1、當(dāng)今是一個(gè)網(wǎng)絡(luò)時(shí)代，人們的生活方式與過去相比發(fā)生了很大的變化，足不出戶就可以通過網(wǎng)絡(luò)解決衣食住行中的絕大多數(shù)需求，例如，用淘寶網(wǎng)購(gòu)買所需、用支付寶進(jìn)行日常支付、用電子銀行轉(zhuǎn)賬等等。生活變得快捷而又方便。然而，事物都有兩面性，伴隨著生活的便捷而來的是財(cái)產(chǎn)安全和個(gè)人隱私的保障問題。這時(shí)，密碼的使用就是在網(wǎng)絡(luò)上對(duì)進(jìn)行保護(hù)的一個(gè)關(guān)鍵技術(shù)點(diǎn)。它是類似防火墻似的存在，是一切網(wǎng)絡(luò)活動(dòng)的基石。在網(wǎng)絡(luò)傳輸時(shí)一般使用的是對(duì)稱加密算法來進(jìn)行加密操作，如流密碼

2、算法和分組密碼算法。因此，對(duì)現(xiàn)有的被廣泛重視和使用的分組密碼算法和流密碼算法的安全性進(jìn)行研究和分析是非常有必要的。在本文中，首先，針對(duì)分組密碼算法建立統(tǒng)計(jì)積分區(qū)分器和多結(jié)構(gòu)體統(tǒng)計(jì)積分區(qū)分器新模型，并將模型應(yīng)用于實(shí)際算法中;其次，基于MILP方法首次將S盒的差分特征和線性特征考慮進(jìn)不可能差分路線和零相關(guān)路線的自動(dòng)化搜索中，首次給出ARX算法通用的不可能差分路線和零相關(guān)路線的自動(dòng)化搜索方法，并將該方法應(yīng)用于實(shí)際算法中;最后，在相關(guān)密鑰場(chǎng)景下

3、利用不可能差分方法給出流密碼算法Lizard的安全性分析結(jié)果。具體結(jié)果如下。
　　提出分組密碼算法統(tǒng)計(jì)積分區(qū)分模型，并利用該模型理論破解Skipjack變種算法、給出CAST-256的最優(yōu)攻擊結(jié)果和IDEA的最優(yōu)積分攻擊結(jié)果:積分攻擊是對(duì)稱密碼領(lǐng)域最強(qiáng)大的分析方法之一，被廣泛的應(yīng)用于分組密碼算法的安全性分析中。它是基于概率為1的平衡特性來構(gòu)建區(qū)分器。攻擊者可以通過固定輸入的一部分比特而遍歷剩下的所有比特的可能取值，觀察相應(yīng)的輸出值

4、在某些比特上是否為均勻分布來區(qū)分真實(shí)算法和隨機(jī)置換。為了增加積分區(qū)分器的覆蓋輪數(shù)，攻擊者通常會(huì)在整個(gè)明文空間的限制條件下以特定的結(jié)構(gòu)來遍歷更多的明文比特以使得平衡特性依然成立。然而這一要求限制了積分攻擊在很多算法分析中的應(yīng)用。在本文中，為降低積分分析中使用的數(shù)據(jù)復(fù)雜度，基于超幾何分布和多項(xiàng)分布為算法和隨機(jī)置換構(gòu)造不同的概率分布來進(jìn)行區(qū)分，從而構(gòu)建了統(tǒng)計(jì)積分這一新模型。這個(gè)新模型所需要的數(shù)據(jù)量與傳統(tǒng)的積分區(qū)分器所需的數(shù)據(jù)量相比降低了很多。

5、利用該模型對(duì)Skipjack變種算法、CAST-256和IDEA算法進(jìn)行改進(jìn)分析。
　　Skipjack算法是美國(guó)NSA設(shè)計(jì)并公開的首個(gè)分組密碼算法。這個(gè)算法抵抗不可能差分攻擊的能力較弱。為了加強(qiáng)Skipjack抗截?cái)嗖罘诸惞舻哪芰?，Knudsen等人給出了Skipjack算法的一個(gè)變種算法Skipjack-BABABABA。本文中，利用統(tǒng)計(jì)積分區(qū)分新模型首次成功破解了Skipjack的變種算法Skipjack-BABABABA

