ARIA分組密碼算法的不可能差分攻擊

謝高淇 衛(wèi)宏儒

(北京科技大學(xué)數(shù)理學(xué)院 北京 100083) (xiegaoqi@sina.cn)

ARIA密碼算法[1]是韓國(guó)國(guó)家安全研究所提出的一種SPN(substitution-permutation network)結(jié)構(gòu)[2]的密碼算法，隸屬于分組密碼算法[3]，在2004年時(shí)，韓國(guó)工業(yè)部、商業(yè)部和能源部確定ARIA為韓國(guó)分組密碼算法標(biāo)準(zhǔn).在結(jié)構(gòu)上，ARIA密碼算法和AES(advanced encryption standard)算法[4-5]很相似，故很多用來(lái)分析AES算法的分析方法可以用來(lái)對(duì)ARIA密碼算法進(jìn)行分析，并取得了很好的效果.本文類(lèi)比對(duì)AES算法的分析，結(jié)合對(duì)ARIA密碼算法的研究，實(shí)現(xiàn)對(duì)ARIA密碼算法新的攻擊.

從文獻(xiàn)[6-7]可知，不可能差分分析方法是由Biham和Knudsen提出的，一種使用不可能出現(xiàn)的差分即概率為0的差分特征過(guò)濾錯(cuò)誤密鑰猜測(cè)，從而得到正確密鑰值的分析方法.一經(jīng)提出，該方法便得到了廣泛的應(yīng)用，被應(yīng)用于分析密碼結(jié)構(gòu)與算法.尤其是對(duì)AES算法的分析中效果良好，ARIA密碼算法和AES算法結(jié)構(gòu)上相似，不可能差分分析針對(duì)ARIA密碼算法的分析也取得了非常好的效果.

1 算法ARIA

1.1 符號(hào)說(shuō)明

本文所使用符號(hào)具體釋義如表1所示：

Table 1 Symbol Description表1 符號(hào)說(shuō)明

1.2 ARIA算法介紹

ARIA密碼算法是SPN結(jié)構(gòu)型分組密碼，分組長(zhǎng)度為128 b，密鑰長(zhǎng)度為128 b,192 b,256 b，相應(yīng)的輪數(shù)分別為12輪、14輪和16輪[8].128 b的數(shù)據(jù)分組對(duì)應(yīng)一個(gè)4×4的表格，共16 B，如圖1所示.

Fig. 1 The state of 128 b on ARIA圖1 ARIA的128 b狀態(tài)

ARIA的輪函數(shù)由3個(gè)部件構(gòu)成：

1) 混淆層(substitution layer,SL)

選用2個(gè)S盒S1和S2以及它們的逆S-11和S-12.每一個(gè)S盒定義為F28上的1個(gè)可逆的非線(xiàn)性變換函數(shù)S：{0,1}8→{0,1}8.ARIA有2種類(lèi)型的S盒層：

奇數(shù)輪采用的變換為

偶數(shù)輪采用的變換為

2) 擴(kuò)散層(diffusion layer,DL)

擴(kuò)散層是一個(gè){0,1}8×16→{0,1}8×16的映射，為16 B的線(xiàn)性運(yùn)算：

(y0,y1,…,y15)T=L°(x0,x1,…,x15)T，

其中，L(x)表示線(xiàn)性函數(shù)，“°”是復(fù)合運(yùn)算符.

