物聯網環境中LED輕量級密碼算法的統計故障分析研究

李 瑋 葛晨雨 谷大武 廖林峰 高志勇 郭 箏 劉 亞 劉志強 石秀金

1(東華大學計算機科學與技術學院 上海 201620)2(上海交通大學計算機科學與工程系 上海 200240)3(上海市信息安全綜合管理技術研究重點實驗室(上海交通大學) 上海 200240) 4(上海交通大學微電子學院 上海 200240)5(上海理工大學計算機科學與工程系 上海 200093) (liwei．cs．cn@gmail．com)

2017-06-11；

2017-07-31

國家“九七三”重點基礎研究發展計劃基金項目(2013CB338004)；國家自然科學基金項目(61672347,61772129,61402288,61402286,61402250,61572192)；上海市自然科學基金項目(15ZR1400300,16ZR1401100)；上海市教育委員會科研創新重點項目(14ZZ066)；上海市信息安全綜合管理技術研究重點實驗室開放課題(AGK201703)；中央高校基本科研業務費專項資金項目(040) This work was supported by the National Basic Research Program of China (973 Program) (2013CB338004), the National Natural Science Foundation of China (61672347, 61772129, 61402288, 61402286, 61402250, 61572192), the Shanghai Natural Science Foundation (15ZR1400300, 16ZR1401100), the Innovation Program of Shanghai Municipal Education Commission (14ZZ066), the Opening Project of Shanghai Key Laboratory of Integrated Administration Technologies for Information Security (AGK201703), and the Fundamental Research Funds for the Central Universities (040).

石秀金(sxj@dhu.edu.cn)

物聯網環境中LED輕量級密碼算法的統計故障分析研究

李 瑋1,2,3葛晨雨1谷大武2廖林峰1高志勇1郭 箏4劉 亞5劉志強2石秀金1

1(東華大學計算機科學與技術學院 上海 201620)2(上海交通大學計算機科學與工程系 上海 200240)3(上海市信息安全綜合管理技術研究重點實驗室(上海交通大學) 上海 200240)4(上海交通大學微電子學院 上海 200240)5(上海理工大學計算機科學與工程系 上海 200093) (liwei．cs．cn@gmail．com)

LED算法是于2011年密碼硬件與嵌入式系統國際會議(CHES)中提出的一種典型輕量級密碼算法，用于在物聯網環境下保護RFID標簽以及智能卡等設備的通信安全.故障分析憑借其攻擊速度快、實現簡單和難以防御等特點，已成為評測輕量級密碼算法安全性的一種重要手段.提出了針對LED算法的新型統計故障分析方法，采用面向半字節的故障模型，分別使用SEI區分器、GF區分器和GF-SEI雙重區分器對算法進行統計分析.實驗結果表明：在較短時間內以99%的成功概率恢復出LED算法的64 b和128 b原始密鑰.該攻擊方法不僅可以在唯密文攻擊條件下實現，而且提升了故障攻擊效率，降低了故障數,為物聯網環境下其他輕量級密碼的安全性分析提供了重要參考.

物聯網；輕量級密碼；LED；統計故障分析；密碼分析

物聯網(Internet of things, IoT)是通過使用射頻識別、傳感器、紅外感應器、全球定位系統、激光掃描器等信息采集設備，按照約定的協議把任何物品與互聯網連接起來進行信息交換和通信，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡[1].物聯網代表了未來計算與通信技術的方向，被認為是繼計算機、Internet之后，信息產業領域的第三次發展浪潮.隨著物聯網建設的加快，物聯網的安全問題必然成為制約物聯網全面發展的重要因素[2].

與互聯網安全技術相比，物聯網安全技術更具大眾性和平民性，與人類的日常生活密切相關，這就要求物聯網安全技術采用低成本、簡單、易用、輕量級的解決方案[3-4].在2011年召開的密碼硬件與嵌入式系統國際會議(CHES)上，Guo等人提出的LED算法就是一種典型的輕量級密碼算法，相較于其他輕量級密碼算法，它的軟硬件執行效率更高、適應環境的能力更強，是應用于物聯網安全中的算法佼佼者[5-13].

