[发明专利]一种自动化搜索SPN型轻量级分组密码活跃S盒的快速方法

说明书

本发明提供一种自动化搜索SPN型轻量级分组密码活跃S盒的快速方法，包括如下步骤：步骤1，构造S盒、行移位SR以及列混淆矩阵M的差分模式和掩码模式的传播函数；步骤2，遍历非零明文差分模式和掩码模式，对于遍历时每一轮的轮函数，依次调用S盒、行移位SR以及列混淆矩阵M的差分模式和掩码模式的传播函数，并统计该轮的活跃S盒个数；步骤3，在最后一轮更新目前搜索到的活跃S盒个数，当遍历完所有差分模式和掩码模式以后，得到的活跃S盒个数即为相应轮数SPN型分组密码的最小活跃S盒个数。本发明中活跃S盒个数的下界是紧致的下界，并且本发明的搜索效率非常高，可以搜索任意轮SPN型轻量级分组密码的活跃S盒。

技术领域

本发明涉及密码学技术领域，具体而言，涉及一种自动化搜索SPN型轻量级分组密码活跃S盒的快速方法。

背景技术

SPN型轻量级分组密码是指采用SPN结构的轻量级分组密码，SPN结构是目前分组密码广泛使用的一种密码结构，SPN结构中的S是指替换(Substitution)、P是指置换(Permutation)。许多著名的分组密码都采用这种结构，例如AES。SPN结构的每一轮都是由一个轮密钥控制的可逆非线性函数S和一个可逆线性变换P构成，其中P通常包含行移位和列混淆变换。因此，SPN型分组密码的轮函数包括：S盒变换、行移位、列混淆、轮密钥加。SPN型轻量级分组密码，通常使用基于字的设计，字长为4比特，非线性变换使用4比特S盒，行移位采用简单的拉线变换，列混淆矩阵使用4阶0-1矩阵或者轻量型MDS矩阵，SPN型分组密码的轮函数如图1所示。其中X、Y、Z和W分别表示轮函数的输入、S盒的输出、行移位的输出和列混淆的输出，K_i表示第i轮的轮密钥。

在密码分析领域中，差分分析和线性分析是分析迭代型分组密码最有效的两种分析方法，因此，抵抗差分分析和线性分析是设计分组密码要遵循的一条基本准则。评估分组密码抵抗差分分析和线性分析的安全性，常用的两种方法是：(1)寻找分组密码的最优差分特征和线性特征；(2)寻找分组密码的最小差分活跃S盒个数和线性活跃S盒个数。

最优差分特征和线性特征是指具有最大差分概率和线性概率的特征，搜索最优差分特征和线性特征需要确定每一轮的输入差分和输入掩码，以及相应的概率。寻找活跃S盒个数是搜索分组密码的差分模式和掩码模式，它不需要计算S盒具体的差分和掩码值，只要确定S盒是否活跃即可。

定义差分模式为：

设分组密码的输入差分为定义上的m维向量其中：

则称u是该分组密码的一个输入差分模式。

定义掩码模式为：

设分组密码的输入掩码为定义上的m维向量其中：

则称v是该分组密码的一个输入掩码模式。

定义活跃S盒为：

对于双射S盒，如果其输入差分/掩码非零，则称这个S盒为差分/线性活跃S盒，否则称这个S盒不活跃。

使用最优差分特征概率和最优线性特征概率可以得到分组密码抵抗差分分析和线性分析的精确安全界，然而寻找最优差分特征和线性特征的计算复杂度非常高，当分组密码的分组长度较大或者迭代轮数较高时，通常无法找到最优差分特征和线性特征。使用活跃S盒个数得到的安全界虽然不如最优特征概率精确，但是它的计算复杂度非常低，对于分组长度为n比特，使用t比特S盒的分组密码，它将搜索的时间复杂度从降为因此，算法设计者通常采用计算最小活跃S盒个数的方法评估其安全性。