第14卷第2期 2013年4月 信息工程大学学报 Journal of Information Engineering University Vo1.14 NO.2 Apr.2013 DOI:10.3969/j.issn.1671-0673.2013.02.003 ARIA的差分性质研究 郭建胜 ,张 磊 ,罗 伟 (1.信息工程大学,河南郑州450001;2.65012部队,辽宁沈阳110001) 摘要:ARIA是韩国标准分组加密算法。有关ARIA的差分性质研究结果仅限设计者基于活动 5盒数目而给出的一个理想评估上界。文章通过对算法轮函数内部结构分析,严格给出了 ARIA算法存在的最大单链差分转移概率,进一步考虑在多条差分路径复合的情况下,找到了 最大的两轮循环差分转移概率。结果表明,即使在考虑复合差分路径的情况下,ARIA对差分 分析也是安全的。 关键词:分组密码;ARIA;差分分析;差分特征;复合差分路径 中图分类号:TN918.1 文献标识码:A 文章编号:1671—0673(20l3)02—0141-07 Differential Property of Block Cipher ARIA GU0 Jian—sheng ,ZHANG Lei .LU0 Wei (1.Information Engineering University,Zhengzhou 450001,China;2.Unit 65012,Shenyang 110001,China) Abstract:ARIA is the Korean block cipher encryption standard.By counting guaranteed numbers of active S—boxes.the designers theoretically evaluate the immunity of ARIA against differential attack. In this paper,a strict differential probability result is proposed based on the properties of the round transform of ARIA.Moreover,considering different differential trails may cluster(causing differenti— als hulls),the best 2-round circular differential probability is given.It is shown that ARIA is secure to differential attack even under the differential trails clustering. Key words:block cipher;ARIA;differential cryptanalysis;differential characteristic;differential trails clustering ARIA¨ 是韩国研究者Daesung Kwon等提出的一种分组密码算法,它采用新的代替一置换网络 (SPN)结构,并于2004年被韩国商业部、工业部和能源部确认为韩国标准分组密码算法。ARIA的分组长 度为128比特,密钥长度可变,可取128、192或256比特。在不同的密钥规模下,算法相应的轮数分别为 12、14和16轮。 文献[3]首先指出了ARIA存在4轮不可能差分,从而给出了对6轮ARIA的攻击;文献[4.5]分别改 进了不可能差分分析的结果;文献[6]也首次给出针对ARIA的飞来去器分析;文献[1,7]在ARIA算法的 评估报告中给出了针对ARIA算法的差分分析、线性分析等安全指标。所给出的评估ARIA的差分分析结 果,是基于轮变换中所涉及的活动s盒数目,在假设所有的S盒均取得最大差分转移概率的基础之上给出 轮函数差分转移的界限。然而,此界限仅是一个估计值,是一个理想的上界。真实的差分界限可能达不到 此界,因为不可能涉及的所有s盒都取到最大差分转移概率。同时,基于活动S盒数目的评估手段,仅考 虑了单条差分链的差分转移概率,至于在多条差分路径作用下,ARIA的差分性能至今仍不得而知。 