在物聯網環境下，輕量級密碼的許多硬件實現和以硬件為表現形式的軟件實現環境中，譬如手機SIM、IC銀行卡、物流RFID、手持無線設備、數字無繩電話、NFC近場通信設備、藍牙、汽車遙控鎖、各類交通卡、校園卡、門禁卡和高端身份卡等密碼載體等，攻擊者往往不僅具備傳統密碼攻擊的條件，而且還可以通過電路剖析和軟件逆向分析等手段獲得算法的硬件結構和編碼實現方法，并可以觀察和測量密碼變換等信息，“干預”密碼變換的正常運行使其出錯.攻擊者利用這些額外的出錯信息有可能實現比傳統分析技術更有效地破譯密碼.這種環境下的攻擊被稱為“故障分析(fault analysis, FA)”.由于其成功的攻擊效果和潛在的發展前景，已經引起了國內外從事密碼和微電子研究學者的極大關注，并成為密碼分析和密碼工程領域發展最為迅速的方向之一[14].

在故障分析的發展歷程中，先后產生了差分故障分析(differential fault analysis, DFA)、代數故障分析(algebra fault analysis, AFA)、不可能故障分析(impossible differential fault analysis, IDFA)以及統計故障分析(statistical fault analysis, SFA)等多種方法.隨著故障注入精度以及軟硬件逆向技術的不斷提高，對密碼載體成功實施故障攻擊所依賴的前提條件不斷減弱，成本不斷下降，故障分析環境已經在一定程度上可以控制，從而使這些故障分析在面向物聯網環境中逐步發展為攻擊密碼體制的主要方法.

不同于其他故障分析方法，統計故障分析是唯一現有的可以在唯密文攻擊(ciphertext-only attacks, COA)條件下進行攻擊的技術，它在面向物聯網等實際環境中更易實現且難以防御，攻擊者只要統計故障密文的特性，就能以低的計算量和存儲量推導出正確的密鑰.目前，在LED算法抗統計故障攻擊的安全性方面，國內外尚未發現有公開發表的結果.在深入分析LED算法后，本文提出了一種針對LED算法的新型統計故障分析方法，不僅提高故障導入的效率，而且使用較少的故障數即可恢復原始密鑰，對于保護物聯網的通信安全，對于增強密碼裝備的自主設計、開發和分析能力，無疑都具有重要意義和價值.

1 研究背景

1997年Boneh等人利用隨機故障成功破譯RSA算法，此后故障分析在評測主流密碼體制安全性的方法中占據了重要的位置[14-15].故障分析的成功實現必須具備了一個重要前提——故障假設，它表明了攻擊者具備的能力，決定了攻擊的可行性和難易度.一般情況下，攻擊者可以任意選擇明文進行處理，從而獲得相對應的密文，通常為選擇明文攻擊(chosen plaintext attacks, CPA).

在LED算法密碼的故障分析中，諸如差分故障分析、代數故障分析和不可能故障分析等方法，均采用了選擇明文攻擊的故障假設.攻擊者可以選擇任意明文獲得相應的正確密文和錯誤密文.國內外研究學者針對LED算法于2012年相繼提出了差分故障分析方法，Jeong等人在隨機半字節故障下破譯了LED算法的64 b密鑰；Li等人在隨機半字節和字節模型下，至少以3個故障和6個故障恢復了64 b和128 b密鑰；Jovanovic等人通過利用不同輪之間的線性關系將故障數降為1個和2個故障[16-20].2013年，Zhao等人利用代數關系，使用代數故障分析對LED算法進行了破譯[21-22].2016年，Li等人利用不可能差分故障分析恢復了LED算法的64 b和128 b密鑰[23].這些方法充分結合了傳統密碼分析技術以及軟硬件實現，不僅擴大了攻擊面，而且提升了威脅性.表1列出了針對LED算法的各種故障分析技術對比.

Table 1 Comparison of Fault Analysis on LED

然而，在面向物聯網等現實的運行環境下，如果攻擊者不具備選擇明文攻擊的前提，即不能實現對同一明文必須至少加密2次，則上述故障分析方法難以實現.眾所周知：唯密文攻擊比選擇明文攻擊弱，攻擊者在此模型下僅能使用密文，因而無法獲得有效數據進行故障分析破譯.