其中：

y0=x3⊕x4⊕x6⊕x8⊕x9⊕x13⊕x14，
y1=x2⊕x5⊕x7⊕x8⊕x9⊕x12⊕x15，
y2=x1⊕x4⊕x6⊕x10⊕x11⊕x12⊕x15，
y3=x0⊕x5⊕x7⊕x10⊕x11⊕x13⊕x14，
y4=x0⊕x2⊕x5⊕x8⊕x11⊕x14⊕x15，
y5=x1⊕x3⊕x4⊕x9⊕x10⊕x14⊕x15，
y6=x0⊕x2⊕x7⊕x9⊕x10⊕x12⊕x13，
y7=x1⊕x3⊕x6⊕x8⊕x11⊕x12⊕x13，
y8=x0⊕x1⊕x4⊕x7⊕x10⊕x13⊕x15，
y9=x0⊕x1⊕x5⊕x6⊕x11⊕x12⊕x14，
y10=x2⊕x3⊕x5⊕x6⊕x8⊕x13⊕x15，
y11=x2⊕x3⊕x4⊕x7⊕x9⊕x12⊕x14，
y12=x1⊕x2⊕x6⊕x7⊕x9⊕x11⊕x12，
y13=x0⊕x3⊕x6⊕x7⊕x8⊕x10⊕x13，
y14=x0⊕x3⊕x4⊕x5⊕x9⊕x11⊕x14，
y15=x1⊕x2⊕x4⊕x5⊕x8⊕x10⊕x15.

3) 輪密鑰加(round key addition,RKA)

中間狀態(tài)與128 b的輪子密鑰進(jìn)行異或操作，輪子密鑰由密鑰編排算法生成.

2 不可能差分攻擊

差分密碼分析利用高概率特征(或差分)恢復(fù)密鑰，而不可能差分密碼分析方法的基本思想是利用概率為0的特征(或差分)，排除那些導(dǎo)致特征(或差分)概率為0的候選密鑰.對(duì)于一條概率為0的差分路徑，當(dāng)使用正確密鑰解密密文對(duì)時(shí)，得不到符合該路徑的差分；但若使用猜測(cè)密鑰解密密文對(duì)時(shí)，得到符合該路徑的差分，則該猜測(cè)密鑰值是錯(cuò)誤的；通過(guò)這種方法來(lái)篩去所有的錯(cuò)誤密鑰猜測(cè)值，那么剩下的就是需要恢復(fù)的正確密鑰.

利用不可能差分分析對(duì)r輪迭代密碼進(jìn)行分析的流程為：

步驟1. 尋找r-1輪差分α0→αr-1，使此特征成立的概率為0.

步驟2. 選擇明文對(duì)(P,P⊕α0)，滿(mǎn)足差分為α0，并進(jìn)行r輪加密，所得密文記作C和C*.

步驟3. 猜測(cè)第r輪輪密鑰kr的所有可能值，對(duì)每一個(gè)猜測(cè)密鑰分別對(duì)C和C*解密1輪，所得到的值記作D和D*；判斷D⊕D*=αr-1是否成立，如果成立則對(duì)應(yīng)的猜測(cè)值一定是錯(cuò)誤密鑰.

步驟4. 重復(fù)上述步驟，直到密鑰唯一確定為止.

Fig. 2 Features of impossible differential on ARIA圖2 ARIA不可能差分性質(zhì)

假設(shè)通過(guò)上述攻擊可以得到|K|位密鑰，每個(gè)明密文對(duì)可以淘汰2-t的密鑰量，為保證正確的密鑰被唯一確定，所需要的明密文對(duì)N必須滿(mǎn)足：

(2|K|-1)×(1-2-t)N<1，

當(dāng)t比較大時(shí)可得：

N>2t×ln 2×|K|≈2t-0.53|K|，

觀察此式可以發(fā)現(xiàn)，在實(shí)現(xiàn)不可能差分密碼分析時(shí)，所需要猜測(cè)的密鑰量基本不影響數(shù)據(jù)復(fù)雜度，這便是和其他攻擊的不同之處.不可能差分密碼分析方法的數(shù)據(jù)復(fù)雜度主要是由每個(gè)明密文對(duì)所能淘汰密鑰的概率所決定的.

3 7輪ARIA算法的不可能差分攻擊

本文要構(gòu)造7輪ARIA密碼算法的不可能差分攻擊，在新的4輪不可能差分路徑的前邊增加2輪，后邊增加1輪，得到新的7輪不可能差分攻擊路徑.然后利用ARIA密碼算法擴(kuò)散層的性質(zhì)，過(guò)濾無(wú)用的明密文對(duì)，大大降低復(fù)雜度，構(gòu)成新的7輪ARIA算法的不可能差分攻擊.

