[发明专利]一种零相关线性密码分析方法、系统、介质及电子设备

说明书

本公开提供了一种零相关线性密码分析方法、系统、介质及电子设备，包括以下步骤：获取待分析的可调整分组密码；将获取的可调整分组密码视为向量布尔函数，构建明文、密钥和调整与向量布尔函数的映射关系，设定向量布尔函数的线性近似逼近表达式；搜索使得线性近似逼近表达式的相关值为零的线性近似逼近，根据得到的线性近似逼近即零相关区分器转换为积分区分器用以判断反向解密用的密钥是否正确；其中，零相关线性近似逼近表达式的相关性通过遍历明文、密钥和调整的所有可能取值得到；本公开中，明文、密钥和调整被平等的对待，实现了对线性逼近的快速和准确搜索，能够更快速的确定密钥的准确性，降低了解密的复杂程度，提高了积分攻击的成功率。

技术领域

本公开涉及密码分析技术领域，特别涉及一种零相关线性密码分析方法、系统、介质及电子设备。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术，并不必然构成现有技术。

线性密码分析是分析分组密码最重要技术之一，从中衍生出许多密码分析技术，包括线性壳影响，多重线性密码分析，多维线性密码分析等。基本上，这些技术依赖于目标的线性逼近高绝对相关性。2014年，Bogdanov和Rijmen提出了线性密码分析的一种变体称为零相关线性密码分析，利用具有绝对零相关性的线性壳。该技术在早期的主要缺点是它几乎需要整个密码本执行攻击。FSE2012克服了零相关线性密码分析在数据复杂性方面的限制的问题，其中目标的多个线性逼近度为零。后来，零相关线性逼近和积分区分器之间的联系在ASIACRYPT 2012中建立。

零相关线性密码分析的另一个关于密钥调整的讨论始于FSE 2018，在这项工作中，可以找到零相关线性包含明文、调整和密文的逼近值，有时会导致区分器覆盖目标的更多轮数。请注意，此类改进仅在零相关线性密码分析的情况下才有可能，因为Kranz，Leander和Wiemer表明使用线性调整扩展算法的调整不会引入新的有效线性特征。但是，Ralph等人的成果仅适用于具有线性密钥调整调度算法的密码并且在字级上，因此可能会错过一些比特级区分器。

本公开发明人发现，最初的对于可调整的分组密码E_K,T(当T为0为经典分组密码)的零相关线性攻击考虑了密钥K调整T的线性逼近表达式：对于任意给定的K和T都有相关性为零，其中相关性是遍历所有可能的明文x得到的。显然，明文，密钥，调整并没有被平等的对待，从而导致零相关线性密码分析的过程较为复杂，无法实现更快速的零相关线性密码分析。

发明内容

为了解决现有技术的不足，本公开提供了一种零相关线性密码分析方法、系统、介质及电子设备，明文、密钥和调整被平等的对待，实现了对线性逼近的快速和准确搜索，能够更快速的确定密钥的准确性，降低了解密的复杂程度，提高了线性攻击的成功率。

为了实现上述目的，本公开采用如下技术方案：

本公开第一方面提供了一种零相关线性密码分析方法。

一种零相关线性密码分析方法，包括以下步骤：

获取待分析的可调整分组密码；

将获取的可调整分组密码视为向量布尔函数，构建明文、密钥和调整与向量布尔函数的映射关系，设定向量布尔函数的线性近似逼近表达式；

通过设定的线性逼近表达式中的线性掩码在分组密码结构中的传播规则确定一组线性逼近表达式的相关性为零，得到一个零相关区分器并转换为积分区分器以判断反向解码用的密钥是否正确；

其中，线性逼近表达式的相关性通过遍历明文、密钥和调整的所有可能取值得到验证。

将获得的零相关区分器转换为积分区分器以进行密钥恢复攻击，积分区分器的加和平衡性通过遍历表中给出明文、密钥和调整的特殊位置得到验证；

通过遍历特定位置明文、密钥和调整，可以获得n轮区分器加密后密文的零和平衡特性，从而判断反向解密使用的密钥是否正确。