2013年Fuhr等人首次提出了統計故障攻擊方法[24],并用于破譯了AES算法.該方法在唯密文攻擊的假設下，在算法運行時引入故障，使算法執行某些錯誤的操作、過程，并產生錯誤的結果，再利用這些結果，結合統計分析方法，破譯出該算法的密鑰.在隨機字節故障模型下，他們通過采用平方歐氏距離SEI作為區分器，將故障導入在倒數第二輪的指定位置，以320個故障且99%的成功概率恢復出AES算法的唯一密鑰.

由此，在統計故障分析中，區分器發揮了舉足輕重的作用.因此，在LED算法的新型統計分析中，我們不僅給出了SEI的攻擊結果，而且提出了擬合優度檢驗GF作為新型區分器.更為重要的是，在SEI和GF區分器的基礎上，又構建了GF-SEI雙重區分器.結果表明：可以以更少的故障且99%的成功率恢復LED算法64 b和128 b原始密鑰，不僅提升了故障攻擊效率，而且降低了故障攻擊數.

2 LED算法簡介

LED算法是一種具有SPN結構的迭代型分組密碼，分組長度為64 b，密鑰長度分別為64 b或128 b.根據密鑰長度的不同，加密算法對應的輪數分別為32輪和48輪，表示為LED -64和LED -128，如表2所示.由于解密算法與加密算法的結構相同，并且子密鑰的使用順序相同，因此以下僅介紹加密算法和密鑰編排方案.

Table 2 The Relationship Between Rounds and Key Sizes

2.1符號說明

本文記號如下所示：

記AC,SC,SR和MC分別為輪常數加運算、信元代替運算、行移位運算和列混合運算.

記AC-1,SC-1,SR-1和MC-1分別為輪常數加運算、信元代替運算、行移位運算和列混合運算的逆運算.

記Ar,Br,Cr和Dr分別為第r輪的輪常數加運算、信元代替運算、行移位運算和列混合運算的輸出，其中，1≤r≤l.

2.2算法描述

LED算法的結構如圖1所示.

Fig. 1 The structure of LED圖1 LED算法的結構

加解密算法包含5個基本運算：

1) 子密鑰加運算(AddRoundKey, ARK).該運算對中間狀態與子密鑰進行異或.

2) 常數相加運算(AddConstants, AC).該運算將中間狀態與常數相加.

3) 信元代替運算(SubCells, SC).該運算將中間狀態中的每半字節通過S盒非線性地變換為另外一個半字節.

4) 行移位運算(ShiftRows, SR).該運算對一個狀態的每一行循環不同的位移量.第0行移位保持不變，第1行循環左移4 b，第2行循環左移8 b，第3行循環左移12 b.

5) 列混合運算(MixColumnsSerial, MC).該運算對一個狀態逐列進行變換，通過與矩陣

相乘實現.

LED -64和LED -128的加密變換分別如算法1、算法2所示.

算法1. LED -64加密變換.

輸入：明文X、密鑰K；

輸出：密文Y.

①T=X;*將X賦值給中間狀態T*

② fori=1 to 8

③T=ARK(T,k1);

④ forj=1 to 4

⑤T=MC(SR(SC(AC(T))));

⑥ end for

⑦ end for

⑧Y=ARK(T,k1).

算法2. LED -128加密變換.

輸入：明文X、密鑰K；

輸出：密文Y.

①T=X;*將X賦值給中間狀態T*

② fori=1 to 6

③T=ARK(T,k1);

④ forj=1 to 4

⑤T=MC(SR(SC(AC(T))));

⑥ end for

⑦T=ARK(T,k2);

⑧ forj=1 to 4

⑨T=MC(SR(SC(AC(T))));

⑩ end for

2.3密碼編排方案

在LED -64算法中，K通過密鑰編排方案生成了k1，它們的關系為

K=k1.

在LED -128算法中，K通過密鑰編排方案生成了k1和k2，它們的關系為

K=k1‖k2.

對于LED -64算法，攻擊者僅需要恢復出任意一輪的子密鑰k1，就能恢復出密鑰K；而對于LED -128算法，攻擊者僅需要恢復任意一輪的子密鑰k1和k2，就能恢復出密鑰K.

