田玉丹，韋永壯

?

認(rèn)證加密模型JAMBU的新分析

田玉丹1，韋永壯2

（1. 華東師范大學(xué)信息化辦公室，上海 200333； 2. 認(rèn)知無(wú)線電與信息處理省部共建教育部重點(diǎn)實(shí)驗(yàn)室（桂林電子科技大學(xué)），廣西桂林 541004）

根據(jù)JAMBU模型的結(jié)構(gòu)特點(diǎn)——相關(guān)數(shù)據(jù)和明文可以相互轉(zhuǎn)化，利用偽造攻擊等基本思想提出了“隨機(jī)數(shù)重復(fù)利用”的分析方法。結(jié)果表明，該分析所需數(shù)據(jù)復(fù)雜度為，時(shí)間復(fù)雜度為。與已有分析結(jié)果相比，該分析數(shù)據(jù)復(fù)雜度更低。

JAMBU；偽造攻擊；CAESAR；認(rèn)證加密

1 引言

認(rèn)證加密算法可以同時(shí)實(shí)現(xiàn)信息的加解密和完整性檢驗(yàn)這2個(gè)功能，已被廣泛應(yīng)用于各種網(wǎng)絡(luò)安全系統(tǒng)中。2013年，世界范圍內(nèi)開(kāi)啟了對(duì)認(rèn)證加密算法的征集活動(dòng)——CAESAR[1,2]；2014年，57個(gè)認(rèn)證加密算法入選一輪候選算法；2015年，共29個(gè)認(rèn)證加密算法入選二輪候選算法；2016年，15個(gè)認(rèn)證加密算法入選三輪候選算法。Wu等基于輕量級(jí)認(rèn)證加密的思想，利用NIST的推薦模型CFB，設(shè)計(jì)出了JAMBU模型[3]。這一模型具有新穎的結(jié)構(gòu)和設(shè)計(jì)理念，并且順利入選CAESAR第三輪候選算法。該模型具有廣泛的適用性。例如，將SIMONU[4]和AES-128[5]算法分別嵌入JAMBU模型，可得到相應(yīng)的認(rèn)證加密算法SIMON-JAMBU和AES-JAMBU。

2014年，Thomas等在文獻(xiàn)[6]中對(duì)JAMBU的安全性進(jìn)行分析：輸入2個(gè)不同的初始隨機(jī)向量，會(huì)產(chǎn)生不同的內(nèi)部狀態(tài)，然后改變輸入的明文值，可求得內(nèi)部狀態(tài)的差分值，從而達(dá)到預(yù)測(cè)密文的效果。結(jié)果表明，該分析所需數(shù)據(jù)復(fù)雜度為個(gè)選擇明文，時(shí)間復(fù)雜度為次加密模塊訪問(wèn)。

2015年，Di在文獻(xiàn)[7]中對(duì)AES-JAMBU的安全性進(jìn)行分析，其主要的分析方法包括：窮密鑰搜索攻擊、暴力破譯MAC攻擊、密文組插入攻擊、密文組刪除攻擊、密文修改攻擊、選擇明文攻擊。分析結(jié)果顯示，以上6種攻擊方法攻擊復(fù)雜度最低為。

本文根據(jù)JAMBU的“相關(guān)數(shù)據(jù)處理階段和明文加密階段具有類似的結(jié)構(gòu)”這一特點(diǎn)提出“相關(guān)數(shù)據(jù)和明文相互轉(zhuǎn)化”的新分析。研究表明，新分析通過(guò)改變相關(guān)數(shù)據(jù)和明文分組的個(gè)數(shù)，實(shí)現(xiàn)相關(guān)數(shù)據(jù)向明文轉(zhuǎn)化的功能，從而預(yù)測(cè)密文的輸出值。該分析所需數(shù)據(jù)復(fù)雜度為個(gè)選擇明文，時(shí)間復(fù)雜度為次加密模塊訪問(wèn)。因此，新分析過(guò)程在保證時(shí)間復(fù)雜度未變的前提下，降低了數(shù)據(jù)復(fù)雜度。

2 JAMBU算法介紹

JAMBU是一個(gè)輕量級(jí)認(rèn)證加密模型[3]。Wu等將JAMBU模型與SIMON算法結(jié)合，設(shè)計(jì)出了認(rèn)證加密算法SIMON-JAMBU，將JAMBU模型與AES-128算法結(jié)合，設(shè)計(jì)出了認(rèn)證加密算法AES-JAMBU。JAMBU模型的輸入為位密鑰，位公共隨機(jī)數(shù)，相關(guān)數(shù)據(jù)和明文，生成與明文相同位長(zhǎng)的密文和位標(biāo)簽。

JAMBU模型的基本運(yùn)算如下。

JAMBU的基本符號(hào)與常量介紹如下。

JAMBU模型的認(rèn)證加密過(guò)程共有5個(gè)階段：數(shù)據(jù)填充、初始化、相關(guān)數(shù)據(jù)處理、明文加密、生成認(rèn)證標(biāo)簽，如圖1所示。

1) 數(shù)據(jù)填充階段

2) 初始化階段

3) 相關(guān)數(shù)據(jù)處理階段

4) 明文加密階段

認(rèn)證標(biāo)簽生成階段如圖1所示，共有兩輪狀態(tài)更新過(guò)程，其過(guò)程如下。

3 認(rèn)證加密模型JAMBU的分析過(guò)程

(2)

(4)

