對(duì)稱(chēng)密碼算法ARIA和SALSA20的安全性分析.pdf

1、密碼體制按照加密密鑰和解密密鑰之間關(guān)系可以分為對(duì)稱(chēng)密碼體制和公鑰密碼體制.對(duì)稱(chēng)密碼主要包括分組密碼和流密碼，具有運(yùn)行速度快，存儲(chǔ)量小，易于軟硬件實(shí)現(xiàn)等優(yōu)點(diǎn).本文的主要研究?jī)?nèi)容是關(guān)于分組密碼和流密碼的安全性. DES(Data Encryption Standard)[51]在1977年被認(rèn)可為分組密碼的標(biāo)準(zhǔn)，是2000年前應(yīng)用最為廣泛的分組加密算法，分組大小和密鑰長(zhǎng)度分別為64比特和56比特.隨著計(jì)算能力的大幅提高，DES的安全

2、強(qiáng)度相對(duì)變?nèi)?，需要使用新的加密算法?lái)代替.最終美國(guó)標(biāo)準(zhǔn)技術(shù)局NIST征集高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard)以替代DES.1997年NIST宣布征集新算法，1998年第一次AES大會(huì)宣布了15個(gè)候選算法，1999年召開(kāi)第二次AES大會(huì)，討論了對(duì)候選算法的分析結(jié)果，并從中選出5個(gè)算法：MARS，RC6[59]，Rijndael[25]，Serpent[1]和Twofish[56].第三次AES大會(huì)

3、宣布由J.Daemen和V.Rijmen設(shè)計(jì)的Rijndael為最后的勝利者. 分組密碼的安全性很難得到證明，盲目引進(jìn)未經(jīng)安全證明的密碼體制具有很大的風(fēng)險(xiǎn)性，因此各國(guó)都在致力于設(shè)計(jì)屬于自己的密碼體制.現(xiàn)在已經(jīng)有一些國(guó)家制定了本國(guó)的密碼標(biāo)準(zhǔn)，ARIA算法就是其中之一. ARIA版本0.8[52]是在韓國(guó)的一次密碼年會(huì)中首次公開(kāi)，迭代輪數(shù)為10/12/14，對(duì)應(yīng)的密鑰長(zhǎng)度為128/192/256，在算法中應(yīng)用了兩個(gè)不同S_b

4、ox.A.Biryukov等給出了這個(gè)版本的安全性評(píng)估[17]，評(píng)估中使用了專(zhuān)用線性分析方法取得了較好的攻擊結(jié)果，他們還指出如果算法的置換層使用4個(gè)不同的S-box可以避免這類(lèi)攻擊.ARIA隨后在版本0.9[40]使用了4個(gè)不同的S-box.當(dāng)前版本為1.0[53]，于2004年在韓國(guó)技術(shù)標(biāo)準(zhǔn)局(ATS)網(wǎng)頁(yè)http：//www.nsri.re.kr/ARIA/上公布.此版本在輪數(shù)上增加兩輪且密鑰擴(kuò)展方案略有變動(dòng).2004年12月韓國(guó)技

5、術(shù)標(biāo)準(zhǔn)局正式宣布ARIA為128比特的分組加密算法為標(biāo)準(zhǔn).另外對(duì)ARIA的密碼分析還有吳文玲等進(jìn)行的六輪不可能差分分析[66]. 現(xiàn)在已經(jīng)有多種效率高且可以信賴(lài)的分組密碼，而流密碼卻不同.流密碼此前一般被應(yīng)用到軍事領(lǐng)域，其研究具有一定的保密性，因此流密碼的標(biāo)準(zhǔn)化起步較分組密碼要晚一些.為了加快流密碼的標(biāo)準(zhǔn)化步伐，ECRYPT(歐盟建立的一個(gè)為期四年的工程)正在廣泛征集流密碼算法并對(duì)他們進(jìn)行安全和效率方面的評(píng)估.主工程開(kāi)始于200

6、5年，最初征集到34個(gè)流密碼算法.2006年2月結(jié)束了第一階段的評(píng)估，第二階段于2007年4月結(jié)束，現(xiàn)在處于第三階段的評(píng)估中，此階段剩下16個(gè)算法，Salsa20[3，4]就是其中之一，另外還有Lex，CryptMT，Dragon等. Salsa20于2005年由D.J.Bernstein設(shè)計(jì).ECRYPT前兩輪的評(píng)估對(duì)該算法給出了很高的評(píng)價(jià)，是成為流密碼標(biāo)準(zhǔn)的熱門(mén)候選算法.對(duì)Salsa20的安全性分析，主要是P.Crowley