SMS4算法的多维零相关线性分析

作     者：马猛 赵亚群 刘庆聪 刘凤梅 MA Meng;ZHAO Ya-Qun;LIU Qing-Cong;LIU Feng-Mei

作者机构：信息工程大学数学与先进计算国家重点实验室郑州450000031 信息保障技术重点实验室北京100072 

出 版 物：《密码学报》 (Journal of Cryptologic Research)

年 卷 期：2015年第2卷第5期

页      面：458-466页

核心收录：

学科分类：11[军事学] 0808[工学-电气工程] 0809[工学-电子科学与技术（可授工学、理学学位）] 08[工学] 110505[军事学-密码学] 110503[军事学-军事通信学] 1105[军事学-军队指挥学] 0839[工学-网络空间安全] 0714[理学-统计学（可授理学、经济学学位）] 0835[工学-软件工程] 0701[理学-数学] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：信息保障技术重点实验室开放基金(KJ-13-009) 

主　　题：分组密码 SMS4算法 多维零相关线性分析 零相关线性逼近 

摘      要：SMS4算法是中国无线标准中使用的分组加密算法,2012年被国家商用密码管理局确定为国家密码行业标准.作为中国官方公布的第一个商用密码算法,SMS4算法的安全性分析是当前密码学界的研究热点之一.SMS4算法是一种32轮的迭代非平衡Feistel结构的分组密码算法,其加解密过程中使用的算法完全相同,唯一的不同点就是该算法的解密密钥是由它的加密密钥进行逆序变换后得到的,因此,SMS4算法在32轮非线性迭代之后有一个反序变换.本文证明了SMS4算法存在11轮零相关线性逼近,选取了其中一类特殊的零相关线性逼近,缩小了密钥猜测空间,分析了14轮SMS4算法对多维零相关线性攻击技术的安全性.结果显示:该攻击的数据复杂度为2123.5个已知明密文,时间复杂度为2120.7次14轮SMS4加密,存储复杂度为273个SMS4分组.虽然14轮SMS4算法对多维零相关线性攻击是不免疫的,但是其数据复杂度较其它攻击方法还很高,且14轮距离目前最高攻击轮数还有较大差距,因此SMS4算法在抗多维零相关线性分析方面仍然有足够的安全边界.