信息安全专业优秀论文 estream序列密码候选算法的安全性分析.doc

1、信息安全专业优秀论文 eSTREAM 序列密码候选算法的安全性分析关键词：序列密码 密码分析 弱密钥 候选算法 安全性分析 信息安全 数字水印摘要：本论文主要对 eSTREAM 工程的四个候选密码算法 ABCv3、TSC-4、CryptMT v3 和 Grain v1 进行了安全性分析：在弱密钥条件下，破解了 ABC v3 和 TSC-4；发现 CryptMT v3 密钥初始化过程存在概率为 1 的差分特征；对Grain v1 进行了弱 Key-IV 攻击。 1弱密钥条件下破解 ABC v3 ABC v3的密钥长度为 128 比特，是 34 个参赛算法中运行速度最快的算法之一。ABC v1和

2、v2 为 ABC v3 之前的两个版本。2005 年，Berbain、Gilbert 和 Khazaei 同时发现 ABC v1 的线性移位寄存器长度过短，通过分别征服攻击破解了 ABC v1。ABC v2 加大 LFSR 的长度以弥补 ABC v1 的缺陷。但在 SAC2006 上，Wu 和Preneel 发现 ABC v2 存在一类弱密钥，并且在弱密钥条件下，ABC v2 可被破解。通过修改密钥初始化过程，消除 Wu-Preneel 弱密钥，ABCv3 可抵抗以前所有攻击。 ABC 系列算法结构主要由 LFSR、T-函数和基于背包问题构造的 S-盒三部分组成。LFSR 的最低权位 32 比

3、特字与 S-盒的输出进行模 232 加运算后作为密钥流输出字。LFSR 反馈多项式的项数为 3，虽然可以提高运行速度，但同时也降低了安全性，易受快速相关攻击。为此，算法设计者采用了 T-函数、S-盒和模加运算等大量非线性组件来掩藏 LFSR 的线性。特别是基于背包问题构造的S-盒，加大了分析的难度。本文采取以恢复 LFSR 的内部状态为首要目标、以寻找算法核心部件 S-盒的弱点为关键、以非线性模加运算的线性逼近为突破口的技术路线，发现 ABC v3 存在新型弱密钥，其发生的概率为 2-2429。最终，在弱密钥条件下破解了 ABC v3。 2弱密钥条件下破解 TSC-4 自 Klimov和 Sh

4、amir 把 T-函数引入密码学以来，出现了很多基于 T-函数设计的序列密码算法，如 Klimov-Shamir 系列算法 TSC-1、TSC-2 和 TSC-3 等。但所有算法均被破解。在总结已有攻击的基础上，Moon 等密码学家设计了 TSC-4。TSC-4 进入eSTREAM 第二评估阶段，密钥长度为 80 比特。在 Indocrypt2006 上，Fischer、Meier 和 Berbain 等发现 TSC-4 的密钥初始化过程存在一定非随机性，但无法通过密钥流区分，不能形成真正的攻击。TSC-4 算法结构主要由三部分组成：两个对称的 T-函数部件 X 和 Y 以及一个以 X 和 Y

5、 的部分状态为输入以密钥流为输出的非线性滤波函数。其中，T-函数采用了多种非线性逻辑运算、选择控制、S-盒等技术手段，具有很强的雪崩和扩散效应。由于很难建立数学模型，TSC-4 一直没有被破解。本文将差分分析与分别征服攻击相结合，以计算机模拟实验为基础，从所得实验数据中挖掘数学规律，归纳弱密钥的特征，在弱密钥条件下破解了 TSC-4。 （1）构造密钥初始化过程的两个特殊差分特征 TSC-4 的密钥初始过程首先把密钥 K 和初始向量 IV 载入 X 和 Y，然后进行 8 圈算法体的迭代。其中，每圈迭代包括三步：第一步通过非线性滤波函数把结构 X 和 Y 的信息混合后输出一个字节；第二步，X 和

