对低轮Camellia算法不可能差分密码分析的研究第19卷第2期V61.19NO.2北京电子科技学院JournalofBeijingElectronicScienceandTechnologylnstitule2011年6月Mar.2011对低轮Camellia算法不可能差分密码分析的研究郑秀林鲁艳蓉连至助1•西安电子科技大学通信工程学院，西安710071;2•北京电子科技学院，北京100070摘要:Camellia是Fesital・SP结构的128比特分组密码算法.本文简单介绍了不可能差分密码分析原理,总结了口前采用不可能差分密码分析攻击Camellia算法的现状及研究进展,分析比较了其中使用的技巧和方法，还做了一次尝试性攻击•最后，给出这些技巧和方法的优缺点及展望.关键词:不可能差分分析;数据对过滤;子密钥猜测中图分类号:TN918文献标识码;A文章编号:1672—464X(2011)06—001—10ResearchonlmpossibleDifferentialCryptanalysisofReduced一RoundCamelliaZhengXiu-linLuYan-rongLianZhi-zhuDepartmentofCommunciationEngineering^XidianUniversity^Xi^n?10071.China;BeijingElectronicScience&TechnoIogyInstitute,Beijing100070，ChinaAbstract:Camelliaisal28〜bitblockcipherwithaFesitalSPstructureJnthispaper.webrieflyintroducethetheoryofimpossibledifferentialcryptanalysis,outlinethecurrentresearchprogressofimpossibledifferentialattackOHCamellia,an~yzeandcomparetechnologiestheyused,andthen,makeanattack01lit.Finally,strengthsandweaknessesofthesetechnologiesandsomeprospectsarediscussed.Keywords::impossibledifferentialcryptanalysis;datapairfiltering;Subkeyguessing，引言Camellia的设计目标类似于AES,即分组长度是128,192和256比特三种规模的密钥长度；Camellia比三重DES快而且至少和三重DES一样安全.Camellia算法整体结构是Fesital结构，收稿日期:2011-4—192北京电子科技学院2011#轮函数F采用sP结构.可以抵抗高阶差分密码分析嘲，截断差分密码分析［10,121不可能差分密码分析［7,12,13］,积分攻击卜4・18］和碰撞攻击等n9.叫，并在全球范围内得到越来越广泛的应用.不可能差分密码分析是差分密码分析的一个变种，这个概念由Knudesn和Biham分别独立提出［l,lq.在EuROcRYPTO1999上Biham等在研究Skipjack算法安全性时提岀不可能差分概念［11拼在FSE1999上系统讲述了如何采用”中间相遇”的方法寻找不可能差分引.Kim等嘲总结了已有关于不可能差分的结果，提出了u方法，该方法可以有效地找出各种算法结构中固有的不可能差分形式，这些固有的不可能差分只与算法结构有关,而与算法所采用的具体非线性变换无关,不可能差分密码分析是当前对简化轮数的Camellia算法最有效的攻击手段.本文的主要结构:第2部分简单介绍不可能差分攻击原理，第3部分给出Camellia不可能差分分析研究现状和研究结果，第4部分主要针对文口“，和所给出的关于Camellia算法的不可能差分析方法作以比较，包括过滤数据对和恢复密钥中的技巧和方法，第5部分是全文的总结.二,不可能差分分析原理不可能差分分析是通过寻找不可能出现的差分关系，排除满足这种关系的密钥，并最终恢复出密钥的一种攻击方法.差分密码分析利用高概率特征恢复密钥，文献［1提出了不可能差分分析方法，它利用的是概率为0的特征，基木思想是排除导致概率为0的特征或差分的候选密钥.对于一条概率为0的差分路径，当用正确密钥解密密文对时,不会得到符合该路径的差分;如果用猜测密钥解密密文吋，得到符合该路径的差分，那么该密钥猜测值是错误的，由此,筛去所有的错误密钥猜测值，剩下的正是要恢复的正确密钥.不可能差分分析方法主要包括寻找不可能差分路径和恢复密钥两个步骤,中间相遇是寻找不可能差分最基本的方法，其中最重要的是如何寻找矛盾,即从加密和解密方向分别找概率为1的两条路径，将矛盾链接起来，从而得到一条概率为0的差分路径•在进行恢复密钥过程中，首先是猜测部分密钥进行加解密Z后,所有满足不可能差分路径的密钥都是错误密钥，删去所有的错误密钥，剩下的就是要恢复的正确密钥,再利用穷搜方法将剩余密钥恢复.三，研究进展下表是近几年关于Camellia算法不可能差分攻击的数据，以下攻击都...