本文在细致分析ARIA轮变换中S盒和扩散层变换性质的基础上,找到了单链差分转移概率的最大 收稿日期:2012・10-28:修回日期:2012.12.13 作者简介:郭建胜(1972一),男,教授,主要研究方向为应用数学。 142 信息工程大学学报 值,同时给出了在复合路径作用下ARIA的两轮循环的最优差分转移概率。所找到的复合路径的差分转 移概率要优于理论的评估值,但也不会对算法构成威胁,这从另一个侧面说明了算法抵抗差分分析的 能力。 1 ARIA分组密码算法的轮变换结构 ARIA分组密码算法是一个sP结构分组算法,其每一层包含3个基本操作:轮密钥加变换(RK),非线 性层变换(SL)和线性层变换(DL)。算法最后一轮的线性层变换用一个轮密钥加代替。轮密钥加是中间 状态与128比特轮子密钥的逐位模2加,有关线性层与非线性层变换的具体设计如下。 非线性层变换(SL)将状态中的每个字节非线性的变换为另一个字节。ARIA在算法中使用了4个不 同的8×8的s盒:s。,s:,sf。,s ,这里5 。,s 是5。,s:的逆变换。 sL变换是面向字节变换,在生成过程中,采用了与AES中s盒类似的生成方式,通过多项式来定义有 限域GF(2。)上的运算。有限域GF(2 )中的元素可以有多种不同的表示方法,但不同的表示方法对实现 的复杂度是有影响的。这里使用多项式表示方法,即将一个字节b7b b b b,b:b b。看作是二元域GF(2)上 的次数小于8的多项式: 67 +b6 +65 +64 +63 +62 +bl +b0。 O 0l 00 11 11 1l 1有限域GF(2 )中的两个元素相加,和是一个多项式,其系数是两个元素对应系数的模2加。因此,两 个字节相加,其和为两个字节按比特异或(或逐位模2加)的结果,用符号0表示。有限域GF(2。)中的乘 法为模二元域GF(2)上的一个8次不可约多项式的多项式乘法。ARIA选择的8次不可约多项式为m ( )= + + + +1。于是,两个字节相乘,其积为对应多项式的乘积模上二元域GF(2)上的8次不 可约多项式m( )= + + + +1后的结果所对应的字节。Js 和Is 的生成方式用符号分别表示为 S :GF(2。)---*GF(2。), 卜÷4・ 一 6≥口。 1 O 0 0 l 1 1 1 1 1 0 0 0 1 1 1 l l 1 0 0 0 l l 1 1 l 1 0 O 0 1 A= 1 1 1 1 1 0 0 0 l 1 l O 0 0 1 11 l 0 O 0 1 1 0 1 00 l0 l0 0 1 1 1 1 1 0 0 0 0 1 1 1 1 1 S2:GF(2 )--,GF(2 ), ・X247①6。 B= , b= 至于生成的s盒具体值,可参考文献[1]。 将128比特的中间状态写成图1(a)中4×4的矩阵表示形式。每一轮非线性层变换sL将使用16个 并置的s盒。将并置的S盒,写成矩阵形式如图1(b)、(C)的形式,构成两种不同的类型sL变换。 SL1=SlS2si1 si1 SlS2s l sil StS2s l Sil S1S2s l sil, 乩2=|s 5 StS2 Sl-。.s 。S1S2 Sl- .s S1S2 si |s ’SlS2。 第2期 郭建胜等:ARIA的差分性质研究 143 加密过程中交替使用这两种类型,在奇数轮使用s£ ,偶数轮使用s :,即奇数轮时,第0,4,8,12字节 使用S。,第1,5,9,13字节使用Js:,第2,6,10,14字节使用s ~,第3,7,11,15字节使用s ;偶数轮时,第 0,4,8,12字节使用 1_ ,第1,5,9,13字节使用 。,第2,6,10,14字节使用 。,第3,7,1 1,15字节使用5:。 