6、Y 各自按行循环移位；第三步是把第一步的输出字节混合到 X 和 Y 中。由此可见，X 和 Y 主要是通过第一和第三步发生联系。使部件 Y 差分非零，部件 X 差分为零，如果初始化过程中每一圈的第一步输出差分为零，那么 Y 的差分就不可能扩散到 X 中，即 X的差分可以始终保持为零。这样就可以“切断”部件 X 和 Y 的联系，达到控制雪崩的目的。利用此特点，构造出两个特殊差分特征 X 和 Y，当差分特征Y 成立时，差分特征 Y 成立的概率为 1。 （2）发现弱密钥 首先，随机选取密钥 K 和初始向量 IV，运行密钥初始化过程，如果差分特征 Y 成立，则保留 K 和 IV 以及相对应的 X 和 Y

7、 状态。第二，以状态 Y 的列为单位进行 x2检验，检测出非随机分布。第三，以检测出的非随机分布为研究对象，运用卡诺图技术，归纳总结出高概率线性表达式。第四，按照 K 和 IV 的载入方式代换关于 X 和 Y 的高概率线性表达式，得到关于 K 和 IV 的表达式。第五，合并各关于 K 和 IV 的线性表达式，定义产生高概率 Y 的弱密钥空间 EK 和特殊 IV 空间EIV。第六，按照空间 EK 和 EIV，重新运行密钥初始化过程，得到 Y 产生的概率。最后，可得对于 80 比特的密钥，TSC-4 弱密钥的个数约为 272 个。当选择的 IV 对属于空间 EIV 时，如果 K 是弱密钥，则 Y

8、出现的概率为 2-1540；如果 K 为强密钥，则 Y 出现的概率为 2-2474。 （3）区分并恢复弱密钥 尽管确定了密钥初始化过程的两个特殊差分特征和弱密钥，但除密钥流已知外，X 和 Y 的内部状态未知。因此，需要构造一个能够把 X 和 Y 的差分不平衡性传递到密钥流的区分器。通过实验，本文成功构造出此区分器。通过理论计算可得，对于每个弱密钥，恢复出 8 比特密钥约需要 24053 个选择IV 对，剩余 72 比特密钥可通过搜索攻击恢复。 通过分析可知，TSC-4 是不安全的。另外，本文指出 TSC-4 还存在其它类型的弱密钥和攻击方法，如相关密钥攻击等。 3发现 CryptMT v3 密

9、钥初始化过程存在概率为 1 的差分特征 CryptMT v3 为进入 eSTREAM 工程第三评估阶段的序列密码，密钥长度为 128 比特。由于采用乘法运算等独特技术，目前无任何攻击。设密钥初始化过程为以密钥 K 为参数的函数生成器：F=fK0，11280，119968。通过差分分析，本文构造出区分器 AfK，可以把 fK 与随机函数以概率 1 区分出来，因而 fK 不是随机函数。分析结果表明，CryptMT v3 的密钥初始化过程存在一定的弱点，可能被攻击。 4弱 Key-条件下破解 Grain v1 Grain v1 是 eSTREAM最终获选算法之一，其最初版本为 Grain v0，密钥

10、加长版本为 Grain-128。2005 年，Khazaei、Hassanzadeh 和 Kiaei 对 Grain v0 进行了区分攻击。在 FSE2006 上，Berbain、Gilbert 和 Maximov 通过恢复密钥攻击，破解了Grain v0。Grain v1 为 Grain v0 的修改版本，可抵抗以前攻击。在 oKucuk提出的针对 Grain v1/128 的再同步滑动攻击基础上，oKucuk 和 Preneel 等对 Grainv1/128 的密钥初始化过程进行了分析，Lee 等进行了相关密钥选择 IV攻击。以上关于 Grain v1/128 的攻击本质上均为相关密钥攻击

11、。Afzal 和Masood 提出对 Grainv1/128 进行代数攻击，但计算复杂度超过了搜索攻击。2008 年，eSTREAM 最终评估报告认为 Grain v1/128 是很安全的，但指出密钥初始化过程需要修改。 Grain 系列算法体主要由 IFSR、NFSR 和非线性滤波函数三部分组成。Grainv0/v1/128 的密钥长度分别为 80/80/128 比特，初始向量长度分别为 64/64/96 比特。设 Grain 系列密码算法密钥 Key 的长度为 比特，初始向量 IV 的长度为 比特，则不同的密钥和初始向量对 Key-IV 产生不同的密钥流输出，共可产生 2+ 条序列。对于一