6、。
　　CAST-256算法是由Adams等人在SAC'97上提出的一個(gè)分組密碼算法。從其提出至今，許多分析結(jié)果被陸續(xù)給出，如差分分析、線性分析、飛去來器分析和零相關(guān)線性分析等。在本文中，利用統(tǒng)計(jì)積分區(qū)分器模型來攻擊CAST-256算法。首先，給出CAST-256算法一個(gè)29輪的攻擊結(jié)果。這個(gè)攻擊需要296.8個(gè)選擇明文、2219.4次加密、273字節(jié)存儲(chǔ)。通過對(duì)時(shí)間復(fù)雜度和數(shù)據(jù)復(fù)雜度之間進(jìn)行折中，這個(gè)攻擊也可以使用283.9個(gè)選

7、擇明文、2244.4次加密和266字節(jié)存儲(chǔ)進(jìn)行。據(jù)所知，這是在單密鑰場(chǎng)景且無弱密鑰假設(shè)下CAST-256算法的最優(yōu)攻擊結(jié)果。
　　IDEA算法是由Lai和Massey在1991年提出的分組密碼算法，現(xiàn)被廣泛的用于多個(gè)安全應(yīng)用中，如IPSec和PGP。在本文中，利用統(tǒng)計(jì)積分區(qū)分器模型來攻擊IDEA算法。首次給出了IDEA算法的一個(gè)2.5輪的積分區(qū)分器，這個(gè)區(qū)分器是至今為止IDEA算法最長(zhǎng)的區(qū)分器。基于這個(gè)區(qū)分器，成功給出了IDEA算

8、法的一個(gè)4.5輪密鑰恢復(fù)攻擊結(jié)果。這個(gè)攻擊需要258.5個(gè)已知明文、2120.9次加密和246.6字節(jié)存儲(chǔ)來完成。從攻擊輪數(shù)角度看，這個(gè)攻擊是目前IDEA算法最優(yōu)的積分攻擊結(jié)果。
　　提出多結(jié)構(gòu)體統(tǒng)計(jì)積分區(qū)分模型，并利用該模型給出AES算法在秘密密鑰下的最優(yōu)積分區(qū)分結(jié)果和（類）AES算法的最優(yōu)已知密鑰區(qū)分攻擊結(jié)果:統(tǒng)計(jì)積分區(qū)分模型有一定的局限性，僅僅考慮了使用區(qū)分器輸出上的一個(gè)平衡特性。在一些場(chǎng)景下，積分區(qū)分器的輸出處同時(shí)存在多個(gè)

9、平衡特性;在另一些場(chǎng)景下，區(qū)分器需要同時(shí)使用多個(gè)數(shù)據(jù)結(jié)構(gòu)體才能有效。針對(duì)前者，使用統(tǒng)計(jì)積分區(qū)分器模型會(huì)浪費(fèi)一些積分特性;針對(duì)后者，現(xiàn)有的統(tǒng)計(jì)積分區(qū)分器不能適應(yīng)于這樣的場(chǎng)景。為了擴(kuò)展統(tǒng)計(jì)積分區(qū)分器模型以便用于更多的場(chǎng)景中，構(gòu)造了多結(jié)構(gòu)體統(tǒng)計(jì)積分區(qū)分模型。利用該模型對(duì)AES在秘密密鑰下的積分區(qū)分攻擊進(jìn)行改進(jìn)，給出（類）AES算法的最優(yōu)已知密鑰區(qū)分攻擊。
　　AES(Advanced Encryption Standard)是由美國(guó)國(guó)家

10、標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布的一個(gè)標(biāo)準(zhǔn)分組密碼算法，已被廣泛的應(yīng)用于數(shù)據(jù)加密算法、哈希函數(shù)和認(rèn)證加密方案等。研究AES的區(qū)分攻擊可以幫助算法設(shè)計(jì)者和分析者來評(píng)估相關(guān)算法的安全界限。利用多結(jié)構(gòu)體統(tǒng)計(jì)積分模型，給出了一個(gè)在秘密密鑰和秘密S盒場(chǎng)景下5輪AES算法的選擇密文區(qū)分攻擊結(jié)果。該攻擊所需的數(shù)據(jù)、時(shí)間和存儲(chǔ)復(fù)雜度分別為2114.32個(gè)選擇密文、2110次加密和233.32的存儲(chǔ)。這個(gè)積分區(qū)分器是AES算法迄今為止在秘密密鑰和秘密S盒

