基于可分性改进分组密码SM4和FOX的积分区分器

作     者：毛永霞 吴文玲 MAO Yong-Xia;WU Wen-Ling

作者机构：中国科学院软件研究所可信计算与信息保障实验室北京100190 中国科学院大学北京100049 河南师范大学数学与信息科学学院新乡453000 

出 版 物：《密码学报》 (Journal of Cryptologic Research)

年 卷 期：2023年第10卷第6期

页      面：1197-1208页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(62072445) 

主　　题：积分分析 可分性 混合整数线性规划 SM4 FOX 

摘      要：可分性是由Todo在EUROCRYPT 2015上首次提出来的,可以看作积分分析的推广,已经被应用于许多对称密码的分析.目前,结合可分性与数学工具,例如混合整数线性规划和布尔可满足性问题等的自动化方法是搜索积分区分器最流行的方法之一.此方法根据可分性在密码基本部件上的传播规则建立约束模型,再选择合适的初始可分性搜索积分区分器.对一个分组密码来说,不同的建模方式和模型的精度会影响自动化搜索积分区分器的结果.本文针对分组密码的两种基本部件:分支异或压缩结构和非比特置换的线性变换,分别提出了两种基于比特可分性的建模策略.策略一根据分支异或压缩结构的特点,增加相关分支输入可分性之间的约束条件,使得初始可分性经过首轮分支异或压缩之后的输出可分性为0,进而提高其他分支可分性的传播优势.策略二对非比特置换的线性变换对应的矩阵进行处理,当矩阵中包含非独立可分性传播时,增加相应的约束条件限制非独立传播比特的可分性,从而提高模型的精度,减少冗余可分迹.为了验证两种建模策略的有效性,将新方法应用于分组密码SM4和FOX:(1)构造了SM4的13轮积分区分器,比之前最好的结果多一轮;(2)构造了FOX64和FOX128的3轮积分区分器,都优于目前已知的最好积分区分器.