12、个安全的序列密码算法，保证2+ 条序列中的每一条序列都具有很高的随机性是必要的。本文以 Key-IV产生的序列为研究对象，对 Grain v1 进行弱 Key-IV 攻击。 （1）弱 Key-的存在性 当 LFSR 的内部状态为全0时，算法只有 NFSR 起作用。因此，将能够产生 LFSR 为全0状态的密钥 Key 和初始向量为定义为一个弱 Key-。本文给出了求取弱 Key-的算法和弱 Key-实例。设密钥初始化过程后，所有内部状态均匀分布，则在 2+ 个 Key-中有 2 个弱 Key-。 （2）区分弱 Key- 运用循环 Walsh 谱理论得到 NFSR 的非线性反馈函数的最佳线性逼近后

13、，由线性逼近引理，本文构造出 Grain 系列算法的区分器，对弱 Key-进行区分攻击，结果如下：从 Grain v0/v1/128 的 280/280/2128 个Key-中以 99977的成功率区分出 1 个弱 Key-各需要2178/2494/2918 个密钥流比特和 2211/2527/2110 次运算。 （3）恢复弱 Key- Grajn v1 产生密钥流输出时，LFSR 独立作用，NFSR 的内部状态由自身和 LFSR 的内部状态决定，密钥流输出由 LFSR 和 NFSR 的内部状态决定。所以，密钥流输出可以表示为 LFSR 和 NFSR 内部状态的非线性函数，可得到相应的代数方程

14、。对于弱 Key-IV，LFSR 不起作用，利用 Afzal 和Masood 的代数攻击结果可得：在已知弱 Key-IV 条件下，只需 150 比特密钥流输出和 2307 次异或运算即可破解 Grain v1；在已知弱 Key-IV 条件下，破解Grain-128 的复杂度为 2938 次异或运算；Grain v0 的结果类似于 Grain v1。 综上所述，Grain v1 和 Grain-128 都存在弱 Key-IV。破解 Gran v0/v1/128 的弱 Key-分别需要 2178/2494/2918 个密钥流比特和2307/2527/2110 次异或运算。虽然弱 Key-出现的概率

15、很低，但可以说明这两个算法的密钥初始化过程存在安全问题，有必要进行修改。正文内容本论文主要对 eSTREAM 工程的四个候选密码算法 ABCv3、TSC-4、CryptMT v3 和 Grain v1 进行了安全性分析：在弱密钥条件下，破解了 ABC v3 和 TSC-4；发现 CryptMT v3 密钥初始化过程存在概率为 1 的差分特征；对 Grain v1 进行了弱 Key-IV 攻击。 1弱密钥条件下破解 ABC v3 ABC v3 的密钥长度为 128 比特，是 34 个参赛算法中运行速度最快的算法之一。ABC v1 和 v2 为ABC v3 之前的两个版本。2005 年，Berba

16、in、Gilbert 和 Khazaei 同时发现 ABC v1 的线性移位寄存器长度过短，通过分别征服攻击破解了 ABC v1。ABC v2 加大 LFSR 的长度以弥补 ABC v1 的缺陷。但在 SAC2006 上，Wu 和 Preneel 发现ABC v2 存在一类弱密钥，并且在弱密钥条件下，ABC v2 可被破解。通过修改密钥初始化过程，消除 Wu-Preneel 弱密钥，ABCv3 可抵抗以前所有攻击。 ABC 系列算法结构主要由 LFSR、T-函数和基于背包问题构造的 S-盒三部分组成。LFSR 的最低权位 32 比特字与 S-盒的输出进行模 232 加运算后作为密钥流输出字。L

17、FSR 反馈多项式的项数为 3，虽然可以提高运行速度，但同时也降低了安全性，易受快速相关攻击。为此，算法设计者采用了 T-函数、S-盒和模加运算等大量非线性组件来掩藏 LFSR 的线性。特别是基于背包问题构造的 S-盒，加大了分析的难度。本文采取以恢复 LFSR 的内部状态为首要目标、以寻找算法核心部件 S-盒的弱点为关键、以非线性模加运算的线性逼近为突破口的技术路线，发现 ABC v3 存在新型弱密钥，其发生的概率为 2-2429。最终，在弱密钥条件下破解了 ABC v3。 2弱密钥条件下破解 TSC-4 自 Klimov 和 Shamir把 T-函数引入密码学以来，出现了很多基于 T-函数