O 4 8 12 l S一 f1 5 9 1 3 s2 S2 s s ’ 2 6 10 14 S I Sl 3 7 I1 15 s t s 2 2 S2 (a)中间状态的矩阵表示形式 (b)奇数轮SL. (c)偶数轮 ,J: 图1 ARIA中间状态及非线性层的两类变换 ARIA在线性层变换(DL)中使用了二元域上面向字节的线性变换,DL是GF(2 ) 一GF(2 ) 的一 个映射: ( o, l,…, 15)卜_÷(Y0,Y1,…,Yl5), Y0 3① 4 x6① 8① 90 】3① … 2= l0 4④ 6① 10④ 1l0 l20 l5’ y】= 2① 5 x7 x8① 9o J2 x 3=Xo④ 5④z7o l0① ll① 1 3① 14, y4=Xo0 2④ 5 x8① 11④ 14① I5’ Y6= o0 2① 7 x9① l0 x120 y8=Xo① lo 4④ 7 x10① 130 l5, ylo=X2① 3① 50 6① 8 x130 l5, Y5: 1 0 30 4 x9① 1o① 14④ l5, y7= 1 o 30 6 x8① 11④ 12 x Y9= 0o lo 5o 6① 11① 12 x14, y Jl=X2 x3 x40 7① 9 xl2 xl4, I2= 1① 2① 60 70 90 11④ l2, yl4:xo④ 3① 4o 5① 9① 110 14, 13=xo① 3④ 60 7① 8① 10① Y15= l① 2① 40 5① 8 x1o① 15。 由于在本文的分析过程中不涉及密钥生成算法,有关密钥生成算法的描述及算法的其它设计细节参 考文献[1]。 2 ARIA轮变换的相关性质 2.1 非线性层变换的性质 定义1 函数/:{0,1} 一{0,1} 的差分转移概率定义为 1 Pr( 一卢),= #{ ‘ {0,1} :厂( o ) )=卢}, 最大转移概率定义为 1 max Pr( —+卢),=者#{ ∈{0,1} ( 0 ) )厂( ):卢}。 分析S盒的生成方式,通过计算机模拟,可得8×8的S盒S。,S:,S ,S 。的如下性质。 性质1 S。,S:,S1- ,5 的最大差分转移概率为2。。。,次大差分转移概率为2~,不存在其它的非零差 分转移概率。 性质2对任意的一个非零输入差分值,S ,S ,S ~,S 都存在与之对应的的非零输出差分值使得其 ,差分转移概率为2~。即对于不同的S盒非零输入差分 。, :, , ,分别存在唯一的非零输出差分卢 卢:, ,, ,使得 Pr( I )s.=Pr( 2 2)s =Pr(0/3 3)s =Pr(0/4 4)s =2_。。。 , 性质3 当输入差分值为197,输出差分值为197时,s ,s,- 差分转移概率为2~,S ,s 的差分转移 概率为0.即 144 信息工程大学学报 Pr(197—197)S1=Pr(197 197)s一 =2~, l Pr(197—197)S2=Pr(197 197)s—t=0。 2 性质4 当输入差分值为90,输出差分值为90时,Js ,s 差分转移概率为2一,S ,S, 差分转移概率 为0,即 Pr(90—90)S2=Pr(90—90) :2~, 2 PT(90—90)s,=Pr(90—90) 一1=0。 1 性质5 当非零输入差分值 #90和197时,S ,s。,.s ,s 存在且仅存在唯一的一个S盒可以使其 输出差分转移概率达到最大。 2.2线性层变换的性质 定义2 设X=( 。, 一, ),这里 EGF(2。),0≤ ≤15。令 ’=X 代表差分值,差分重量为 差分值中所有非0的状态字节的个数。输入输出差分重量为输入差分重量与输出差分重量之和。 定义3(分支数)… 设P:((0,1) ) 一((0,1) ) 是线性双射,则称 DP=rain{ ( )+'tO(卢):Pr( ) :I,Ot≠0} 为P的差分分支数。其中,Pr( ) 是P的差分转移概率,即 1 Pr( — 』B) = #{ ∈({0,1} ) :P( 0 )①P( )=』臼}。 二 ARIA的分支数为8…,下面分析两轮ARIA的最大差分转移概率形式。根据线性层的结构,每个线 性层变换的输出均是7个输入字节的模2加。当输入各个字节差分值相等时,出现偶数次的输入将会相 互抵消,此时导致输出差分值非零的个数最少。应用分支数理论,两轮变换所涉及的s盒数目最少,此时 对应的差分转移概率最大。以下分析均考虑输入各字节差分值相等的情况。 根据输入差分重量的不同,可以将ARIA的加密输入差分分为7个表1 ARIA的不同加密输入类型及计数 类型,具体如表l所示。 以类型Ⅳ举例说明表I的含义,在类型Ⅳ中,4—4表示输入差分重 量为4,输出差分重量也为4,计数值204表示输入差分重量为4,输出差 分重量也为4的情况有204个。 3 ARIA的两轮最优循环差分概率 接下来分析两轮的循环差分链,即分析n一6一。的最优差分转移概 率。