面向Feistel密码的基于故障传播模式的差分故障分析

密码算法是信息安全研究的核心内容之一，其实际安全性不仅依赖于密码自身的数学特性，也依赖于具体的实现特性。基于实现的密码分析是一种有别于传统密码分析的新型密码分析方法，它利用算法实现时的信息泄露来恢复秘密信息。差分故障分析(Differential Fault Analysis，简称DFA)就是这样一类重要的密码分析方法。 现代密码学中，密码设计通常基于混淆和扩散这两大基本原则。对于一个分组密码而言，选择一个合适的轮函数并进行若干次迭代可以提供必要的混淆和扩散。因此，目前流行的分组密码均为迭代型密码，所采用的典型结构包括Feistel结构、SPN结构和广义Feistel结构等。这些密码结构及其所采用的基础密码组件(例如，S盒和P置换等)的性质，完全决定了故障在传播过程中所呈现的一些模式。直观上，这种内在特征可以用于挖掘DFA攻击和密码结构之间的关系。因此，完全可能利用这种特征来建立一种面向密码结构的系统化DFA攻击方法。 本文主要研究面向Feistel密码的差分故障分析方法，并探讨这类分析方法与已有可证明安全性理论分析结论之间的关系。为此，引入了故障传播路径(Fault Propagation Path，简称FPPath)和故障传播模式(Fault Propagation Pattern，简称FPPattern)的概念，给出了适用于Feistel结构的 FPPath 和 FPPattern 计算方法，建立了与已有可证明安全性理论结果之间的关系。在此基础上，提出了一种面向Feistel密码的基于故障传播模式的 系统化差分故障分析方法。使用该方法，可编程实现FPPath和FPPattern的自动计算，这将有助于针对Feistel密码的自动化DFA攻击的实施。这种情形下，可将FPPath的长度视作评估DFA攻击有效性的一种度量指标。此外，该系统化方法的必然结果是攻击性能的显著提高：不但攻击轮数有所减少，而且故障植入点数量也会减少，这将迅速降低实施一次成功攻击所需的故障密文数。最后，为验证该方法的正确性和有效性，以Camellia密码算法为具体实例，进行了相关模拟攻击实验研究，并给出了相应的数据复杂度分析和时间复杂度分析。通过充分利用Camellia算法中P置换的性质，在不需要穷举搜索的情况下，新攻击方法仅需要6个故障密文即可完全恢复出128位密钥，而成功恢复出192位或256位密钥所需要的故障密文数则为22个。结果表明，基于FPPattern的DFA方法要优于所有已有同类方法。