18、设计的序列密码算法，如Klimov-Shamir 系列算法 TSC-1、TSC-2 和 TSC-3 等。但所有算法均被破解。在总结已有攻击的基础上，Moon 等密码学家设计了 TSC-4。TSC-4 进入 eSTREAM第二评估阶段，密钥长度为 80 比特。在 Indocrypt2006 上，Fischer、Meier和 Berbain 等发现 TSC-4 的密钥初始化过程存在一定非随机性，但无法通过密钥流区分，不能形成真正的攻击。TSC-4 算法结构主要由三部分组成：两个对称的 T-函数部件 X 和 Y 以及一个以 X 和 Y 的部分状态为输入以密钥流为输出的非线性滤波函数。其中，T-函数采

19、用了多种非线性逻辑运算、选择控制、S-盒等技术手段，具有很强的雪崩和扩散效应。由于很难建立数学模型，TSC-4 一直没有被破解。本文将差分分析与分别征服攻击相结合，以计算机模拟实验为基础，从所得实验数据中挖掘数学规律，归纳弱密钥的特征，在弱密钥条件下破解了 TSC-4。 （1）构造密钥初始化过程的两个特殊差分特征 TSC-4 的密钥初始过程首先把密钥 K 和初始向量 IV 载入 X 和 Y，然后进行 8 圈算法体的迭代。其中，每圈迭代包括三步：第一步通过非线性滤波函数把结构 X 和 Y 的信息混合后输出一个字节；第二步，X 和 Y 各自按行循环移位；第三步是把第一步的输出字节混合到 X 和 Y

20、 中。由此可见，X 和 Y 主要是通过第一和第三步发生联系。使部件 Y 差分非零，部件 X 差分为零，如果初始化过程中每一圈的第一步输出差分为零，那么 Y 的差分就不可能扩散到 X 中，即 X 的差分可以始终保持为零。这样就可以“切断”部件 X 和 Y 的联系，达到控制雪崩的目的。利用此特点，构造出两个特殊差分特征 X 和 Y，当差分特征 Y 成立时，差分特征 Y 成立的概率为 1。 （2）发现弱密钥 首先，随机选取密钥 K和初始向量 IV，运行密钥初始化过程，如果差分特征 Y 成立，则保留 K 和 IV以及相对应的 X 和 Y 状态。第二，以状态 Y 的列为单位进行 x2 检验，检测出非随机

21、分布。第三，以检测出的非随机分布为研究对象，运用卡诺图技术，归纳总结出高概率线性表达式。第四，按照 K 和 IV 的载入方式代换关于 X 和 Y 的高概率线性表达式，得到关于 K 和 IV 的表达式。第五，合并各关于 K 和 IV 的线性表达式，定义产生高概率 Y 的弱密钥空间 EK 和特殊 IV 空间 EIV。第六，按照空间 EK 和 EIV，重新运行密钥初始化过程，得到 Y 产生的概率。最后，可得对于 80 比特的密钥，TSC-4 弱密钥的个数约为 272 个。当选择的 IV 对属于空间 EIV 时，如果 K 是弱密钥，则 Y 出现的概率为 2-1540；如果 K 为强密钥，则 Y 出现的

22、概率为 2-2474。 （3）区分并恢复弱密钥 尽管确定了密钥初始化过程的两个特殊差分特征和弱密钥，但除密钥流已知外，X 和Y 的内部状态未知。因此，需要构造一个能够把 X 和 Y 的差分不平衡性传递到密钥流的区分器。通过实验，本文成功构造出此区分器。通过理论计算可得，对于每个弱密钥，恢复出 8 比特密钥约需要 24053 个选择 IV 对，剩余 72 比特密钥可通过搜索攻击恢复。 通过分析可知，TSC-4 是不安全的。另外，本文指出 TSC-4 还存在其它类型的弱密钥和攻击方法，如相关密钥攻击等。 3发现 CryptMT v3 密钥初始化过程存在概率为 1 的差分特征 CryptMT v3为