根据表1中各类型的分布,类型Ⅳ的情况最多,并且在此种情况可以取得两轮最优的差分概率。下面 给出表1中类型Ⅳ的差分性质,其它情况依次类似给出。 3.1 输入类型Ⅳ的两轮最优循环差分概率 考虑每次的非线性变换中所涉及的不同s盒,不考虑同一s盒的使用个数。当输入输出差分重量为 Ⅳ类型时,其输入差分重量为4,输出差分重量也为4。根据非零字节所要通过的S盒类型,亦即写成图1 中4×4的矩阵形式,按行重量的分布,将204种情况分为4种形式: f22 f4 r22 @4-- ̄1111;@22一{【211;@1111 {22;@211一{211。 1111 【l111 其中,形式①表示第1轮的非线性层输入涉及4个同一s盒,经过一轮变换后,第2轮的非线性层涉及4 个不同S盒(S ,S:,S1- ,s )。举例说明,当第2,6,10,14字节输入差分非零时,第1轮非线性层涉及4 个s ,经过线性层变换之后,经过第2轮非线性层时涉及S ,5 ,5 ,.s 这4个不同的s盒。其变换过程 如图2所示。其它情况以此类推。 第2期 郭建胜等:ARIA的差分性质研究 145 图2差分传递形式 引理1 当输入差分符合形式①时,两轮循环差分链的最大差分转移概率为 Pr=2一 。+19 x 2一 。 证明通过计算机模拟,当输入差分为形式①时,其可能的情况有4种。在输人第1轮涉及一类s 盒,第2轮涉及4类s盒,即|s ,s:,s。 和Js ~。固定非零输入差分,得到其所有可能的输出差分值,分析 这些可能输出差分值在下一轮作为输入差分时,经过相应的Js盒变换后,又回到输入差分的个数。在单链 差分最大的条件下,符合要求的数目最多有21个,即有2条链达到最大差分,其它19条链差分均为次大 差分。此时的对应的差分转移概率即为 Pr:2×(2一 ) ×2一 X(2一’) +19×(2一 ) ×(2一’) :2一 。+19×2 56。 由以上分析可知,当输入差分符合形式①时,两轮循环差分链的最大差分转移概率为 Pr=2一 。+19×2一 。 引理2 当输入差分符合形式②时,两轮循环差分链的最大差分转移概率为 Pr=2一 。+2一如。 证明 ①当输入差分为形式②中22—22时,通过计算机模拟,此类情况有12种。因为当输入值为 90或197时,才同时有两类s盒的差分转移概率同时达到最大值。在这12种情况中,考虑同时使得两类 Js盒差分转移概率达到最大的情况,此时的单链差分转移概率才达到最大值。经过分析可得,当输入差分 在第8,10,12,14字节处输入差分为197时,或输入差分在第9,10,13,15字节处输入差分为90时,此时 的单链差分转移概率均达到最大,即 Pr…(197—197—197) =(2 ) ×(2 ) =2“ ; Pr…(90—90 90),=(2 ) ×(2 ) =2 。。 下面考虑在复合路径下最大差分转移概率。当输入差分为197,输出差分为其它值,再经过s盒后输 出差分值为197这类情况的计数。经过程序验证,此时最多有64个。类似地,在第1轮输入差分为90,第 2轮输出也为90时,此时最多有57个。从而复合路径下最大的差分转移概率为 Pr…(197 ?-- ̄197)=(2一 ) ×(2一 ) +64×(2一’) x(2’ ) =2一 。+2一 。。 ⑨当输入差分为形式②中22—211时,通过计算机模拟,此类情况有49种。第1轮输入涉及两类s 盒,经过一轮变换后,涉及3类s盒。在第1轮经过非线性层时,根据S盒的特性可知,其可能出现两种情 况:④一类Js盒达到最优差分,另一类.s盒达到次大差分;@两类s盒都达到次大差分概率。 在第2轮经过非线性层时,利用Js盒的性质进行筛选,可能出现的情况有:@2个s盒达到最优的差分, 其它5盒为次大差分;@1个.s盒达到最优差分,另3个s盒达到次大差分;@4个s盒均为次大差分。 根据以上分析,可能出现的单链差分情况有:第1轮为上述情况@,第2轮为上述情况@,此时差分 概率为2 ;第1轮为上述情况@,第2轮为上述情况@,此时差分概率为2 ;第1轮为上述情况@, 第2轮为上述情况@,此时差分概率为2 ;第1轮为上述情况@,第2轮为上述情况@,此时差分概率 为2 ;第1轮为上述情况@,第2轮为上述情况◎,此时差分概率为2 。 下面分析在输入差分值给定的情况下可能的复合差分链。