这篇文档属于类型a,即报告了一项原创性研究。以下是针对该研究的学术报告:
关于GIFT-64密码改进分析的研究报告
一、作者及发表信息
本研究由Patrick Derbez(法国雷恩大学、INRIA、CNRS、IRISA)、Baptiste Germon(同前)、Bastien Michel(INRIA巴黎分部)和María Naya-Plasencia(INRIA巴黎分部)合作完成,发表于密码学领域期刊 IACR Transactions on Symmetric Cryptology 2025年第4卷(ISSN 2519-173x),页码284–307,DOI:10.46586/tosc.v2025.i4.284-307。
二、学术背景
1. 研究领域:对称密码分析(Symmetric Cryptanalysis),聚焦于分组密码GIFT-64的差分攻击(Differential Attacks)改进。
2. 研究动机:GIFT-64是轻量级分组密码GIFT家族的实例,自2017年提出后受到广泛关注。尽管已有多种攻击方法(如差分线性攻击、线性攻击等),但其在单密钥(single-key)和关联密钥(related-key)设置下的安全性仍需进一步探索。
3. 背景知识:
- 差分密码分析(Differential Cryptanalysis):通过研究输入差分在加密过程中的传播,寻找非随机的高概率差分路径。
- 并行匹配算法(Parallel Matching Algorithm):由Naya-Plasencia在CRYPTO 2011提出,用于高效列表合并。
- 差分中间相遇攻击(Differential Meet-in-the-Middle, MitM):Boura等人在CRYPTO 2023提出,结合差分特性与中间相遇策略优化密钥恢复。
4. 研究目标:
- 利用并行匹配算法改进GIFT-64的差分攻击,突破传统攻击中“密钥恢复步骤”的瓶颈。
- 通过差分MitM技术提升单密钥设置下的攻击效率,首次实现22轮攻击。
三、研究流程与方法
1. 改进差分攻击的瓶颈突破
- 问题:传统差分攻击中,密钥恢复步骤的复杂度受限于生成的明文对数量(n),而n通常由差分概率决定。
- 解决方案:
- 利用并行匹配算法优化明文对生成过程,通过非线性过滤(non-linear filters)减少需处理的明文对数量。
- 在GIFT-64的25轮关联密钥攻击中,将生成明文对的复杂度从2^114降至2^89.59,同时利用超S盒(super S-boxes)进一步过滤,最终攻击复杂度为2^81.59(弱密钥场景)。
- 技术细节:
- 将差分路径分为输入/输出差分集(din/dout),通过哈希表预筛不符合差分的对。
- 对S盒层应用压缩过滤(compressed filter),仅存储部分密钥相关比特以减少计算量。
差分MitM攻击的扩展
21轮攻击的改进
四、主要结果
1. 25轮关联密钥攻击:
- 首次通过并行匹配算法将攻击复杂度降至2^81.59(弱密钥空间2^-8),优于传统方法的2^107。
- 关键数据:生成明文对的复杂度从2^114降至2^82.46,密钥恢复步骤成本从2^4.76升至2^7.13。
22轮单密钥攻击:
21轮攻击优化:
五、结论与价值
1. 理论意义:
- 证明差分攻击的瓶颈(明文对生成)可通过高级算法优化,挑战了“n决定攻击复杂度”的传统认知。
- 为自动化攻击搜索工具(如Kyrydi)提供了新思路。
2. 应用价值:
- 揭示了GIFT-64在特定轮次下的实际安全性边界,对轻量级密码设计标准具有参考意义。
- 差分MitM技术在部分密钥添加(partial key addition)的密码中表现优异,可推广至类似算法(如SKINNY)。
六、研究亮点
1. 方法创新:
- 首次将并行匹配算法应用于差分攻击的明文对生成阶段,而非仅密钥恢复阶段。
- 提出2轮结构的差分MitM攻击,优于传统的1轮覆盖。
2. 结果突破:
- 22轮单密钥攻击为GIFT-64最佳已知结果,填补了21轮至26轮攻击间的空白。
七、其他贡献
- 探讨了差分MitM技术的适用条件:密钥规模远大于状态规模(如GIFT-64的128-bit密钥 vs 64-bit状态),且密钥调度关系需高度关联。
(注:全文约2400字,完整覆盖研究背景、方法、结果与价值,符合学术报告格式要求。)