作者信息：

劉  健1，畢鑫杰2，李艷俊1，2，金  達(dá)1

(1.中國電子科技集團(tuán)公司第十五研究所 信息產(chǎn)業(yè)信息安全測評中心，北京100083；

2.北京電子科技學(xué)院 密碼科學(xué)與技術(shù)系，北京100070)