当输入差分值取遍,通过计算机模拟,分析 其可能输出差分值中使最优单链差分出现最多的复合链最多有38个,其中最大单链差分出现3次,其它 .s盒的差分均取次大差分。从而差分转移概率的上界为 Pr ̄<3 x2一 +35 x2。 。 ①当差分为形式②中22—1111时,通过计算机模拟,此类情况有11个。第1轮输入涉及两类s盒, l46 信息工程大学学报 经过一轮变换后,涉及4类s盒。在第1轮经过非线性层时,根据|s盒的特性可知,其可能出现两种情况: 一类 盒中的两个 盒全部达到最优差分,其它的 盒达到次大差分;两类 盒都达到次大差分概率。 在第2轮经过非线性层时,利用S盒的性质进行筛选,可能出现的情况有:1个s盒达到最优的差分, 其它S盒为次大差分;4个s盒均为次大差分。 从而单链的最优差分转移概率为 Pr=(2一 ) X(2一 ) ×2一 X(2一’) =2一 。。 下面分析在输入差分值给定的情况下可能的复合差分链。当输入差分值取遍,通过计算机模拟,分析 其可能输出差分值中使最优单链差分出现最多的复合链最多有21个,其中最大单链差分出现2次,其它 情况为S盒均取次大差分。上述单链差分中最大值,从而差分转移概率的上界为 Pr≤2×2一 。+19 x 2 =2一 +19×2 由以上分析可知,当输入差分符合形式②时,两轮循环差分链的最大差分转移概率为 Pr…(197_÷?---.197)=2 +2 。。 引理3 当输入差分符合形式③时,两轮循环差分链的最大差分转移概率为 Pr=2一 +19 X2一 。 证明 ①当差分为形式③中1111—4时,通过计算机模拟,此类情况只有4种。其对应的差分输入 即为引理1中4一l111对应的差分输出。根据对称性,由引理1中4—1111的证明,求得此时的最大差分 转移概率为Pr=2。。+19 X2 。 ⑨当差分为形式③中111 l一22时,通过计算机模拟,此类情况只有11种。依据引理2中①的证明, 得到其对应的最大差分转移概率上界为Pr≤2 +19×2 。 ①当差分为形式③中111I---.1111时,通过计算机模拟,此类情况有16种。输入第1轮涉及4类|s 盒,第2轮涉及4类S盒s ,s ,Js。 和.s 。。。根据S盒的特性可知,对通过每轮.s盒的概率可能出现3种 情况:在第l轮可以让2个s盒全部达到最优差分,此情况的概率为2 。;1个5盒达到最优差分,其它类 型Js盒均为次大差分,此情况的概率为2I2 ;4个S盒都达到次大差分概率,此情况的概率为2 。从而, 单链差分最大为Pr=(2 ) X(2 ) X(2。) X(2 ) =2 。。 下面分析在输人差分值给定的情况下可能的复合差分链。当输入差分值取遍,通过计算机模拟,分析 其可能输出差分值中使最优单链差分出现最多的复合链最多有21个,其中最大单链差分出现2次,其它 情况为5盒均取次大差分。上述单链差分中最大值,从而差分转移概率的上界为 Pr≤2 X2一 +19×2一 =2一 +19×2一 由以上分析可知,当输入差分符合形式③时两轮循环差分链的最大差分转移概率为 Pr=2一 。+19 X 2一 。 引理4 当输人差分符合形式④时,两轮循环差分链的最大差分转移概率为 Pr≤2一 。+41×2一 。 证明 ①当差分为形式④中211—22时,通过计算机模拟,此类情况只有49种。根据引理2中⑧的 证明,此时的最大差分转移概率上界:Pr≤3 X2。 +35×2。。。 ⑨当差分为形式④中2l1—211时,通过计算机模拟此类情况有48种。第1轮输入涉及3类s盒,第 2轮输入也涉及3类S盒。根据Js盒的特性可知,通过S盒变换时,有4种情况:3个5盒全部达到最优差 分,另一个s盒达到次大差分;2个.s盒都达最优差分,其它2个.s盒达到次大差分;1个Js盒达到最优差 分,其它3个s盒达到次大差分;4个JS盒均为次在差分。经过两轮变换,求得单链的最优差分转移概率: Pr:f 2一 )。X 2一 X(2 ) ×2~=2 。。 下面分析在输入差分值给定的情况下可能的复合差分链。当输入差分值取遍,通过计算机模拟,其可 能出现的复合链最多有42个,从而差分转移概率为 Pr≤2一 。+41×2一 。 由以上分析可知,当输入差分符合形式④时,两轮循环差分链的最大差分转移概率为Pr≤2 。+41 ×2一 第2期 郭建胜等:ARIA的差分性质研究 147 定理1 在输入差分为类型IV时,两轮循环差分链的最大差分转移概率为 Pr=2一 。