認證加密模型JAMBU的新分析

田玉丹，韋永壯

?

認證加密模型JAMBU的新分析

田玉丹1，韋永壯2

（1. 華東師范大學信息化辦公室，上海 200333； 2. 認知無線電與信息處理省部共建教育部重點實驗室（桂林電子科技大學），廣西桂林 541004）

根據JAMBU模型的結構特點——相關數據和明文可以相互轉化，利用偽造攻擊等基本思想提出了“隨機數重復利用”的分析方法。結果表明，該分析所需數據復雜度為，時間復雜度為。與已有分析結果相比，該分析數據復雜度更低。

JAMBU；偽造攻擊；CAESAR；認證加密

1 引言

認證加密算法可以同時實現信息的加解密和完整性檢驗這2個功能，已被廣泛應用于各種網絡安全系統中。2013年，世界范圍內開啟了對認證加密算法的征集活動——CAESAR[1,2]；2014年，57個認證加密算法入選一輪候選算法；2015年，共29個認證加密算法入選二輪候選算法；2016年，15個認證加密算法入選三輪候選算法。Wu等基于輕量級認證加密的思想，利用NIST的推薦模型CFB，設計出了JAMBU模型[3]。這一模型具有新穎的結構和設計理念，并且順利入選CAESAR第三輪候選算法。該模型具有廣泛的適用性。例如，將SIMONU[4]和AES-128[5]算法分別嵌入JAMBU模型，可得到相應的認證加密算法SIMON-JAMBU和AES-JAMBU。

2014年，Thomas等在文獻[6]中對JAMBU的安全性進行分析：輸入2個不同的初始隨機向量，會產生不同的內部狀態，然后改變輸入的明文值，可求得內部狀態的差分值，從而達到預測密文的效果。結果表明，該分析所需數據復雜度為個選擇明文，時間復雜度為次加密模塊訪問。

2015年，Di在文獻[7]中對AES-JAMBU的安全性進行分析，其主要的分析方法包括：窮密鑰搜索攻擊、暴力破譯MAC攻擊、密文組插入攻擊、密文組刪除攻擊、密文修改攻擊、選擇明文攻擊。分析結果顯示，以上6種攻擊方法攻擊復雜度最低為。

本文根據JAMBU的“相關數據處理階段和明文加密階段具有類似的結構”這一特點提出“相關數據和明文相互轉化”的新分析。研究表明，新分析通過改變相關數據和明文分組的個數，實現相關數據向明文轉化的功能，從而預測密文的輸出值。該分析所需數據復雜度為個選擇明文，時間復雜度為次加密模塊訪問。因此，新分析過程在保證時間復雜度未變的前提下，降低了數據復雜度。

2 JAMBU算法介紹

JAMBU是一個輕量級認證加密模型[3]。Wu等將JAMBU模型與SIMON算法結合，設計出了認證加密算法SIMON-JAMBU，將JAMBU模型與AES-128算法結合，設計出了認證加密算法AES-JAMBU。JAMBU模型的輸入為位密鑰，位公共隨機數，相關數據和明文，生成與明文相同位長的密文和位標簽。

JAMBU模型的基本運算如下。

JAMBU的基本符號與常量介紹如下。

JAMBU模型的認證加密過程共有5個階段：數據填充、初始化、相關數據處理、明文加密、生成認證標簽，如圖1所示。

1) 數據填充階段

2) 初始化階段

3) 相關數據處理階段

4) 明文加密階段

認證標簽生成階段如圖1所示，共有兩輪狀態更新過程，其過程如下。

3 認證加密模型JAMBU的分析過程

(2)

(4)

式(3)輸入為1個相關數據分組和2個明文分組，式(4)輸入為2個相關數據分組和1個明文分組，設，為步驟1所求得在處所注入的相關數據差分值，根據步驟1可知，該差分可以使兩式加密過程中產生差分。由圖4可知，圖4(b)在處多注入一個1，因此，即。在第3個模塊輸入端注入差分，當時，、、、、、。因此如果輸出密文滿足，則有可能。通過次加密和個明文數據即可求出可能的值(證明過程與步驟1相似)。