3.1 ARIA密碼算法的2個(gè)性質(zhì)

性質(zhì)1. 如圖2所示，給定一明文對(duì)，滿(mǎn)足僅在字節(jié)(1,12)處取值不相等，其他字節(jié)處相等.在經(jīng)過(guò)4輪變換后，密文對(duì)不滿(mǎn)足3個(gè)性質(zhì)：

1) 2個(gè)密文在字節(jié)(3,11,12,13)處不相等；

2) 密文在其他字節(jié)處相等；

3) 密文差分在(3,11,12,13)處相等.

即：

(0,a1,0,0,0,0,0,0,0,0,0,0,a12,0,0,0)|→
(0,0,0,f,0,0,0,0,0,0,0,f,f,f,0,0)

是不可能的，其中a1,a12,f是非0值.

證明. ARIA的4輪變換可以分為前2輪變換和后2輪變換這2部分.

對(duì)于前2輪變換.假設(shè)輸入差分為

(0,a1,0,0,0,0,0,0,0,0,0,0,a12,0,0,0)，

因?yàn)槭怯猛幻荑€對(duì)2個(gè)明文進(jìn)行的加密運(yùn)算，所以經(jīng)過(guò)RKA后差分沒(méi)有發(fā)生變化.

經(jīng)過(guò)SL，差分變?yōu)?/p>

(0,b1,0,0,0,0,0,0,0,0,0,0,b12,0,0,0)，

其中，b1,b12為非0字節(jié).

隨后進(jìn)行第1輪DL變換，差分變?yōu)?/p>

p=232264=2-32，

然后進(jìn)行第2輪RKA和SL變換，差分變?yōu)?/p>

(0,c1,c2,0,0,c5,c6,c7,c8,c9,0,c11,c12,0,0,c15)，

再進(jìn)行第2輪的DL變換，差分變?yōu)?/p>

(d0,d1,…,d15)，

其中，有d6=d11=c2⊕c7⊕c9⊕c12.

至此，完成了ARIA前2輪變換.

再考慮：

(0,0,0,f,0,0,0,0,0,0,0,f,f,f,0,0)

經(jīng)過(guò)2輪變化的逆過(guò)程.

經(jīng)過(guò)1次DL-1變換，變成

(0,f,0,0,f,f,0,0,f,0,0,0,0,0,0,0)，

然后再經(jīng)過(guò)1次SL-1變換，差分變?yōu)?/p>

(0,e1,0,0,e4,e5,0,0,e8,0,0,0,0,0,0,0)，

其中，e1,e4,e5,e8為非0值.

又因?yàn)楫惢蜃用荑€不改變差分值，故直接繼續(xù)進(jìn)行下一次DL-1，差分變?yōu)?/p>

(e4⊕e8,e5⊕e8,e1⊕e4,e5,e5⊕e8,e1⊕e4,
0,e1⊕e8,e1⊕e4,e1⊕e5,e5⊕e8,e4,e1,e8,
e4⊕e5,e1⊕e4⊕e5⊕e8)，

再經(jīng)過(guò)1次SL-1和RKA變換后，差分變?yōu)?/p>

至此，ARIA的2輪逆運(yùn)算結(jié)束.

證畢.

c0=c13=b6⊕b8，

(1)

c3=c14=b5⊕b11，

(2)

c5=c8=b1⊕b15，

(3)

c2⊕c4⊕c7⊕c9⊕c10⊕c15=0.

(4)

同理可證明式(2)和式(3)都成立.

同時(shí)，有：

c2=b1⊕b6⊕b11⊕b15,
c4=b5⊕b8⊕b11⊕b15,
c7=b1⊕b6⊕b8⊕b11,
c9=b1⊕b5⊕b6⊕b11,
c10=b5⊕b6⊕b8⊕b15,
c15=b1⊕b5⊕b8⊕b15.

所以容易得證式(4)也是以概率1成立的.

p=248280=2-32.

證畢.

3.2 7輪ARIA的不可能差分攻擊過(guò)程

本文在3.1節(jié)已證明的4輪不可能差分路徑的前邊增加2輪變換，后邊增加1輪變換，得到新的7輪不可能差分攻擊，如圖3所示.其中ARIA密碼算法的最后1輪沒(méi)有擴(kuò)散層，取而代之的是輪密鑰加(RKA).