23、进入 eSTREAM 工程第三评估阶段的序列密码，密钥长度为 128 比特。由于采用乘法运算等独特技术，目前无任何攻击。设密钥初始化过程为以密钥 K 为参数的函数生成器：F=fK0，11280，119968。通过差分分析，本文构造出区分器 AfK，可以把 fK 与随机函数以概率 1 区分出来，因而 fK 不是随机函数。分析结果表明，CryptMT v3 的密钥初始化过程存在一定的弱点，可能被攻击。 4弱 Key-条件下破解 Grain v1 Grain v1 是 eSTREAM 最终获选算法之一，其最初版本为 Grain v0，密钥加长版本为 Grain-128。2005 年，Khazaei、

24、Hassanzadeh 和 Kiaei 对 Grain v0 进行了区分攻击。在 FSE2006 上，Berbain、Gilbert 和 Maximov 通过恢复密钥攻击，破解了 Grain v0。Grain v1为 Grain v0 的修改版本，可抵抗以前攻击。在 oKucuk 提出的针对 Grain v1/128 的再同步滑动攻击基础上，oKucuk 和 Preneel 等对 Grainv1/128 的密钥初始化过程进行了分析，Lee 等进行了相关密钥选择 IV 攻击。以上关于Grain v1/128 的攻击本质上均为相关密钥攻击。Afzal 和 Masood 提出对Grainv1/128

25、 进行代数攻击，但计算复杂度超过了搜索攻击。2008 年，eSTREAM最终评估报告认为 Grain v1/128 是很安全的，但指出密钥初始化过程需要修改。Grain 系列算法体主要由 IFSR、NFSR 和非线性滤波函数三部分组成。Grainv0/v1/128 的密钥长度分别为 80/80/128 比特，初始向量长度分别为64/64/96 比特。设 Grain 系列密码算法密钥 Key 的长度为 比特，初始向量IV 的长度为 比特，则不同的密钥和初始向量对 Key-IV 产生不同的密钥流输出，共可产生 2+ 条序列。对于一个安全的序列密码算法，保证 2+ 条序列中的每一条序列都具有很高的随

26、机性是必要的。本文以 Key-IV 产生的序列为研究对象，对 Grain v1 进行弱 Key-IV 攻击。 （1）弱 Key-的存在性 当 LFSR 的内部状态为全0时，算法只有 NFSR 起作用。因此，将能够产生LFSR 为全0状态的密钥 Key 和初始向量为定义为一个弱 Key-。本文给出了求取弱 Key-的算法和弱 Key-实例。设密钥初始化过程后，所有内部状态均匀分布，则在 2+ 个 Key-中有 2 个弱 Key-。 （2）区分弱Key- 运用循环 Walsh 谱理论得到 NFSR 的非线性反馈函数的最佳线性逼近后，由线性逼近引理，本文构造出 Grain 系列算法的区分器，对弱 K

27、ey-进行区分攻击，结果如下：从 Grain v0/v1/128 的 280/280/2128 个 Key-中以99977的成功率区分出 1 个弱 Key-各需要 2178/2494/2918 个密钥流比特和 2211/2527/2110 次运算。 （3）恢复弱 Key- Grajn v1产生密钥流输出时，LFSR 独立作用，NFSR 的内部状态由自身和 LFSR 的内部状态决定，密钥流输出由 LFSR 和 NFSR 的内部状态决定。所以，密钥流输出可以表示为 LFSR 和 NFSR 内部状态的非线性函数，可得到相应的代数方程。对于弱Key-IV，LFSR 不起作用，利用 Afzal 和 Ma

28、sood 的代数攻击结果可得：在已知弱 Key-IV 条件下，只需 150 比特密钥流输出和 2307 次异或运算即可破解Grain v1；在已知弱 Key-IV 条件下，破解 Grain-128 的复杂度为 2938 次异或运算；Grain v0 的结果类似于 Grain v1。 综上所述，Grain v1 和 Grain-128 都存在弱 Key-IV。破解 Gran v0/v1/128 的弱 Key-分别需要2178/2494/2918 个密钥流比特和 2307/2527/2110 次异或运算。虽然弱 Key-出现的概率很低，但可以说明这两个算法的密钥初始化过程存在安全问题，有必要进行修