個輸入相關數據個輸入相關數據共個相關數據差分

表1 JAMBU分析結果對比

4 結束語

表1將文獻[5]和本文結果進行對比。由表可知，文獻[5]改變初始向量的值，使初始化階段狀態產生差分，然后注入明文差分，抵消初始向量帶來的差分，最終內部狀態發生碰撞，所需數據復雜度為個選擇明文，時間復雜度為次加密模塊訪問；文獻[7]提出針對AES-JAMBU的分析方法，分析結果顯示數據復雜度和時間復雜度均為；本文采用相同的初始向量值，通過改變相關數據和明文的界限，注入相關數據差分，使內部狀態產生差分，再注入明文差分，最終內部狀態發生碰撞，從而預測密文，所需數據復雜度為個選擇明文，時間復雜度為次加密模塊訪問。因此，本文所需數據復雜度要小于文獻[5]和文獻[7]，時間復雜度與文獻[5]的復雜度相同并小于文獻[7]的復雜度。

[1] DANIEL J. CAESAR-competition for authenticated encryption: security, applicability, and robustness[OE/OL]. http://competitions. cr.yp.to/caesar.html.

[2] FUHR T, LEURENT G, SUDER V. Forgery and key-recovery attacks on caesar candidate marble[J]. Cryptography & Security, 2015.

[3] WU H. HUANG T. JAMBU lightweight authenticated encryption mode and AES-JAMBU (v1)[C]// The CAESAR Competition.2014.

[4] WU W, ZHANG L. LBlock: a lightweight block cipher[C]//Applied Cryptography and Network Security. 2011: 327-344.

[5] DERBEZ P, FOUQU A, JEAN J. Improved key recovery attacks on reduced-round AES in the single-key setting[C]//The 32nd Annual International Conference on the Theory and Applications of Cryptographic Techniques．2013: 371-378.

[6] PEYRIN T, SIM S M, WANG L, et al. Cryptanalysis of JAMBU[J]. Early Symmetric Crypto ESC, 2015: 77.

[7] DI B B.Analysis of one-pass block cipher based authenticated encryption schemes[DB/OL]. http://eprints.qut.edu.au/87437/1/Binbin_ Di_Thesis.pdf.

[8] KAVUN E B, YALCIN T. A lightweight implementation of Keccak Hash function for radio-frequency identification applications[M]// Radio Frequency Identification: Security and Privacy Issues. Berlin: Springer, 2010: 258-269.

[9]劉彥賓, 韋永壯. PMAC 模式的消息偽造攻擊[J]. 計算機工程, 2009, 35(22): 150-152.

LIU Y B, WEI Y Z. Message forgery attack of PMAC scheme[J]. Computer Engineering, 2009, 35(22): 150-152.

New cryptanalysis of the authenticated cipher model JAMBU

TIAN Yu-dan1, WEI Yong-zhuang2

(1. Information Technology Services Center, East China Normal University, Shanghai 200333, China; 2. Key Laboratory of Cognitive Radio and Information Processing Ministry of Education, (Guilin University of Electronic Technology), Guilin 541004, China)

Based on the characteristic of JAMBU, a forgery attack by using the principle, where the associated data can be transformed into the plaintext was proposed. It is shown that the attack requires a data complexity of aboutchosen plaintext, and a time complexity of aboutencryptions. Compared with the previous attack, this attack is more favorable.

JAMBU, forgery attack, CAESAR, authenticated encryption

TP309.7

A

10.11959/j.issn.2096-109x.2017.00177

田玉丹（1990-），女，山東菏澤人，華東師范大學初級網絡安全工程師，主要研究方向為信息安全。

韋永壯（1976-），男，廣西田陽人，博士，桂林電子科技大學教授，主要研究方向為信息安全。

2017-05-12；

2017-06-10。

韋永壯，walker_wei@msn.com

廣西無線寬帶通信與信號處理重點實驗室主任基金資助項目（No.GXKL061510）

Guangxi Wireless Broadband Communication and Signal Processing Laboratory Director of Foundation (No.GXKL061510)