+2一∞。 证明 依据上述引理1,引理2,引理3及引理4的证明,显然可以得出。 3.2输入类型I的两轮最优循环差分概率 当输入输出差分重量为I类型时,其输入差分重量为1,输出差分重量也为7。输入第1轮涉及一类 Js盒,第2轮涉及4类Js盒s。,s ,s 和s:~。分析单链差分最优的情况:第1轮.s盒取最大差分概率,第 2轮有2个Js盒取最大差分概率,其它5个S盒取次大差分概率,此时的单链差分转移概率为 Pr=2 ×(2 ) X(2 ) =2 。 固定非零输入差分,分析其所有可能的输出差分值,分析这些可能输出差分值在下一轮作为输入差分 时,经过相应的S盒变换后,又回到输入差分的个数。在满足单链差分转移概率最大的情况下,求出这16 种情况下的使得复合链数目最多有23个,其中有2条单链差分转移概率达到最大,其它复合链差分概率 均为次大差分。此时对应的差分转移概率上界为 Pr≤2 x 2一 +19×2一 x(2一 ) =2一 +19×2一 。 3.3 输入类型Ⅱ的两轮最优循环差分概率 当输入差分重量为2,输出差分重量为6时,输入第1轮涉及2类 盒。第2轮涉及4类S盒,分析单 链差分最优的情况:第1轮1个s盒取最大差分,另1个s盒取次大差分,第2轮有2个S盒取最大差分, 其它4个S盒取次大差分,此时差分转移概率为 Pr=2一 x2一 x(2一 ) x(2一 ) =2一 。 考虑复合链的情况,类似于输入差分重量为1输出差分重量为7的分析。此时对应的差分转移概率 上界为 Pr≤2×2一 +19×(2一 ) ×(2一’) =2一 +19×2一 3.4 输入类型Ⅲ的两轮最优循环差分概率 当输入差分重量为3,输出差分重量为5时,输入第1轮涉及3类 盒。第2轮涉及3类 盒,分析单 链差分最优的情况:第1轮1个S盒取最大差分,另2个S盒取次大差分,第2轮有3个.s盒取最大差分, 其它2个.s盒取次大差分,此时单链差分移概率为 Pr=2一 ×(2一’) ×(2一 ) ×(2一’) :2一 。 考虑复合链的情况。对所有可能的输入差分通过计算机模拟,其可能输出差分值中使最优单链差分 出现最多的复合链最多有38个,其中最大单链差分出现3次,其它|s盒的差分均取次大差分。此时对应 的差分转移概率上界:Pr≤3×2 。+35×2 。 对于输入类型V,Ⅵ,Ⅶ的情况,由上述分析,根据对称性,可以类似求出相应的两轮循环差分转移概 率的上界。综上所述,可得如下定理2。 定理2 两轮ARIA的复合循环差分链的最优差分转移概率为 Pr…=2“ +2。。,其形式为Pr…(197一?-- ̄197)。 基于所求出的ARIA的两轮循环差分概率,可以给出6轮ARIA的差分概率界限。与文献[1]中的结 果相比,本文的结果是“紧凑”的,是可以达到的。 4 结束语 ARIA的设计者依据分支数理论,利用ARIA的5盒最优差分转移概率为2 和线性层分支数为8,从 理论上给出了两轮ARIA的最优单链差分转移概率界限为2 。本文通过具体分析S盒差分值输入,结 合线性层的结构,在考虑复合差分链的情况下,两轮ARIA的最优循环差分转移概率为2“。+2 I5。。其结 果与理论分析的相差不大。从一个侧面说明了ARIA的设计很好地控制复合差分链的概率值。根据差分 分析与线性分析之间的相关性,相信ARIA对线性分析也是免疫的。 (下转第152页) 152 信息工程大学学报 2013缸 待于进一步研究。 4 结束语 本文提出了一种基于UOV方案的改进多变量签名方案。原始的UOV方案具有特殊的结构,使得在 计算签名时具有很高的效率,但是其特殊的结构使得该方案受到秩攻击的破解。本文对UOV方案的中心 映射进行了改进,重新构造了中心映射,使得秩攻击对改进方案不再有效;I ̄B,-t,改进方案同样易于计算并 且效率很高。 