对KASUMI算法的分析与攻击
相关密钥偏差统计分析
实验代码:https://gitee.com/cloud-lumiere/cryptography/blob/master/分组密码/KASUMI/KASUMI_bios_analy.py
实验设计
基于Biham等人的相关密钥矩形攻击理论,设计了系统的偏差分析框架:
卡方统计分析器
class ChiSquareAnalyzer:
"""自动化的卡方检验框架,支持蒙特卡罗模拟"""
- 自动分组处理低期望频数问题
- 蒙特卡罗模拟用于小概率事件
- 效应量计算(Cramer's V)
相关密钥实验配置
- 轮数范围:3-6轮(测试低轮数的脆弱性)
- 差分位置:前4个16位密钥字(K1-K4)
- 差分值:9种不同模式(单比特到全差分)
- 样本量:每实验50,000个明文对
实验发现
统计显著结果汇总
共 11/160 个实验配置达到统计显著水平((p < 0.05)),结果如下表所示:
| 轮次 | 字索引 | 差分(Hex) | 卡方值 | p值 | 效应大小 |
|---|---|---|---|---|---|
| 6 | 2 | 0x00FF | 9,888.74 | 7.70e-05 | 0.0046 |
| 3 | 0 | 0x0F00 | 9,820.96 | 4.74e-04 | 0.0046 |
| 3 | 0 | 0x0001 | 453,823.03 | 5.00e-04 | 0.0311 |
| 3 | 0 | 0x0010 | 447,409.00 | 5.00e-04 | 0.0309 |
| 3 | 0 | 0x0100 | 458,694.04 | 5.00e-04 | 0.0313 |
| 3 | 0 | 0x000F | 15,858.97 | 5.00e-04 | 0.0058 |
| 3 | 0 | 0x00F0 | 16,774.29 | 5.00e-04 | 0.0060 |
| 5 | 1 | 0x00F0 | 9,698.11 | 7.50e-03 | 0.0046 |
| 4 | 0 | 0xFFFF | 9,664.41 | 1.42e-02 | 0.0045 |
| 3 | 3 | 0x0F00 | 9,633.70 | 2.43e-02 | 0.0045 |
| 3 | 2 | 0x0010 | 9,594.37 | 4.56e-02 | 0.0045 |
结果分析
- 轮次影响:3轮配置表现最为显著,共7个显著结果,且卡方值普遍高于其他轮次。
- 差分位置:字索引0(密钥的第一个16位字)最敏感,尤其在3轮配置下。
- 差分模式:单比特差分(0x0001, 0x0010, 0x0100)在3轮中产生了极高的卡方值,说明密钥的特定比特位差分更容易在低轮数下传播至密文。
- 效应大小:尽管p值显著,但效应大小普遍较小(Cramer's V < 0.05),表明实际偏差较弱,但仍具统计可检测性。
相关密钥三明治攻击区分器复现
区分器理论依据
基于相关密钥三明治攻击的论文,复现了针对7轮KASUMI的区分器:
实验代码:https://gitee.com/cloud-lumiere/cryptography/blob/master/分组密码/KASUMI/KasumiRelatedKeySandwichDistinguisher.py
参考论文:孔凡杰,李磊,韩文报. Kasumi算法相关密钥Sandwich攻击区分器的构造[J]. 四川大学学报(自然科学版),2012,49(2):315-322. DOI:10.3969/j.issn.0490-6756.2012.02.012.
