LTE 国际标准序列密码算法ZUC 的安全性分析
文献类型:学位论文
| 作者 | 周春芳 |
| 学位类别 | 博士 |
| 答辩日期 | 2011-11 |
| 授予单位 | 中国科学院研究生院 |
| 授予地点 | 北京 |
| 导师 | 林东岱 |
| 关键词 | 序列密码 线性区分攻击 差分攻击 ZUC S 函数 |
| 学位专业 | 信息安全 |
| 中文摘要 | 序列密码算法运行速度快、实现代价小,是新一代移动通信的主流加密算 法。我们对3GPP LTE 国际通信标准序列密码算法ZUC 的安全性进行了分析。 包括算法组件的分析和算法整体安全性的分析。我们分析了ZUC 算法中模运 算的线性性质和差分性质及差分在算法各组件中的扩散性质。我们利用现有分 析方法对ZUC 的整体安全性进行了评估,特别是线性区分攻击和差分攻击。 我们取得的成果具体如下: (1) 对于模2n-1 加法的线性性质,研究了k 个输入的模2n ¡ 1 加法运算 的线性逼近的性质,其中,n >=2。我们给出了k = 2 时模2n - 1 加法运算的线性逼近关系的具体表达式,对于k > 2 的情况,我们给出了一个迭代表达式。对于一种所有输入、输出掩码都相同且掩码汉明重量为1 的特殊线性逼近,我们 进一步讨论了n 趋于无穷大时线性逼近关系的极限。结果表明,当k 是偶数时, 线性逼近关系的极限趋于0;当k 是奇数时,极限被一个与k 有关的常数界定。 (2) 对于模2^n -1 加法运算的差分性质,我们给出了给k = 2 时异或差分经 模2n ¡ 1 加法运算后扩散概率的计算方法。另外,差分定义为模2^n -1 减法运算时,我们给出了差分经移位运算后扩散概率的计算公式。 (3) 我们对ZUC 算法中各个非线性组件的差分扩散性质进行研究。研究发 现,LFSR、比特重组、异或运算结合模2^n 加法运算这几个非线性组件虽然能够产生一定的差分扩散,但是作用非常有限。给定输入差分,输出差分的值能够 以非常大的概率被预测。S 盒有非常好的差分性质,S 盒的使用和初始化过程的 多轮运算,是ZUC 抵抗差分攻击的关键。 (4) 我们对ZUC 算法的初始化阶段进行了差分分析,将S 函数的理论分析 结果应用到实际的算法分析中,将ZUC 算法评估报告中的20 轮差分路径扩展 至24 轮,给出了一条覆盖初始化24 轮的概率为2^{-23.48} 的高概率选择IV 差分路径。进一步说明ZUC 算法是能够抵抗选择IV 攻击的。 (5) 对于两个输入的模2^n加法运算,我们给出了给定线性逼近一个或者两 个输入掩码的情况下,确定剩余的输入和输出掩码,使得线性逼近达到最优的 算法。使用该算法,可以大大缩小寻找算法最优线性逼近时线性掩码搜索空间, 提高搜索速度。 (6) 我们给出了对ZUC 进行线性区分攻击所需密钥流数量的一个下界。结 果表明我们至少需要2^{132.8}个密钥字才能区分ZUC 生成的密钥流序列和真随机序列。故一个可行的对于ZUC 的线性区分攻击很大可能不存在。 |
| 英文摘要 | Stream ciphers are widely used in secure mobile network communications for their high speed and simplicity of implementation in hardware. We analyze the stream cipher ZUC, which is one of the 3GPP LTE international standard algorithms. We focus on the security of the components of ZUC and the security of ZUC. We study the linear properties and the di®erential properties of modulo operations and the di®erential propagations in the components of ZUC. We eval- uate the resistance of ZUC against important cryptanalytic attacks, especially the linear distinguishing attack and di®erential attack. The main results of this dissertation are as follows: (1) We discuss linear approximations of the addition of k inputs modulo 2n -1 for n ¸ 2. As a result, an explicit expression of the correlations of linear approximations of the addition modulo 2^n -1 is given when k = 2, and an terative expression when k > 2. For a class of special linear approximations with all masks being equal to 1, we further discuss the limit of their correlations when n goes to infinity. It is shown that when k is even, the limit is equal to zero, and when k is odd, the limit is bounded by a constant depending on k. (2) We also discuss the differential properties of the addition modulo 2n -1 with two inputs. We give a method to calculate the differential probabilities of the addition modulo 2^n -1, when differences are expressed using XOR. When the differences are expressed using the subtraction modulo 2n¡1, we discuss the differential probabilities of the shift operations. (3) We study the differential propagations in the nonlinear components of ZUC. The study shows that the LFSR, the bit-reconstruction, the operation composing XOR and the addition modulo 2^n lead to the differential propagations. But given the input differences, we can predict the output differences of these components with high probability. The s-boxes with good differential properties and the iteration in the initialization stage are the key for ZUC to resist against differential attack. |
| 学科主题 | 计算机科学技术其他学科 |
| 语种 | 中文 |
| 公开日期 | 2012-01-05 |
| 源URL | [http://124.16.136.157/handle/311060/14399]  |
| 专题 | 软件研究所_信息安全国家重点实验室_学位论文 |
| 推荐引用方式 GB/T 7714 | 周春芳. LTE 国际标准序列密码算法ZUC 的安全性分析[D]. 北京. 中国科学院研究生院. 2011. |
入库方式: OAI收割
来源:软件研究所
浏览0
下载0
收藏0
其他版本
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。