ARX 型密碼算法的設計與分析*

孫思維, 胡 磊, 劉田雨, 牛鐘鋒, 汪達超, 張英杰

1.中國科學院大學 密碼學院, 北京 100049

2.密碼科學技術全國重點實驗室, 北京 100878

3.中國科學院大學 網絡空間安全學院, 北京 100049

4.隆德大學 電子信息系, 隆德

5.北京雁棲湖應用數學研究院, 北京 101408

6.清華大學 丘成桐數學科學中心, 北京 100084

1 引言

ARX 型密碼是一類基于模加、(循環) 移位和異或等位運算構造的對稱密碼算法.由于現代微處理器對這些操作的原生支持, ARX 型密碼的軟件實現代碼緊湊、效率高.另外, 由于模加可以同時提供擴散和混淆功能, 與使用S 盒作為非線性組件的對稱密碼相比, ARX 型密碼避免了查表操作, 在一定程度上可以更好地抵抗基于時間的側信道攻擊.學界和工業界設計了一系列ARX 型對稱密碼, 包括分組密碼、序列密碼、密碼學置換、雜湊函數、消息認證碼和認證加密算法等.

ARX 型密碼在實際中應用廣泛.HIGHT 和LEA 都是ISO/IEC 國際標準分組密碼算法.ChaCha20-Poly1305 序列密碼在SSL 和TLS 安全協議中被廣泛使用.ZUC-128[1]和SNOW 系列序列密碼作為ISO/IEC 和3GPP LTE 算法標準, 被廣泛應用于4G 通信領域.類Unix 軟件包GNU 核心工具組的b2sum 命令實現了BLAKE2 雜湊函數.BLAKE2 在RAR 和7-Zip 壓縮工具中應用于文件校驗.SipHash算法被應用于網絡流量驗證和防御Hash-flooding 拒絕服務攻擊等.Chaskey 作為ISO/IEC 的輕量級消息認證碼標準, 被廣泛應用在微處理器中.SM3 雜湊函數則是ISO/IEC 標準及中國國家標準, 在商用密碼領域應用廣泛.另一方面, 由于模加運算操作數的寬度一般為16 位、32 位或64 位等, 很難通過窮舉的方式刻畫其差分和線性等密碼學……