攻击模型
- 四密钥模型:K_a, K_b = K_a ⊕ ΔK_{a,b}, K_c = K_a ⊕ ΔK_{a,c}, K_d = K_b ⊕ ΔK_
- 四元组结构:(P_a, P_b, P_c, P_d),其中P_b = P_a ⊕ α,P_d = P_c ⊕ α
- 目标:检测密文差分满足特定模式,概率高于随机情况
区分器类型
根据论文构造了两种类型的区分器:
| 类型 | 条件 | 概率 | 中间层概率(r) |
|---|---|---|---|
| Type I | k & 0xFF00 = 0 | 2⁻¹⁴ | 2⁻⁶ |
| Type II | k & 0x00FF = 0 | 2⁻¹⁶ | 2⁻⁸ |
区分器实现
class KasumiRelatedKeySandwichDistinguisher:
def __init__(self, k_value: int):
"""初始化区分器,k为16位且Hamming weight=1"""
self.k = k_value
self._determine_distinguisher_type()
self.delta_ka_b = self._create_delta_key_ka_b() # ΔK_{a,b} = (0,0,k,0,0,0,0,0)
关键操作
-
密钥差分构造:
- ΔK_{a,b} = (0, 0, k, 0, 0, 0, 0, 0)
- ΔK_{a,c} = (0, 0, 0, 0, 0, 0, 0, 0)
-
输入差分:
α = (0³², (k <<< 5) || 0¹⁶) -
验证条件:
C_a^R ⊕ C_b^R = δ 且 C_c^R ⊕ C_d^R = δ 其中δ = (k <<< 5) || 0¹⁶
实验结果
区分器验证
成功复现了论文中的区分器:
| k值 | 类型 | 理论概率 |
|---|---|---|
| 0x0020 | Type I | 2⁻¹⁴ ≈ 6.10e-5 |
| 0x0080 | Type I | 6.10e-5 |
| 0x0100 | Type II | 2⁻¹⁶ ≈ 1.53e-5 |
| 0x8000 | Type II | 1.53e-5 |
概率分解验证
验证了论文中的概率分解公式:
总概率 \(= p^2 × q^2 × r\)
其中:\(p = 2^{-2} (E_0概率), q = 2^{-2} (E_1概率)\)
对于Type I区分器:
\((2^{-2})^2 × (2^{-2})^2 × 2^{-6} = 2^{-4} × 2^{-4} × 2^{-6} = 2^{-14}\)
攻击复杂度分析
| 区分器类型 | 概率 | 需要四元组数量 | 数据复杂度 |
|---|---|---|---|
| Type I | 2⁻¹⁴ | 2¹⁴ ≈ 16,384 | 4 × 2¹⁴ ≈ 65,536 |
| Type II | 2⁻¹⁶ | 2¹⁶ ≈ 65,536 | 4 × 2¹⁶ ≈ 262,144 |
总结与展望
主要成果
- 完整算法实现:成功实现了符合3GPP标准的KASUMI算法,并通过了所有标准测试向量验证。
- 系统性偏差分析:构建了自动化统计分析框架,实验证实了KASUMI在低轮数下存在显著的相关密钥偏差,为实际攻击提供了依据。
- 攻击区分器复现:成功复现了Biham等人提出的相关密钥三明治攻击区分器,验证了论文中的理论概率,证实了区分器的有效性。
安全性分析
实验结果表明:
- 低轮脆弱性:3-4轮KASUMI显示出明显的统计偏差
- 相关密钥攻击:特定密钥差分可导致可检测的密文差分模式
- 实际影响:虽然8轮完整KASUMI仍然安全,但低轮配置在实际应用中可能存在风险
未来工作方向
- 扩展攻击轮数:尝试将攻击扩展到更多轮数
- 密钥恢复攻击:基于区分器实现完整的密钥恢复攻击
- 优化攻击参数:寻找更高效的差分模式
- 其他攻击方法:探索其他类型的攻击,如不可能差分攻击、积分攻击等
- 实际应用测试:在更接近实际应用的场景下测试攻击效果
结论
本课程设计通过实现KASUMI算法、构建统计分析框架和复现先进攻击区分器,全面分析了KASUMI算法的安全性特性。实验结果验证了KASUMI在相关密钥攻击下的脆弱性,特别是在低轮数配置中。这些发现不仅深化了对KASUMI算法的理解,也为评估类似Feistel结构密码的安全性提供了方法论参考。
关键启示:
- 密码算法的实际安全性不仅取决于理论设计,还需要通过系统性的统计分析来验证
- 相关密钥攻击是现代分组密码的重要威胁模型
- 自动化实验框架对于密码分析研究具有重要价值
浙公网安备 33010602011771号