式(3)輸入為1個(gè)相關(guān)數(shù)據(jù)分組和2個(gè)明文分組，式(4)輸入為2個(gè)相關(guān)數(shù)據(jù)分組和1個(gè)明文分組，設(shè)，為步驟1所求得在處所注入的相關(guān)數(shù)據(jù)差分值，根據(jù)步驟1可知，該差分可以使兩式加密過(guò)程中產(chǎn)生差分。由圖4可知，圖4(b)在處多注入一個(gè)1，因此，即。在第3個(gè)模塊輸入端注入差分，當(dāng)時(shí)，、、、、、。因此如果輸出密文滿足，則有可能。通過(guò)次加密和個(gè)明文數(shù)據(jù)即可求出可能的值(證明過(guò)程與步驟1相似)。

個(gè)輸入相關(guān)數(shù)據(jù)個(gè)輸入相關(guān)數(shù)據(jù)共個(gè)相關(guān)數(shù)據(jù)差分

表1 JAMBU分析結(jié)果對(duì)比

4 結(jié)束語(yǔ)

表1將文獻(xiàn)[5]和本文結(jié)果進(jìn)行對(duì)比。由表可知，文獻(xiàn)[5]改變初始向量的值，使初始化階段狀態(tài)產(chǎn)生差分，然后注入明文差分，抵消初始向量帶來(lái)的差分，最終內(nèi)部狀態(tài)發(fā)生碰撞，所需數(shù)據(jù)復(fù)雜度為個(gè)選擇明文，時(shí)間復(fù)雜度為次加密模塊訪問(wèn)；文獻(xiàn)[7]提出針對(duì)AES-JAMBU的分析方法，分析結(jié)果顯示數(shù)據(jù)復(fù)雜度和時(shí)間復(fù)雜度均為；本文采用相同的初始向量值，通過(guò)改變相關(guān)數(shù)據(jù)和明文的界限，注入相關(guān)數(shù)據(jù)差分，使內(nèi)部狀態(tài)產(chǎn)生差分，再注入明文差分，最終內(nèi)部狀態(tài)發(fā)生碰撞，從而預(yù)測(cè)密文，所需數(shù)據(jù)復(fù)雜度為個(gè)選擇明文，時(shí)間復(fù)雜度為次加密模塊訪問(wèn)。因此，本文所需數(shù)據(jù)復(fù)雜度要小于文獻(xiàn)[5]和文獻(xiàn)[7]，時(shí)間復(fù)雜度與文獻(xiàn)[5]的復(fù)雜度相同并小于文獻(xiàn)[7]的復(fù)雜度。

[1] DANIEL J. CAESAR-competition for authenticated encryption: security, applicability, and robustness[OE/OL]. http://competitions. cr.yp.to/caesar.html.

[2] FUHR T, LEURENT G, SUDER V. Forgery and key-recovery attacks on caesar candidate marble[J]. Cryptography & Security, 2015.

[3] WU H. HUANG T. JAMBU lightweight authenticated encryption mode and AES-JAMBU (v1)[C]// The CAESAR Competition.2014.

[4] WU W, ZHANG L. LBlock: a lightweight block cipher[C]//Applied Cryptography and Network Security. 2011: 327-344.

[5] DERBEZ P, FOUQU A, JEAN J. Improved key recovery attacks on reduced-round AES in the single-key setting[C]//The 32nd Annual International Conference on the Theory and Applications of Cryptographic Techniques．2013: 371-378.

[6] PEYRIN T, SIM S M, WANG L, et al. Cryptanalysis of JAMBU[J]. Early Symmetric Crypto ESC, 2015: 77.

[7] DI B B.Analysis of one-pass block cipher based authenticated encryption schemes[DB/OL]. http://eprints.qut.edu.au/87437/1/Binbin_ Di_Thesis.pdf.

[8] KAVUN E B, YALCIN T. A lightweight implementation of Keccak Hash function for radio-frequency identification applications[M]// Radio Frequency Identification: Security and Privacy Issues. Berlin: Springer, 2010: 258-269.

[9]劉彥賓, 韋永壯. PMAC 模式的消息偽造攻擊[J]. 計(jì)算機(jī)工程, 2009, 35(22): 150-152.

LIU Y B, WEI Y Z. Message forgery attack of PMAC scheme[J]. Computer Engineering, 2009, 35(22): 150-152.

New cryptanalysis of the authenticated cipher model JAMBU

TIAN Yu-dan1, WEI Yong-zhuang2

(1. Information Technology Services Center, East China Normal University, Shanghai 200333, China; 2. Key Laboratory of Cognitive Radio and Information Processing Ministry of Education, (Guilin University of Electronic Technology), Guilin 541004, China)

Based on the characteristic of JAMBU, a forgery attack by using the principle, where the associated data can be transformed into the plaintext was proposed. It is shown that the attack requires a data complexity of aboutchosen plaintext, and a time complexity of aboutencryptions. Compared with the previous attack, this attack is more favorable.

JAMBU, forgery attack, CAESAR, authenticated encryption

TP309.7

A

10.11959/j.issn.2096-109x.2017.00177

田玉丹（1990-），女，山東菏澤人，華東師范大學(xué)初級(jí)網(wǎng)絡(luò)安全工程師，主要研究方向?yàn)樾畔踩?/p>

韋永壯（1976-），男，廣西田陽(yáng)人，博士，桂林電子科技大學(xué)教授，主要研究方向?yàn)樾畔踩?/p>

2017-05-12；

2017-06-10。

韋永壯，walker_wei@msn.com

廣西無(wú)線寬帶通信與信號(hào)處理重點(diǎn)實(shí)驗(yàn)室主任基金資助項(xiàng)目（No.GXKL061510）

Guangxi Wireless Broadband Communication and Signal Processing Laboratory Director of Foundation (No.GXKL061510)