3 LED密碼的統計故障攻擊方法

3.1故障假設和故障模型

故障假設為唯密文攻擊,即攻擊者僅能獲得密碼算法的任意密文進行攻擊.考慮到實際應用中的易操作性以及LED算法的設計特點，本文中使用隨機半字節故障模型，以按位與的方式導入，故障大小為半字節.

3.2主要過程

攻擊者使用同一個密鑰對隨機明文進行加密,并在運行過程中的某一輪導入隨機故障，獲得一組錯誤密文.故障導入的動作可以通過軟件模擬的方式實現，也可以通過激光、電磁和電壓干擾等技術手段對真實的密碼實現硬件進行處理來實現.由于受故障影響，加密過程中的一些中間狀態值會呈現非均勻分布.利用特定的區分器統計這些中間狀態值的分布律，得到最后一輪的子密鑰的部分比特.重復上述步驟，可以恢復子密鑰的全部比特，最終通過密鑰編排方案求得原始密鑰.

3.3攻擊步驟

針對LED算法,本文驗證了Fuhr等人提出的SEI區分器,并提出了2種新型區分器用于統計故障分析，均可以破譯LED -64和LED -128算法.具體有5個步驟：

步驟1.隨機生成一組明文，使用同一密鑰加密，在加密過程中隨機導入半字節故障，獲得一組錯誤密文.故障導入的位置可以是Ar-1,Br-1或者Cr-1，導入在這3個位置時故障擴散路徑是相同的.如圖2所示，圖2中陰影表示受故障影響的半字節，不同灰度的陰影表示不同比例的故障差分值.

Fig. 2 Fault diffusion path in the penultimate round圖2 故障導入在倒數第2輪后的擴散路徑

步驟2.經過列混合變換后，中間狀態的每個半字節的分布律都受到上一個中間狀態的4個半字節分布律的影響.攻擊者需統計未經過MC且受到故障影響的半字節的分布，即Ar-1,Br-1或者Cr-1.以Cr-1為例，通過加密算法可以得出，Cr-1的每一個半字節都能用子密鑰k1和錯誤密文Y*的4個半字節來表示：

Cr-1=MC-1(AC-1(SC-1(SR-1(MC-1(Y*⊕
k1)))))=MC-1(AC-1(SC-1(SR-1(MC-1(Y*)⊕
MC-1(k1))))).

步驟3.通過統計分析，計算出k1的16 b.對于每一個子密鑰候選值，都能求出一組Cr-1.選定一個區分器，將這組數據作為樣本，求出每個候選值的區分器值，經過比較，選取區分器值最大(小)的候選值，即為正確子密鑰.

本步驟中所使用的區分器有3種：

1) SEI區分器

平方歐氏距離(square Euclidean imbalance, SEI)是由Fuhr等人提出的一種統計故障分析區分器，用于判斷一組樣本值是否服從均勻分布.攻擊者計算出最不可能服從均勻分布的那一組樣本值，即可求出子密鑰的部分位.表達式為

其中,γ[ε]記錄了樣本值為ε的樣本個數；N為樣本總個數；λ表示計量值的分組組數.當求得的SEI越小，表示這組樣本越服從均勻分布.

2) GF區分器

擬合優度(goodness of fit, GF)作為統計故障分析新區分器之一，適用于已知樣本分布率的情況下.攻擊者通過計算一組樣本是否滿足該分布，從而求出子密鑰的部分位.表達式為

其中，λ表示計量值的分組組數；Oε表示樣本處于分組ε中的個數；Φε表示在相同的樣本總數下，處于分組ε中的理論個數.與SEI區分器結果類似，若計算結果越小，則表示該組樣本越服從該分布.

Table 3 The Overview of a Nibble After Fault Injections

Table 4 The Distribution of a Nibble After Fault Injections

3) GF-SEI雙重區分器

為了進一步減少故障數并且解決以上問題，攻擊者可以將上述2個區分器結合，構建一個新型GF-SEI雙重區分器.使用方法為：先用擬合優度檢驗篩選出符合中間狀態值分布的所有樣本組；再用SEI區分器從中尋找最優樣本，從而恢復一定的密鑰比特.