29、改。本论文主要对 eSTREAM 工程的四个候选密码算法 ABCv3、TSC-4、CryptMT v3和 Grain v1 进行了安全性分析：在弱密钥条件下，破解了 ABC v3 和 TSC-4；发现 CryptMT v3 密钥初始化过程存在概率为 1 的差分特征；对 Grain v1 进行了弱 Key-IV 攻击。 1弱密钥条件下破解 ABC v3 ABC v3 的密钥长度为128 比特，是 34 个参赛算法中运行速度最快的算法之一。ABC v1 和 v2 为 ABC v3 之前的两个版本。2005 年，Berbain、Gilbert 和 Khazaei 同时发现 ABC v1的线性移位寄存

30、器长度过短，通过分别征服攻击破解了 ABC v1。ABC v2 加大LFSR 的长度以弥补 ABC v1 的缺陷。但在 SAC2006 上，Wu 和 Preneel 发现 ABC v2 存在一类弱密钥，并且在弱密钥条件下，ABC v2 可被破解。通过修改密钥初始化过程，消除 Wu-Preneel 弱密钥，ABCv3 可抵抗以前所有攻击。 ABC 系列算法结构主要由 LFSR、T-函数和基于背包问题构造的 S-盒三部分组成。LFSR的最低权位 32 比特字与 S-盒的输出进行模 232 加运算后作为密钥流输出字。LFSR 反馈多项式的项数为 3，虽然可以提高运行速度，但同时也降低了安全性，易受快

31、速相关攻击。为此，算法设计者采用了 T-函数、S-盒和模加运算等大量非线性组件来掩藏 LFSR 的线性。特别是基于背包问题构造的 S-盒，加大了分析的难度。本文采取以恢复 LFSR 的内部状态为首要目标、以寻找算法核心部件S-盒的弱点为关键、以非线性模加运算的线性逼近为突破口的技术路线，发现ABC v3 存在新型弱密钥，其发生的概率为 2-2429。最终，在弱密钥条件下破解了 ABC v3。 2弱密钥条件下破解 TSC-4 自 Klimov 和 Shamir 把 T-函数引入密码学以来，出现了很多基于 T-函数设计的序列密码算法，如 Klimov-Shamir 系列算法 TSC-1、TSC-2

32、 和 TSC-3 等。但所有算法均被破解。在总结已有攻击的基础上，Moon 等密码学家设计了 TSC-4。TSC-4 进入 eSTREAM 第二评估阶段，密钥长度为 80 比特。在 Indocrypt2006 上，Fischer、Meier 和Berbain 等发现 TSC-4 的密钥初始化过程存在一定非随机性，但无法通过密钥流区分，不能形成真正的攻击。TSC-4 算法结构主要由三部分组成：两个对称的 T-函数部件 X 和 Y 以及一个以 X 和 Y 的部分状态为输入以密钥流为输出的非线性滤波函数。其中，T-函数采用了多种非线性逻辑运算、选择控制、S-盒等技术手段，具有很强的雪崩和扩散效应。由

33、于很难建立数学模型，TSC-4 一直没有被破解。本文将差分分析与分别征服攻击相结合，以计算机模拟实验为基础，从所得实验数据中挖掘数学规律，归纳弱密钥的特征，在弱密钥条件下破解了 TSC-4。 （1）构造密钥初始化过程的两个特殊差分特征 TSC-4 的密钥初始过程首先把密钥 K 和初始向量 IV 载入 X 和 Y，然后进行 8 圈算法体的迭代。其中，每圈迭代包括三步：第一步通过非线性滤波函数把结构 X 和 Y 的信息混合后输出一个字节；第二步，X 和 Y 各自按行循环移位；第三步是把第一步的输出字节混合到 X 和 Y 中。由此可见，X 和 Y 主要是通过第一和第三步发生联系。使部件 Y 差分非零

