摘要：对分组密码算法CLEFIA进行不可能差分分析.CLEFIA算法是索尼公司在2007年快速软件加密大会(FSE)上提出来的.结合新发现和新技巧,可有效过滤错误密钥,从而将算法设计者在评估报告中给出的对11圈CLEFIA-192/256的攻击扩展到11圈CLEFIA-128/192/256,复杂度为2103.1次加密和2103.1个明文.通过对明文附加更多限制条件,给出对12圈CLEFIA-128/192/256的攻击,复杂度为2119.1次加密和2119.1个明文.而且,引入一种新的生日筛法以降低预计算的时间复杂度.此外,指出并改正了Tsunoo等人对12圈CLEFIA的攻击中复杂度计算方面的错误.

摘要：评估了2007年提出的分组加密算法CLEFIA抗饱和度分析的强度。指出并改正了CLEFIA的设计者Shirai等人提出的8圈区分器的错误。将白化密钥和子密钥结合,并利用分别征服策略减少需要猜测的密钥个数,采用"部分和"技术以降低时间复杂度。从而,将对10圈CLEFIA的饱和度攻击扩展到11圈的CLEFIA-128/192/256。此外,该攻击还可应用到12圈的CLEFIA-192/256和13圈的CLEFIA-256。

摘要：积分攻击是由Daemen等人(doi:10.1007/BFb0052343)于1997年提出的一种密码分析方法,是继差分分析和线性分析之后最有效的密码分析方法之一。作为2018年全国密码算法设计竞赛分组算法的获胜算法,uB-lock抵抗积分攻击的能力受到较多的关注。为了重新评估uBlock家族密码算法抵抗积分攻击的安全性,该文利用单项式传播技术,结合混合整数线性规划(MILP)工具搜索积分区分器,并利用部分和技术进行密钥恢复攻击。对于uBlock-128/128和uBlock-128/256,基于搜索到的9轮积分区分器分别进行了首个11轮和12轮攻击,数据复杂度为2~(127)选择明文,时间复杂度分别为2~(127.06)和2~(224)次加密,存储复杂度分别为2~(44.58)和2~(138)字节;对于uBlock-256/256,基于搜索到的10轮积分区分器进行了首个12轮攻击,数据复杂度为2~(253)选择明文,时间复杂度为2~(253.06)次加密,存储复杂度为2~(44.46)字节。与之前uBlock的最优积分攻击结果相比,uBlock-128/128和uBlock-256/256的攻击轮数分别提高2轮,uBlock-128/256的攻击轮数提高3轮。本文的攻击说明,uBlock针对积分攻击依然有足够的安全冗余。

摘要：针对通用串行总线(USB)的安全隐患,提出了USB接口的安全策略,包括主机与设备之间身份双向认证、总线传输安全、数据存储安全等基本功能.给出了一种主机与设备之间双向认证及密钥协商协议,提出了一种密码安全USB设备控制器的系统设计方案,并在现场可编程门阵列(FPGA)上对该方案进行了IP核验证.实验结果表明,该方案能够满足预期的安全功能需求,可为实际的系统开发提供芯片级安全保护.

摘要：目前,许多Android系统开发人员为了缩短开发时间,选择在其应用程序中内置第三方SDK的方式.第三方SDK是一种由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,它已经成为Android生态系统的重要组成部分.但是,一个SDK有安全漏洞,会导致所有包含该SDK的应用程序易受攻击,这严重影响了Android生态系统的安全性.因此,在市场上选取了129个流行的第三方SDK,并对其安全性进行了全面分析.为了提高分析的准确性,将第三方SDK的demo应用作为分析对象,并使用了在分析Android应用中有效的分析方法(例如静态污点追踪、动态污点追踪、动态二进制插桩等)和分析工具(例如flowdroid、droidbox等).结果显示:在选取的这些SDK中,超过60%含有各种漏洞(例如HTTP的误用、SSL/TLS的不正确配置、敏感权限滥用、身份识别、本地服务、通过日志造成信息泄露、开发人员的失误),这对相关应用程序的使用者构成了威胁.

摘要：我们设计了一个新的分组密码算法-Raindrop分组密码算法.Raindrop算法共有Raindrop-128/128/60、Raindrop-128/256/80和Raindrop-256/256/100三个版本.Raindrop算法整体采用Feistel结构,保证加解密的一致性.轮函数采用S盒代换、行混合、列循环移位操作.S盒由Keccak函数非线性运算的布尔表达式生成;行混合操作中使用了深度为1的4×4二元域矩阵;密钥生成算法采用异或数较少的线性操作;通过采用简单的非线性层、线性层及密钥生成算法,使得Raindrop分组算法在硬件实现上具有较好的优势.在安全方面,我们利用自动化工具STP对Raindrop分组算法进行评估,评估结果显示,Raindrop算法可以有效地抵抗差分攻击和线性攻击等已知攻击方法.