步驟4.上述過程重復4次，即可恢復出子密鑰k1的全部位.LED -64的原始密鑰K即可通過密鑰編排算法求得.

步驟5.在破譯LED -128算法時，首先按上述過程恢復子密鑰k1；然后利用k1解密最后4輪，得到第44輪的輸出，重復上述步驟，即恢復子密鑰k2；最后根據密鑰編排算法求得原始密鑰K，使用故障數為LED -64算法的2倍.

Fig. 3 The probability of recovering a partial subkey using different faults圖3 使用不同故障數時恢復出部分子密鑰的概率

4 實驗分析

實驗采用使用Eclipse平臺編寫Java代碼進行算法的加解密和攻擊操作，利用計算機軟件模擬故障產生，通過隨機數生成器生成隨機半字節值，以按位與的方式導入到加密過程中的中間變量中，進而改變了該半字節的分布率.本節以恢復k1的16 b為例，分別考量SEI區分器、GF區分器和GF-SEI雙重區分器的故障數和耗費時間，所有數據均為實驗1 000次后的平均值.圖3表示在不同的區分器作用下恢復出子密鑰的概率.其中，橫坐標軸表示導入的故障數，縱坐標軸表示恢復出正確子密鑰的成功率.3種不同線段分別表示使用SEI區分器、GF區分器和GF-SEI雙重混合區分器進行統計分析的結果.實驗結果表明，在半字節隨機故障模型下，使用SEI區分器、GF區分器和GF-SEI雙重區分器時，分別需要68,64和48個故障，即可以99%的概率恢復出步驟3中的子密鑰.因而使用后2種區分器可以降低攻擊所用故障數，并且使用GF-SEI雙重區分器時故障數減少明顯.

圖4表示使用SEI區分器、GF區分器和GF-SEI雙重混合區分器破譯密鑰的時間堆積圖.其中橫坐標軸表示故障導入的個數，縱坐標軸表示以秒為單位的耗時.實驗結果表明，在半字節隨機故障模型下，3種區分器分別需要2.5 s,2.4 s和1.7 s，即可以99%的概率恢復出步驟3中的子密鑰.觀察圖4可知，對于同一個故障數，使用3種區分器進行統計分析所花費的時間比較接近.特別值得一提的是，使用GF-SEI雙重混合區分器不會增加攻擊時間.

Fig. 4 The time shown with stacked charts of using different faults圖4 使用不同故障數時耗費時間的堆積柱形圖

結合圖3和圖4的實驗結果， 我們進一步對SEI區分器、GF區分器和GF-SEI雙重區分器的破譯情況進行了比較，表5為統計故障分析AES算法和LED算法的攻擊結果對比.結果表明，使用GF區分器后的攻擊效果比SEI區分器的攻擊效果略佳，但效果不明顯;而使用GF-SEI雙重區分器所需要的故障數和耗費的時間比前兩者均明顯減少，是統計故障分析中目前已知的最佳區分器.

Table5ComparisonofStatisticalFaultAttacksonaPartialSubkeyofAESandLED

表5AES和LED算法統計故障分析部分子密鑰結果對比

CipherDistinguisherFaultNumberLatencyTime∕sReferencesAESSEI80Ref[24]SEI682．5LEDGF642．4ThisPaperGF?SEI481．7

5 結束語

本文提出了針對LED輕量級密碼算法的新型統計故障分析方法.在半字節隨機故障模型下，不僅將Fuhr等人的統計故障攻擊思想應用于輕量級分組密碼算法LED的安全性分析中，而且構建了GF區分器和GF-SEI雙重區分器，通過3種區分器均可以恢復原始密鑰.相較于原有的SEI區分器，新型區分器從攻擊效果和耗費時間上均具有較大優勢.結果表明：以LED為代表的輕量級密碼算法易受到統計故障分析的威脅，在物聯網環境實現時必須加以防護措施進行保護.