攻擊過(guò)程如下：

步驟2. 取2N個(gè)上述結(jié)構(gòu)(即2N×2223=2223+N個(gè)明文對(duì)).選取明文對(duì)中在(0,1,2,4,5,6,7,8,9,10,14,15)這12 B處差分為0的密文對(duì)，滿(mǎn)足這樣的密文對(duì)有2223+N×2-8×(16-4)=2127+N對(duì).

Fig. 3 7-round impossible differential attacks on ARIA圖3 7輪ARIA不可能差分攻擊

步驟3. 猜測(cè)密鑰字節(jié)(k8,3,k8,11,k8,12,k8,13)，對(duì)每個(gè)保留下來(lái)的密文對(duì)(C,C)，分別進(jìn)行計(jì)算：

步驟4. 猜測(cè)k1的14 B，并利用性質(zhì)2進(jìn)行分析.

步驟4.1. 假設(shè)剩余的密文所對(duì)應(yīng)的明文對(duì)為(P,P)，猜測(cè)(k1,0,k1,13)，計(jì)算：

步驟4.2. 猜測(cè)(k1,3,k1,14)，計(jì)算：

步驟4.3. 類(lèi)似地，猜測(cè)(k1,5,k1,8)密鑰字節(jié)，計(jì)算：

步驟4.4. 猜測(cè)(k1,2,k1,4,k1,7,k1,9,k1,10,k1,15)密鑰字節(jié)，計(jì)算：

選擇滿(mǎn)足：

相應(yīng)明文對(duì).此時(shí)剩余的明文對(duì)為279+N×2-8=271+N個(gè).

步驟4.5. 猜測(cè)(k1,1,k1,12)的值，計(jì)算：

此時(shí)沒(méi)有條件，所以沒(méi)有過(guò)濾.

步驟5. 猜測(cè)(k2,1,k2,5,k2,6,k2,8,k2,11,k2,15)的值，計(jì)算：

3.3 復(fù)雜性分析

分析該攻擊的時(shí)間復(fù)雜度：

在步驟3中，若同時(shí)計(jì)算4 B的值，時(shí)間復(fù)雜度為

而實(shí)際上，只需3×2149即可.由于可以先對(duì)2 B的值進(jìn)行計(jì)算，然后進(jìn)行比較.如若相等，進(jìn)行下一步的計(jì)算；如若不相等，可直接舍棄，從而達(dá)到降低復(fù)雜度的效果.對(duì)于剩余的對(duì)，使用相同的方法進(jìn)行計(jì)算，并和前面的值相比較.如若相等，便保留，如若不相等，則舍棄.同理，對(duì)剩余的對(duì)，使用相同的方法進(jìn)一步過(guò)濾.此方法稱(chēng)為“early-abort”技術(shù)[8].

因?yàn)檫@一步只需要計(jì)算4 B的值，所以共需要

次1輪加密運(yùn)算.

注意到下邊的每一步中都有應(yīng)用“early-abort”技術(shù).

因?yàn)樵诓襟E4中，只有RKA和SL這2種運(yùn)算，故可以認(rèn)為每一次的運(yùn)算都相當(dāng)于23的1輪運(yùn)算.

所以步驟4中：

步驟4.1需要

次1輪加密；

步驟4.2需要

次1輪加密；

步驟4.3需要

次1輪加密；

步驟4.4需要

次1輪加密；

步驟4.5需要

次1輪加密；

步驟4.6只有DL變換操作，所以需要

次1輪加密.

步驟5需要的復(fù)雜度為

次1輪加密.

所以總的攻擊復(fù)雜度為

次7輪加密運(yùn)算.

從分析過(guò)程中的步驟1中可知，本文選擇明文數(shù)為2112，并選擇2N個(gè)結(jié)構(gòu)，其中N=7，所以本文攻擊共需要2119選擇明文.

綜上，本文的攻擊復(fù)雜度為：2119選擇明文和大約2218次7輪加密運(yùn)算.