11、場(chǎng)景下最優(yōu)的積分區(qū)分結(jié)果。除此之外，將多結(jié)構(gòu)體統(tǒng)計(jì)積分模型應(yīng)用于AES算法的已知密鑰區(qū)分器中。改進(jìn)了Gilbert給出的原有結(jié)果。以242.61的時(shí)間復(fù)雜度完成對(duì)8輪AES的已知密鑰區(qū)分攻擊，以259.60的時(shí)間復(fù)雜度完成對(duì)全輪AES的已知密鑰區(qū)分攻擊。從時(shí)間復(fù)雜度的角度來看，給出的區(qū)分器是AES在已知密鑰場(chǎng)景下最優(yōu)的區(qū)分結(jié)果。
　　另外，AES算法采用的寬軌道設(shè)計(jì)思想被廣泛的用于哈希函數(shù)的設(shè)計(jì)中，如ISO標(biāo)準(zhǔn)哈希函數(shù)Whirlp

12、ool、國(guó)際重要的輕量級(jí)哈希函數(shù)PHOTON和SHA-3評(píng)選競(jìng)賽最后一輪的五個(gè)候選算法之的Gr(o)stl算法等。這些算法的壓縮函數(shù)均采用類AES算法設(shè)計(jì)而成。哈希函數(shù)本身的安全性直接取決于內(nèi)部置換的安全性，即類AES算法在已知密鑰場(chǎng)景下的安全性。與AES算法的已知密鑰區(qū)分攻擊方法類似的，可以將多結(jié)構(gòu)體統(tǒng)計(jì)積分模型用于類AES算法的已知密鑰區(qū)分中。分別給出Whirlpool、Gr(o)stl-256和PHOTON的內(nèi)部置換在已知密鑰場(chǎng)景

13、下最優(yōu)的區(qū)分結(jié)果。
　　提出基于MILP的不可能差分路線和零相關(guān)路線自動(dòng)化搜索工具:不可能差分分析和零相關(guān)線性分析是對(duì)稱密碼領(lǐng)域有力的分析手段?，F(xiàn)有多個(gè)用于搜索帶S盒算法的不可能差分路線的自動(dòng)化工具，然而這些工具往往只關(guān)注于算法的線性層性質(zhì)而將S盒理想化。事實(shí)上，在現(xiàn)實(shí)中理想的S盒并不存在，因而在理想S盒下搜出的差分路線有可能在實(shí)際中并不存在。在本工作中，首次將S盒的差分特征和線性特征考慮進(jìn)不可能差分路線和零相關(guān)線性路線的搜索中，

14、提出基于MILP自動(dòng)化搜索帶S盒算法的不可能差分路線和零相關(guān)路線的方法。除此之外，首次給出針對(duì)ARX算法的通用不可能差分路線和零相關(guān)線性路線的自動(dòng)化搜索方法。作為應(yīng)用實(shí)例，將該方法應(yīng)用于HIGHT、SHACAL-2、LEA、LBlock、Salsa20和Chaskey中，改進(jìn)了HIGHT、SHACAL-2、LEA和LBlock算法現(xiàn)有的（相關(guān)密鑰）不可能差分路線或零相關(guān)路線，首次給出Salsa20和Chaskey中使用的置換的不可能差分

15、路線。
　　相關(guān)密鑰場(chǎng)景下Lizard算法的安全性分析:Lizard是由Hamann等人在ToSC2016上提出的一個(gè)抗生日攻擊的流密碼算法。算法以120比特密鑰和64比特Ⅳ為輸入，內(nèi)部狀態(tài)為121比特，輸出一個(gè)至多218比特的密鑰流。設(shè)計(jì)者聲明該算法抗密鑰恢復(fù)攻擊的安全性為80比特，抗區(qū)分攻擊的安全性為60比特。基于Banik等人利用碰撞對(duì)來恢復(fù)密鑰的思想，在本文中，利用猜測(cè)復(fù)合密鑰的方法在單密鑰場(chǎng)景下直接將密鑰恢復(fù)階段增加1輪

16、從而給出227步的攻擊結(jié)果，這在單密鑰場(chǎng)景下是Lizard算法的最優(yōu)密鑰恢復(fù)結(jié)果;在相關(guān)密鑰場(chǎng)景下將攻擊改進(jìn)到233步，使得Lizard算法的安全冗余僅剩23步（共256步）。在相關(guān)密鑰場(chǎng)景下，首先通過選擇密鑰差分拉長(zhǎng)不可能差分路線來進(jìn)行密鑰恢復(fù)攻擊。然而，密鑰差分的引入帶來的一個(gè)問題是內(nèi)部狀態(tài)的某些比特上的不確定性。為了克服這一問題，提出了“slide-collision”技術(shù)。除此之外，發(fā)現(xiàn)了一旦知道一個(gè)碰撞對(duì)，在相關(guān)密鑰場(chǎng)景下，無