關于分組密碼發展的綜述

黃俊源

摘 要：現代密碼學中對實用密碼的研究主要有兩個方向，即公開密鑰密碼和秘密密鑰分組密碼。分組密碼作為現代密碼學主要的研究方向之一，同時在計算機通信和網絡信息安全方面有著廣泛的應用，使得研究分組密碼有著重要的意義。文章綜述了分組密碼設計和分組密碼分析的發展現狀，還對分組密碼的發展情況和趨勢進行分析，最后還對分組密碼的發展給出了建議。

關鍵詞：分組密碼；分組密碼的設計結構；分組密碼的分析方法

分組密碼是對稱密碼學的一個重要分支，在網絡通信和信息安全領域發揮著極其重要的作用，對分組密碼的研究主要有兩方面：設計和分析，設計和分析有著相互獨立又相互統一的關系。

一方面，希望根據已有的密碼分析方法，設計出能夠抵抗所有密碼分析方法的密碼算法；另一方面，又希望通過分析最新設計出來的密碼算法找到某些安全缺陷，從而找到新的密碼分析方法。

因此，分組密碼的設計和分析有著相互促進的作用，它們共同推進了分組密碼的研究和發展。

隨著DES算法的公布、AES計劃和NISSIE計劃的展開，還有差分分析方法和線性分析方法的提出，使得人們越來越重視分組密碼的設計和分析理論的研究。隨著分組密碼理論的深入研究，人們對分組密碼設計和分析有了很大的信心，同時促使了更多優秀的分組密碼設計結構和分析方法的出現。

本文主要對分組密碼設計和分析的發展情況和發展趨勢進行概述與分析，同時還對國內外的分組密碼研究進展進行對比和分析，最后為促進分組密碼的發展提出自己的建議。

1 分組密碼設計的發展趨勢和現狀

分組密碼的設計源于1949年Claude Shannon在Bell System Technical Journal上發表的經典論文“Communication Theory of Secrecy Systems” ，其中在文章中提出的“混淆”和“擴散”，不但是設計分組密碼算法的一個重要原則，還為分組密碼算法安全性的設計提供了一個重要的保障。20世紀70年代末，美國國家標準局公布了著名的數據加密標準DES算法，這標志著分組密碼設計的公開研究的開始，到了20世紀90年代末美國的AES計劃和歐洲的NISSIE計劃，產生了許多優秀的分組密碼算法，極大地推動了分組密碼算法設計的研究和發展。

自從差分分析方法和線性分析方法的出現之后，算法的安全性設計都是以抵抗差分攻擊和線性攻擊為根據，出現了一些經典的結構，SP結構和Feistel結構。

后來由于許多的分析方法的出現，在算法的安全性設計上，不但要考慮抵抗差分攻擊和線性攻擊，還要考慮到新出現的分析方法，例如不可能差分攻擊、積分攻擊。這樣導致了許多混合結構的出現，例如嵌套Feistel結構的SP型分組密碼算法。

隨著互聯網的發展，無線傳感器和RFID芯片等微型計算機設備的廣泛應用，給人們的生活帶來了的極大的便利，又因為微型計算機的設備資源受到有限，同時還要保證信息的安全性，既有效率又能保證安全性的輕量級分組密碼算法因此而誕生。

從2004年以來，許多高效且有安全的輕量級分組密碼算法出現，例如：PRESENT、HIGHT、Mcrypton、SEA、DESL、CGEN、Eagle-64和Eagle-256。最近幾年由于研究輕量級分組密碼算法的人越來越多，使得輕量級分組密碼算法得到了迅速的發展，無論是國內還是國外都產生了許多很好的密碼算法，例如，2013年提出的輕量級分組密碼SIMON[ 1 ]，SIMON是一族分組密碼算法，其明文長度可以為32和64位。國外學者Leander G [ 2 ]和Junko Takahashi[ 3 ]分別再2015年和2014年在CRYPTO （1） 2015和ICISC2014上發表了關于對輕量級分組密碼SIMON分析的文章。

除了新的分組密碼算法結構和輕量級分組密碼的出現，我國在2006年公布了國家分組密碼標準SMS4算法。由于SMS4算法是我國第一個公布的商用密碼，所以SMS4算法在2007年到2009年得到了極大的推動與發展，其中我國學者在構造與設計方面有了重大的突破，構造了一類非線性度高、并且代數免疫度和代數次數均最優的布爾函數；同時研究了向量值函數的代數免疫度的上界，給出了達到上界的實例；還有構造了有限域上兩類新的完全非線性函數類，使得有限域上不等價的完全非線性函數類擴展到了6類。這些結果都是在2008年和2009年由馮克勤教授等人在ASIACRYPT 2008[ 4 ]和Des. Codes Cryptography[ 5 ]上發表的。