4 8輪ARIA算法的不可能差分攻擊

本文要構(gòu)造8輪ARIA密碼算法的不可能差分攻擊，類(lèi)似構(gòu)造7輪ARIA密碼算法的不可能差分攻擊，在新的4輪不可能差分路徑的前邊增加2輪，后邊增加2輪，得到新的8輪不可能差分路徑.然后利用ARIA密碼算法擴(kuò)散層的性質(zhì)，過(guò)濾掉無(wú)用的明密文對(duì)，從而構(gòu)成8輪ARIA算法的不可能差分攻擊.

4.1 ARIA密碼算法的另一性質(zhì)

h0=h10=h13=g6⊕g13,

(5)

h2=h9=h12=g11⊕g12,

(6)

h3⊕h4⊕h8=0,

(7)

h1⊕h5⊕h11=0,

(8)

h6⊕h7⊕h14=0.

(9)

同理可證明式(6)也是成立的.

Fig. 4 8-round impossible differential attacks on ARIA圖4 8輪ARIA不可能差分攻擊

同時(shí)，有h3=g11⊕g13，h4=g11，h8=g13.所以容易得證式(7)也是以概率1成立的.同理，h1=g12,h5=g3,h11=g3⊕g12,h6=g12⊕g13,h7=g3⊕g11⊕g12⊕g13,h14=g3⊕g11.所以式(8)和式(9)也是成立的.

證畢.

4.2 8輪ARIA的不可能差分攻擊過(guò)程

本文在3.1節(jié)的性質(zhì)1已證明4輪不可能差分路徑的前邊增加2輪，后邊增加2輪，得到新的8輪不可能差分攻擊，如圖4所示.其中ARIA密碼算法的最后1輪沒(méi)有擴(kuò)散層，取而代之的是輪密鑰加(RKA).

攻擊過(guò)程如下：

步驟2. 取2N個(gè)上述結(jié)構(gòu)(即2N×2223=2223+N個(gè)明文對(duì)).選取明文對(duì)中在第16 B(15)處差分為0的密文對(duì)，滿(mǎn)足這樣的密文對(duì)有2223+N×2-8×(16-15)=2215+N對(duì).

步驟3. 猜測(cè)密鑰字節(jié)

(k9,0,k9,1,k9,2,k9,3,k9,4,k9,5,k9,6,k9,7,
k9,8,k9,9,k9,10,k9,11,k9,12,k9,13,k9,14),

對(duì)每個(gè)保留下來(lái)的密文對(duì)(C,C)，分別進(jìn)行如下計(jì)算：

步驟4. 猜測(cè)k8的15 B，并利用性質(zhì)3進(jìn)行分析.

步驟4.2. 猜測(cè)(k8,0,k8,10,k8,13)，并計(jì)算：

步驟4.3. 猜測(cè)(k8,2,k8,9,k8,12)，計(jì)算：

步驟4.4. 猜測(cè)(k8,3,k8,4,k8,8)密鑰字節(jié)，計(jì)算：

選擇滿(mǎn)足h3⊕h4⊕h8=0的明文對(duì).剩余的明文對(duì)為239+N×2-8=231+N個(gè).

步驟4.5. 猜測(cè)(k8,1,k8,5,k8,11)密鑰字節(jié)，計(jì)算：

選擇滿(mǎn)足h1⊕h5⊕h11=0的明文對(duì).剩余的明文對(duì)為231+N×2-8=223+N個(gè).

步驟4.6. 猜測(cè)(k8,6,k8,7,k8,14)密鑰字節(jié)，計(jì)算：

選擇滿(mǎn)足h6⊕h7⊕h14=0的明文對(duì).剩余的明文對(duì)為223+N×2-8=215+N個(gè).

步驟5. 猜測(cè)k1的14 B，并利用性質(zhì)2進(jìn)行分析.