34、，部件 X 差分为零，如果初始化过程中每一圈的第一步输出差分为零，那么 Y 的差分就不可能扩散到 X 中，即 X 的差分可以始终保持为零。这样就可以“切断”部件 X 和 Y 的联系，达到控制雪崩的目的。利用此特点，构造出两个特殊差分特征 X 和 Y，当差分特征 Y 成立时，差分特征 Y 成立的概率为 1。 （2）发现弱密钥 首先，随机选取密钥 K 和初始向量 IV，运行密钥初始化过程，如果差分特征 Y 成立，则保留 K 和 IV以及相对应的 X 和 Y 状态。第二，以状态 Y 的列为单位进行 x2 检验，检测出非随机分布。第三，以检测出的非随机分布为研究对象，运用卡诺图技术，归纳总结出高概率线

35、性表达式。第四，按照 K 和 IV 的载入方式代换关于 X 和 Y 的高概率线性表达式，得到关于 K 和 IV 的表达式。第五，合并各关于 K 和 IV 的线性表达式，定义产生高概率 Y 的弱密钥空间 EK 和特殊 IV 空间 EIV。第六，按照空间 EK 和 EIV，重新运行密钥初始化过程，得到 Y 产生的概率。最后，可得对于 80 比特的密钥，TSC-4 弱密钥的个数约为 272 个。当选择的 IV 对属于空间 EIV 时，如果 K 是弱密钥，则 Y 出现的概率为 2-1540；如果 K 为强密钥，则 Y 出现的概率为 2-2474。 （3）区分并恢复弱密钥 尽管确定了密钥初始化过程的两个

36、特殊差分特征和弱密钥，但除密钥流已知外，X 和Y 的内部状态未知。因此，需要构造一个能够把 X 和 Y 的差分不平衡性传递到密钥流的区分器。通过实验，本文成功构造出此区分器。通过理论计算可得，对于每个弱密钥，恢复出 8 比特密钥约需要 24053 个选择 IV 对，剩余 72 比特密钥可通过搜索攻击恢复。 通过分析可知，TSC-4 是不安全的。另外，本文指出 TSC-4 还存在其它类型的弱密钥和攻击方法，如相关密钥攻击等。 3发现 CryptMT v3 密钥初始化过程存在概率为 1 的差分特征 CryptMT v3为进入 eSTREAM 工程第三评估阶段的序列密码，密钥长度为 128 比特。由

37、于采用乘法运算等独特技术，目前无任何攻击。设密钥初始化过程为以密钥 K 为参数的函数生成器：F=fK0，11280，特别提醒 ：正文内容由 PDF 文件转码生成，如您电脑未有相应转换码，则无法显示正文内容，请您下载相应软件，下载地址为 http:/ 。如还不能显示，可以联系我 q q 1627550258 ，提供原格式文档。我们还可提供代笔服务，价格优惠，服务周到，包您通过。“垐垯櫃 换烫梯葺铑?endstreamendobj2x 滌甸?*U 躆 跦?l, 墀 VGi?o 嫅#4K 錶 c#x 刔 彟 2Z 皙笜?D 剧珞 H 鏋 Kx 時 k,褝仆? 稀?i 攸闥-) 荮vJ 釔絓|?殢 D

38、 蘰厣?籶(柶胊?07 姻Rl 遜 ee 醳 B?苒?甊袝 t 弟l?%G 趓毘 N 蒖與叚繜羇坯嵎憛?U?Xd* 蛥?-.臟兄+鮶 m4嵸/E 厤U 閄 r塎偨匰忓tQL 綹 eb?抔搉 ok 怊 J?l?庮 蔘?唍*舶裤爞 K 誵Xr 蛈翏磾寚缳 nE 駔殞梕 壦 e 櫫蹴友搇6 碪近躍邀 8 顪?zFi?U 钮 嬧撯暼坻7/?W?3RQ 碚螅 T 憚磴炬 B- 垥 n 國 0fw 丮“eI?a揦(?7 鳁?H?弋睟栴?霽 N 濎嬄! 盯 鼴蝔 4sxr?溣?檝皞咃 hi#?攊(?v 擗谂馿鏤刊 x 偨棆鯍抰Lyy|y 箲丽膈淢 m7 汍衂法瀶?鴫 C?Q 貖 澔?wC(?9m.Ek?腅僼碓 靔 奲?D| 疑維 d袣箈 Q| 榉慓採紤婏(鞄-h-蜪7I冑?匨+蘮.-懸 6 鶚?蚧?铒鷈?叛牪?蹾 rR?*t? 檸?籕