当前位置:
X-MOL 学术
›
J. Cryptol.
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
Cryptanalytic Time–Memory–Data Trade-offs for FX-Constructions and the Affine Equivalence Problem
Journal of Cryptology ( IF 3 ) Pub Date : 2019-09-13 , DOI: 10.1007/s00145-019-09332-0 Itai Dinur
Journal of Cryptology ( IF 3 ) Pub Date : 2019-09-13 , DOI: 10.1007/s00145-019-09332-0 Itai Dinur
The FX-construction was proposed in 1996 by Kilian and Rogaway as a generalization of the DESX scheme. The construction increases the security of an n -bit core block cipher with a $$\kappa $$ κ -bit key by using two additional n -bit masking keys. Recently, several concrete instances of the FX-construction were proposed, including PRINCE, PRIDE and MANTIS (presented at ASIACRYPT 2012, CRYPTO 2014 and CRYPTO 2016, respectively). In this paper, we devise new cryptanalytic time–memory–data trade-off attacks on FX-constructions. By fine-tuning the parameters to the recent FX-construction proposals, we show that the security margin of these ciphers against practical attacks is smaller than expected. Our techniques combine a special form of time–memory–data trade-offs, typically applied to stream ciphers, with a cryptanalytic technique by Fouque, Joux and Mavromati. In the final part of the paper, we show that the techniques we use in cryptanalysis of the FX-construction are applicable to additional schemes. In particular, we use related methods in order to devise new time–memory trade-offs for solving the affine equivalence problem. In this problem, the input consists of two functions $$F,G: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n , and the goal is to determine whether there exist invertible affine transformations $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ G F ( 2 ) n such that $$G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 .
中文翻译:
外汇构造和仿射等价问题的密码分析时间-内存-数据权衡
FX 结构是 Kilian 和 Rogaway 于 1996 年提出的,作为 DESX 方案的推广。该构造通过使用两个额外的 n 位掩码密钥,使用 $$\kappa $$ κ 位密钥增加了 n 位核心分组密码的安全性。最近,提出了 FX 结构的几个具体实例,包括 PRINCE、PRIDE 和 MANTIS(分别在 ASIACRYPT 2012、CRYPTO 2014 和 CRYPTO 2016 上展示)。在本文中,我们针对 FX 构造设计了新的密码分析时间-内存-数据权衡攻击。通过对最近的 FX 构建提案的参数进行微调,我们表明这些密码针对实际攻击的安全裕度比预期的要小。我们的技术结合了一种特殊形式的时间-内存-数据权衡,通常应用于流密码,以及 Fouque 的密码分析技术,茹和马夫罗马蒂。在论文的最后部分,我们展示了我们在 FX 构造的密码分析中使用的技术适用于其他方案。特别是,我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。
更新日期:2019-09-13
中文翻译:
外汇构造和仿射等价问题的密码分析时间-内存-数据权衡
FX 结构是 Kilian 和 Rogaway 于 1996 年提出的,作为 DESX 方案的推广。该构造通过使用两个额外的 n 位掩码密钥,使用 $$\kappa $$ κ 位密钥增加了 n 位核心分组密码的安全性。最近,提出了 FX 结构的几个具体实例,包括 PRINCE、PRIDE 和 MANTIS(分别在 ASIACRYPT 2012、CRYPTO 2014 和 CRYPTO 2016 上展示)。在本文中,我们针对 FX 构造设计了新的密码分析时间-内存-数据权衡攻击。通过对最近的 FX 构建提案的参数进行微调,我们表明这些密码针对实际攻击的安全裕度比预期的要小。我们的技术结合了一种特殊形式的时间-内存-数据权衡,通常应用于流密码,以及 Fouque 的密码分析技术,茹和马夫罗马蒂。在论文的最后部分,我们展示了我们在 FX 构造的密码分析中使用的技术适用于其他方案。特别是,我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。我们使用相关方法来设计新的时间-内存权衡来解决仿射等价问题。在这个问题中,输入由两个函数 $$F,G 组成: \{0,1\}^n \rightarrow \{0,1\}^n$$ F , G : { 0 , 1 } n → { 0 , 1 } n ,目标是确定是否存在可逆仿射变换 $$A_1,A_2$$ A 1 , A 2 over $$GF(2)^n$$ GF ( 2 ) n 使得 $$ G = A_2 \circ F \circ A_1$$ G = A 2 ∘ F ∘ A 1 。
京公网安备 11010802027423号