[1] Medaglia C M, Serbanati A. An overview of privacy and security issues in the Internet of things[C] //Proc of the Internet of Things. Berlin: Springer, 2010: 389-395

[2] Mayer C P. Security and privacy challenges in the Internet of things[J]. Electronic Communications of the Easst, 2009, 17(3): 11-22

[3] Ning Huangsheng, Liu Hong, Yang L T. Cyberentity security in the Internet of things[J]. Computer, 2013, 46(4): 46-53

[4] Suo Hui, Wan Jiefu, Zou Caifeng, et al. Security in the Internet of things: A review[C] //Proc of the 1st Int Conf on Computer Science and Electronics Engineering. Piscataway, NJ: IEEE, 2012: 648-651

[5] Guo J, Peyrin T, Poschmann A, et al. The LED block cipher[C] //Proc of the 13th Int Workshop on Cryptographic Hardware and Embedded Systems. Berlin: Springer, 2011: 326-341

[6] Ueno R, Homma N, Aoki T. Efficient DFA on SPN-based block ciphers and its application to the LED block cipher[J]. IEICE Trans on Fundamentals of Electronics Communica-tions & Computer Sciences, 2015, 98(1): 182-191

[7] Liu Feng, Liu Xuan, Meng Shuai. Differential fault attack and meet-in-the-middle attack on block cipher LED[J]. Advanced Materials Research, 2013, 850(1): 529-532

[8] Shanmugam D, Selvam R, Annadurai S. Differential power analysis attack on SIMON and LED block ciphers[C] //Proc of the 4th Int Conf on Security, Privacy, and Applied Cryptography Engineering. Berlin: Springer, 2014: 110-125

[9] Isa H, Z’Aba M R. Randomness analysis on LED block ciphers[C] //Proc of the 5th Int Conf on Security of Information and Networks. New York: ACM, 2012: 60-66

[10] Fujishiro M, Yanagisawa M, Togawa N. Scan-based attack on the LED block cipher using scan signatures[C] //Proc of the 20th IEEE Int Symp on Circuits and Systems. Piscataway, NJ: IEEE, 2014: 1460-1463

[11] Isobe T, Shibutani K. Security analysis of the lightweight block ciphers XTEA, LED and Piccolo[C] //Proc of the 17th Australasian Conf on Information Security and Privacy. Berlin: Springer, 2012: 71-86

[13] Soleimany H. Probabilistic slide cryptanalysis and its applications to LED -64 and Zorro[C] //Proc of the 21st Int Workshop on Fast Software Encryption. Berlin: Springer, 2014: 373-389

[14] Boneh D, Demillo R A, Lipton R J. On the importance of checking cryptographic protocols for faults[C] //Proc of the 16th Annual Int Conf on Theory and Application of Cryptographic Techniques. Berlin: Springer, 1997: 37-51

[15] Boneh D, Lipton R J. On the importance of eliminating errors in cryptographic computations[J]. Journal of Cryptology, 2001, 14(2): 101-119

[16] Mendel F, Rijmen V, Toz D, et al. Differential analysis of the LED block cipher[C] //Proc of the 18th Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2012: 190-207

[17] Jeong K, Lee C. Differential fault analysis on block cipher LED -64[G] //Future Information Technology, Application, and Service. Berlin: Springer, 2012: 26-34

[18] Li Wei, Gu Dawu, Xia Xiaoling, et al. Single byte differential fault analysis on the LED lightweight cipher in the wireless sensor network[J]. International Journal of Computational Intelligence Systems, 2012, 5(5): 896-904

[19] Li Wei, Gu Dawu, Zhao Chen, et al. Security analysis of the LED lightweight cipher in the Internet of things[J]. Chinese Journal of Computers, 2012, 35(3): 434-445

(李瑋, 谷大武, 趙辰, 等. 物聯網環境下LED輕量級密碼算法的安全性分析[J]. 計算機學報, 2012, 35(3): 434-445)

[20] Jovanovic P, Kreuzer M, Polian I. A fault attack on the LED block cipher[C] //Proc of the 3rd Int Conf on Constructive Side-Channel Analysis and Secure Design. Berlin: Springer, 2012: 120-134

[21] Zhao Xinjie, Guo Shize, Zhang Fan, et al. Improving and evaluating differential fault analysis on LED with algebraic techniques[C] //Proc of the 8th Workshop on Fault Diagnosis and Tolerance in Cryptography. Piscataway, NJ: IEEE, 2013: 41-51