近幾年也有一些關于SMS4算法的文章，例如2015年在CIS2015上發表的文章[ 6 ]，這文章主要寫的是一種新設計關于SMS4算法來對抗選擇明文攻擊的，雖然算法在數學上證明是足夠安全，在硬件實現時，它很容易受到微分功率分析（DPA），特別是使用選擇明文的方法。所以提出一個安全SMS4結合隱藏和屏蔽技術的電路設計。其中隱藏技術應用于使權力痕跡很難對齊從而增加攻擊的難度，而且該文章的實驗結果表明，該設計在DPA-resistance電路具有良好的性能。

2 分組密碼分析的發展趨勢和現狀

差分密碼分析首先由Biham和 Shamir于1990年在CRYPTO上提出的，在那以后密碼分析方法的研究得到了巨大的發展，因此差分密碼分析也開始滿足不了人們的要求。由于差分密碼分析的關鍵在于尋找高概率的差分特征或差分，但是對于某些密碼算法來說，尋找高概率的差分特征或者差分是非常困難或者是不可能的，所以在1994年提出了多重差分分析和截斷差分分析。

1999年提出了不可能差分分析，不可能差分密碼分析是一種特殊的差分密碼分析，差分密碼分析主要是利用高概率的差分來恢復密鑰，而不可能差分密碼分析是利用概率為0 的差分，通過排除導致概率為0 的候選密鑰來恢復正確密鑰。

2003年提出了矩陣攻擊，這種攻擊方法主要是運用了差分分析方法的性質來實現。在2003年以后并沒有出現新的有效攻擊方法，只是更加注重不同的攻擊方法的聯合使用。

譬如，2005年發表的相關密鑰矩陣攻擊，就是把矩陣攻擊和相關密鑰攻擊相結合，從而降低計算的復雜度。2007年發表的相關密鑰差分攻擊，主要是把差分分析和相關密鑰攻擊相結合的攻擊。近幾年來也有不少這類把不同攻擊方法聯合來使用的攻擊方法，2012年發表的相關密鑰-不可能差分攻擊方法攻擊22輪的輕量級分組密碼LBlock[ 7 ]，2015年發表的相關密鑰-矩陣攻擊Rijndael-160 和 Rijndael-192[ 8 ]，這些都是用不同攻擊方法的聯合把最終結果比原有的結果有了進一步的提高，使得計算復雜度降低或者所需的明密文對減少。

3 國內外研究進展比較分析

在分組密碼標準化方面，我們國家在分組密碼標準算法制定方面相距較遠，僅在2006年，國家密碼管理局公布了適用于無線局域網產品的推薦密碼算法SMS4，其他標準幾乎都等同于國際標準；在分組密碼的設計理論方面，我國學者在有限域上函數的非線性度、代數免疫度和彈性階等密碼學性質刻畫及其構造方面取得了多項具有國際水準的工作；在分組密碼分析方法方面，從公開發表的文獻來看，在使用已有的分析手段，對各類分組密碼進行分析的效果來看，國內外差距不大，在某些方面，我們的分析工作處于領先地位。

4 建議

1）建議啟動我們國家的分組密碼標準、行業標準、工作模式的公開征集以及評估項目，在項目的實施過程中鍛煉培養分組密碼的人才；

2）建議給予企業政策支持，推動他們增加對密碼研究的投入，促進企業和研究團體的合作力度，使分組密碼的研究能充分和應用結合起來；

3）建議在高校增設密碼基金，提供密碼研究方面的培訓和開展大型的密碼研究比賽，培養出高素質的密碼研究人員。

參考文獻：

[1] AlKhzaimi H， Lauridsen M M.Cryptanalysis of the SIMON Family of Block Ciphers[J].IACR Cryptology ePrint Archive，2013，2013：543.

[2] K■lbl S， Leander G，Tiessen T.Observations on the SIMON block cipher family[C]//Annual Cryptology Conference.Springer Berlin Heidelberg，2015：161-185.

[3] Takahashi J， Fukunaga T. Fault analysis on SIMON family of lightweight block ciphers[C]//International Conference on Information Security and Cryptology. Springer International Publishing，2014：175-189.

[4] Carlet C，Feng K.An infinite class of balanced functions with optimal algebraic immunity，good immunity to fast algebraic attacks and good nonlinearity[C]//International Conference on the Theory and Application of Cryptology and Information Security. Springer Berlin Heidelberg， 2008： 425-440.

[5] Feng K， Liao Q， Yang J. Maximal values of generalized algebraic immunity[J].Designs， Codes and Cryptography，2009，50（2）：243-252.

[6] Chen J，Wang Q，Guo Z，et al.A Circuit Design of SMS4 against Chosen Plaintext Attack[C] //2015 11th International Conference on Computational Intelligence and Security（CIS）.IEEE，2015：371-374.

[7] Minier M，Naya-Plasencia M A.A related key impossible differential attack against 22 rounds of the lightweight block cipher LBlock[J].Information Processing Letters，2012，112（16）：624-629.

[8] Wang Q，Liu Z，Toz D，et al.Related-key rectangle cryptanalysis of Rijndael-160 and Rijndael-192[J]. IET Information Security， 2015， 9（5）：266-276.

作者簡介：

黃俊源（1991-），男，漢族，廣東佛山人，碩士研究生，主要研究方向：分組密碼。