摘要：我们设计了一款新的系列分组密码算法-ANT,其包含3个版本,根据分组长度/密钥长度可以分别记为ANT-128/128、ANT-128/256和ANT-256/***算法采用了经典的Feistel结构,轮函数采用比特级的设计,仅包含与操作,循环移位操作和异或操作(AND-Rotation-XOR).结合Expand-then-compress的设计思想,使ANT算法达到了较好的扩散速度.得益于精心构造的比特级轮函数,在保证算法达到较高安全性的同时,还具有出色的硬件性能,非常适合轻量级实现.在硬件实现环境(HJTC110 nm标准元件库)下,ANT-128/128加解密基于轮实现的硬件面积仅为3220 GE.而轮函数仅采用与操作作为非线性操作,相比传统的S盒算法,ANT算法在侧信道防护实现上更具优势.在软件方面,ANT算法在设计过程中就充分考虑到bitslice的实现速率.测试结果也表明,ANT算法具有出色的多路软件性能.针对现有常见的攻击方法,我们对ANT算法进行了全面的安全性分析,分析结果表明ANT系列算法各个版本均具有较高的安全冗余.

摘要：广义Feistel结构(GFS)是设计对称密码算法的重要基础结构之一,其在经典计算环境中受到了广泛的研究。但是,量子计算环境下对GFS的安全性评估还相当稀少。该文在量子选择明文攻击(qCPA)条件下和量子选择密文攻击(qCCA)条件下,分别对Type-1 GFS进行研究,给出了改进的多项式时间量子区分器。在qCPA条件下,给出了3d–3轮的多项式时间量子区分攻击,其中d(d≥3)是Type-1 GFS的分支数,攻击轮数较之前最优结果增加d-2轮。得到更好的量子密钥恢复攻击,即相同轮数下攻击的时间复杂度降低了2(d-2)n/2。在qCCA条件下,对于Type-1 GFS给出了3d-2轮的多项式时间量子区分攻击,比之前最优结果增加了d-1轮。该文将上述区分攻击应用到CAST-256分组密码中,得到了12轮qCPA多项式时间量子区分器,以及13轮qCCA多项式时间量子区分器,该文给出19轮CAST-256的量子密钥恢复攻击。

摘要：到目前为止,不使用复杂纠错码的基于模LWE LWR问题设计的高效密钥封装方案主要有2类:1)如Kyber,Aigis和Saber直接基于(对称或非对称)模LWE LWR问题设计;2)如AKCN-MLWE和AKCN-MLWR基于密钥共识机制结合模LWE LWR问题设计.一般来说,在满足一定安全性和实现效率的基础上,实际应用中构造的密钥封装方案会通过压缩一些通信比特来达到节省通信带宽的目的.据作者所知,现存文献的关注点一般集中在详细分析对应某具体参数条件下密码体制的安全性,还没有文献系统地分析上述2类构造方式的异同以及采用相同(或不同)压缩函数情况下不同参数选择与错误率的关系.从理论上系统地比较了直接基于LWE LWR构造的密钥封装方案和基于密钥共识机制结合模LWE LWR问题设计的密钥封装方案的异同,并从理论分析和实际测试2方面证明了当采用相同的压缩函数和相同的参数设置时,AKCN-MLWE采用的构造方式要优于Kyber采用的构造方式,而Saber采用的构造方式本质上与AKCN-MLWR是相同的.针对Kyber-1024这一组参数对应的安全强度,还详细分析了3种封装512 b密钥长度的方法.根据理论分析和大量的实验测试,给出了AKCN-MLWE和AKCN-MLWR的新的优化建议和参数推荐,也给出了对于Aigis和Kyber的优化方案(对应的命名为AKCN-Aigis和AKCN-Kyber)和新的参数推荐.

摘要：适配器签名,又称无脚本脚本,是解决区块链应用(如密码货币)中扩展性差、吞吐量低等问题的重要密码技术.适配器签名可看作数字签名关于困难关系的扩展,同时具有签名授权和证据提取两种功能,在区块链应用中具有以下优点:(1)降低链上成本;(2)提高交易的可替代性;(3)突破区块链脚本语言限制.SM2签名是我国自主设计的国家标准签名算法,在各种重要信息系统中有着广泛应用.基于SM2签名构造出高效的适配器签名方案,并在随机谕言机模型下给出安全性证明.所提方案结合SM2签名结构,可避免在预签名阶段生成额外的零知识证明,与现有ECDSA/SM2适配器签名相比更加高效,其中,预签名生成效率提升4倍,预签名验证效率提升3倍.随后,基于SM2协同签名,构造分布式SM2适配器签名,可避免单点故障问题,提升签名私钥安全.最后,在实际应用方面,基于SM2适配器签名构造适用于一对多场景下安全高效的批量原子交换协议.