[22] Ji Keke, Wang Tao, Zhao Xinjie, et al. Algebraic fault attack on LED light-weight block cipher[J]. Application Research of Computers, 2013, 30(4): 1183-1186

(冀可可, 王韜, 趙新杰, 等. 輕型分組密碼LED代數故障攻擊方法[J]. 計算機應用研究, 2013, 30(4): 1183-1186)

[23] Li Wei, Zhang Wenwen, Gu Dawu, et al. Impossible differential fault analysis on the LED lightweight cryptosystem in the vehicular ad-hoc networks[J]. IEEE Trans on Dependable & Secure Computing, 2016, 13(1): 84-92

[24] Fuhr T, Jaulmes E, Lomne V, et al. Fault attacks on AES with faulty ciphertexts only[C] //Proc of the 8th Workshop on Fault Diagnosis and Tolerance in Cryptography. Piscataway, NJ: IEEE, 2013: 108-118

ResearchontheLEDLightweightCipherAgainsttheStatisticalFaultAnalysisinInternetofThings

Li Wei1,2,3, Ge Chenyu1, Gu Dawu2, Liao Linfeng1, Gao Zhiyong1, Guo Zheng4, Liu Ya5, Liu Zhiqiang2, and Shi Xiujin1

1(SchoolofComputerScienceandTechnology,DonghuaUniversity,Shanghai201620)2(DepartmentofComputerScienceandEngineering,ShanghaiJiaoTongUniversity,Shanghai200240)3(ShanghaiKeyLaboratoryofIntegrateAdministrationTechnologiesforInformationSecurity(ShanghaiJiaoTongUniversity),Shanghai200240)4(SchoolofMicroelectronics,ShanghaiJiaoTongUniversity,Shanghai200240)5(DepartmentofComputerScienceandEngineering,UniversityofShanghaiforScienceandTechnology,Shanghai200093)

The typical lightweight cipher LED, proposed in CHES 2011, is applied in the Internet of things (IoT) to provide security for RFID tags and smart cards etc. Fault analysis has become an important method of cryptanalysis to evaluate the security of lightweight ciphers, depending on its fast speed, simple implementation, complex defense, etc. On the basis of the half byte-oriented fault model, we propose new statistical fault analysis on the LED cipher by inducing faults. Simulating experiment shows that our attack can recover its 64-bit and 128-bit secret keys with 99% probability using an SEI distinguisher, a GF distinguisher and a GF-SEI distinguisher, respectively. The attack can be implemented in the ciphertext-only attacking environment to improve the attacking efficiency and decrease the number of faults. It provides vital reference for security analysis of other lightweight ciphers in the Internet of things.

Internet of things (IoT); lightweight cipher; LED; statistical fault analysis; cryptanalysis

TP309.7

LiWei, born in 1980. PhD, associate professor. Senior member of CCF. Her main research interests include the design and analysis of symmetric ciphers.

GeChenyu, born in 1992. Master candidate. Her main research interests include security analysis of lightweight ciphers.

GuDawu, born in 1970. PhD, professor and PhD supervisor. Senior member of CCF. His main research interests include cryptology and computer security.

LiaoLinfeng, born in 1993. Master candidate. His main research interests include security analysis of symmetric ciphers.

GaoZhiyong, born in 1992. Master candidate. His main research interests include security analysis of symmetric ciphers.

GuoZheng, born in 1980. PhD, lecturer. His main research interests include the design and analysis of smart cards and chips.

LiuYa, born in 1983. PhD, lecturer. Her main research interests include the design and analysis of symmetric ciphers and computational number theory.

LiuZhiqiang, born in 1977. PhD, associate professor. His main research interests include block chain, DAG -based distributed system, cryptanalysis and design of block ciphers and Hash functions.

ShiXiujin, born in 1975. PhD, associate professor. His main research interests include security analysis of the Internet of things.

附錄A. 實驗數據及結果.

以LED -64算法為例.

明文：隨機生成；

密鑰：01 23 45 67 89 AB CD EF.

實驗結果表明：通過3種區分器均可以恢復原始密鑰，具體數據如表A1和表A2所示:

Table A1 Probability of Breaking LED Using Different Distinguishers

Continued (Table A1)

Table A2 Time of Breaking LED Using Different Distinguishers

Continued (Table A2)