步驟5.1. 假設(shè)剩余的密文所對(duì)應(yīng)的明文對(duì)為(P,P)，猜測(cè)(k1,0,k1,13)，計(jì)算：

步驟5.2. 猜測(cè)(k1,3,k1,14)，計(jì)算：

步驟5.3.類(lèi)似地，猜測(cè)(k1,5,k1,8)密鑰字節(jié)，計(jì)算：

步驟5.4. 猜測(cè)(k1,2,k1,4,k1,7,k1,9,k1,10,k1,15)密鑰字節(jié)，計(jì)算：

選擇滿(mǎn)足條件：

的明文對(duì).此時(shí)剩余的明文對(duì)為2N-9×2-8=2N-17個(gè).

步驟5.5. 猜測(cè)(k1,1,k1,12)的值，計(jì)算：

此時(shí)沒(méi)有條件，所以沒(méi)有過(guò)濾.

步驟6. 猜測(cè)(k2,1,k2,5,k2,6,k2,8,k2,11,k2,15)的值，計(jì)算：

4.3 復(fù)雜性分析

分析該攻擊的時(shí)間復(fù)雜度：

在步驟3中，本文依然使用“early-abort”技術(shù)，共需要

次1輪加密運(yùn)算.

因?yàn)樵诓襟E4中，只有RKA和SL這2種運(yùn)算，故可以認(rèn)為每一次的運(yùn)算都相當(dāng)于23的1輪運(yùn)算.

所以步驟4中：

步驟4.1只有DL變換操作，所以需要

次1輪加密；

步驟4.2需要

次1輪加密；

步驟4.3需要

次1輪加密；

步驟4.4需要

次1輪加密；

步驟4.5需要

次1輪加密；

步驟4.6需要

次1輪加密.

在步驟5中，同理，只有RKA和SL運(yùn)算，可以認(rèn)為每一次的運(yùn)算都相當(dāng)于23的1輪運(yùn)算.

所以步驟5中：

步驟5.1需要

次1輪加密；

步驟5.2需要

次1輪加密；

步驟5.3需要

次1輪加密；

步驟5.4需要

次1輪加密；

步驟5.5需要

次1輪加密；

步驟5.6只有DL變換操作，所以需要

次1輪加密.

步驟6需要的復(fù)雜度為

次1輪加密.

所以總的攻擊復(fù)雜度為

次8輪加密運(yùn)算.

在分析過(guò)程步驟1中，本文選擇明文數(shù)為2112，并選擇2N個(gè)結(jié)構(gòu)，其中N=95，所以本文攻擊共需要2207選擇明文.

綜上，本文的攻擊復(fù)雜度為：2207選擇明文和大約2346次8輪加密運(yùn)算.

5 結(jié) 論

本文在證明不可能差分路徑成立的基礎(chǔ)上，根據(jù)ARIA密碼的結(jié)構(gòu)特征，在第3節(jié)中，于不可能差分路徑前面增加2輪、后面增加1輪，實(shí)現(xiàn)了對(duì)ARIA分組密碼算法的新的7輪不可能差分分析.研究表明，此路徑下，7輪不可能差分攻擊共需要2119選擇明文和大約2218次7輪加密運(yùn)算.與表2中7輪ARIA密碼算法的不可能差分攻擊結(jié)果相比較，攻擊進(jìn)一步降低了數(shù)據(jù)復(fù)雜度和時(shí)間復(fù)雜度.在第4節(jié)，本文首次提出了對(duì)ARIA密碼算法的8輪不可能差分攻擊，在不可能差分路徑前面增加2輪、后面增加2輪，構(gòu)成8輪ARIA密碼算法的新攻擊.研究表明，在此路徑下，8輪ARIA密碼算法的不可能差分攻擊共需要2207選擇明文和大約2346次8輪加密運(yùn)算.但超過(guò)窮舉搜索的攻擊復(fù)雜度，故可認(rèn)為在該路徑下8輪不可能差分攻擊中ARIA密碼算法是安全的.

Table 2 Summary of Cryptanalysis of ARIA by ImpossibleDifferential表2 ARIA密碼算法的不可能差分分析的安全性總結(jié)

在以后的研究中，著重尋找新的不可能差分路徑，證明新的不可能差分性質(zhì)，嘗試降低8輪ARIA密碼算法不可能差分攻擊的時(shí)間復(fù)雜度和數(shù)據(jù)復(fù)雜度.由于ARIA算法和AES算法結(jié)構(gòu)上相似，很多用來(lái)分析AES算法的分析方法對(duì)ARIA密碼算法肯定具有一定的效果，所以繼續(xù)對(duì)ARIA的其他分析方法進(jìn)行研究，比如線(xiàn)性攻擊、中間相遇攻擊、積分攻擊等，提高對(duì)ARIA算法的攻擊輪數(shù).同時(shí)，也可以將對(duì)ARIA密碼算法的分析方法遷移到對(duì)AES密碼算法的分析中，用來(lái)改進(jìn)AES現(xiàn)有的分析結(jié)果.

[1]Daesung K, Jaesung K, Sangwoo P, et al. New block cipher: ARIA[G]LNCS 2971: Proc of the 6th Int Conf on Information Security and Cryptology. Berlin: Springer, 2004: 432-445

[2]Chen Shaozhen. The Basis of Cryptography[M]. Beijing: Science Press, 2008 (in Chinese)(陳少真. 密碼學(xué)基礎(chǔ)[M]. 北京: 科學(xué)出版社, 2008)

[3]Stinson D. Cryptography Theory and Practice[M]. Translated by Feng Dengguo. 3rd ed. Beijing: Publishing House of Electronics Industry, 2009 (in Chinese)(Stinson D. 密碼學(xué)原理與實(shí)踐[M]. 馮登國(guó), 譯. 3版. 北京: 電子工業(yè)出版社, 2009)

[4]Liu Ya, Gu Dawu, Liu Zhiqiang, et al. New improved impossible differential attack on reduced-round AES-128[G]LNEE 114: Proc of Computer Science and Convergence. Berlin: Springer, 2012: 453-461

[5]Mala H, Dakhilalian M, Rijmen V, et al. Improved impossible differential cryptanalysis of 7-round AES-128[G]LNCS 6498: Proc of the 11th Int Conf on Cryptology in India. Berlin: Springer, 2010: 282-291

[6]Dunkelman O. Techniques for cryptanalysis of block ciphers[D]. Haifa, Israel: Technion-Israel Institute of Technology, Faculty of Computer Science, 2006

[7]Biryukov A, Wagner D. Slide attacks[G]LNCS 1636: Proc of the 6th Int Workshop on Fast Software Encryption. Berlin: Springer, 1999: 245-259

[8]Du Chenghang. Impossible differential analysis and middle encounter attack of block cipher algorithm ARIA[D]. Jinan: Shandong University, 2011 (in Chinese)(杜承航. 分組密碼算法ARIA的不可能差分分析和中間相遇攻擊[D]. 濟(jì)南: 山東大學(xué), 2011)

[9]Wu Wenling, Zhang Wentao, Feng Dengguo. Impossible differential cryptanalysis of reduced-round ARIA and Camellia[J]. Journal of Computer Science and Technology, 2007, 22(3): 449-456

[10]Li Shenhua, Song Chunyan. Improved impossible differential cryptanalysis of ARIA[C]Proc of the 2008 Int Conf on Information Security and Assurance. Los Alamitos, CA: IEEE Computer Society, 2008: 129-132

[11]Du Chenghang, Chen Jiezhe. Impossible differential cryptanalysis of ARIA reduced to 7 rounds[G]LNCS 6467: Proc of the 9th Int Conf on Cryptology and Network Security. Berlin: Springer, 2010: 20-30

[12]Su Chongmao. New impossible differential attack on 7-round reduced ARIA[J]. Journal of Computer Applications, 2012, 32(1): 45-48 (in Chinese)(蘇崇茂. 7輪ARIA-256的不可能差分新攻擊[J]. 計(jì)算機(jī)應(yīng)用, 2012, 32(1): 45-48)

XieGaoqi, born in 1994. Master. His main research interests include cryptanalysis of block ciphers.

WeiHongru, born in 1963. Associate professor. His main research interests include mathematics, information security and cryptography, and key technologies of Internet of things.