参考文献: [1]Ding JT,Schmidt D.Multivariate public key cryptosystems[M].USA:Springer,2006. [2]Shor P.Polynomial—time algorithms for prime factorization and discrete logarithms on a quantum computer[J 3.SIAM Journal on Computing,1999,26(5):1484—1509. [3]Kipnis A,Patarin J,Goubin L.Unbalanced oil and vinegar signature schemes[C]//Advances in Cryptology--EUROCRYPT 99.1999:206・222. [4]Ding JT,Schmidt D.Rainbow,a New Multivariable Polynomial Signature Scheme[J].Applied Cryptography and Network Se. eurity,2005,LNCS 3531:164-175. [5]Kipnis A,Shamir A.Cryptanalysis ofthe Oil Vinegar signature scheme[C]//Advances in Cryptology--CRYPTO98.1998: 257.266. [6]Ding JT,Hu L,Yang BY,et a1.Note Oll design criteria for Rainbow-type multivariates[EB/OL].[2006-09-05].http:// eprint.iaer.ors/2006/307. [7]Ding JT,Yang BY,Chen CH,et a1.New diferential-algebraic attacks and reparametrization of Rainbow[J].Applied Cryp— tography and Network Security,2008,LNCS 5037:242-257. [8]Thomae E,Wolf C.Solving underdetermined systems of multivariate quadratic equations revisited[J].Public Key Cryptogra— phy・PKC,2012,LNCS 7293:156・171. [9]Yang BY,Chen JM.All in the XL family,Theory and practice[C]//Information Security and Cryptology—ICISC 2004.2005, 3506:67-86. o●<>●0●<>●<>●<>●<>●<>●<>●<>●<>●<>●<>●<>●< ●o●<>●<>●0●< ●<>●<>●<>●<>●C ●<>●<>●00<>●<>●c'●<>●0●o●<>●<>●0●<>●o●<>●<>●<,●<>●0●<>●o●< ●0● (上接第147页) 参考文献: [1] Kwon D,J Kim,Park S,et a1.New block cipher:ARIA【C]//Information Security and Cryptology一1CISC 2003.LNCS 2971, 2003:432-445. [2] National Security Research Institute,Specification ofARIA,Version 1.0[EB/OL].[2005-01-02].http://www.nsri.re.kr/ ARIA/doc/ARIA—specification—e.pdf. nling,Zhang Wentao,Feng Dengguo.Impossible differential cryptanalysis of reduced—round ARIA and Camellia[J]. [3] Wu WeJournal of Computer Science and Technology,2007,22(3):449-456. Ruilin,Sun Bing,Zhang Peng,et a1.New impossible differential eryptanalysis of ARIA[EB/OL].[2008-05—29].ht一 [4] Litp://eprint.iacr.ors/2008/227.pdf. A和Salsa20的安全性分析[D].山东: 山东大学,2008. [5] 李申华.对称密码算法ARIeischmann,Michael Gorski,Stefan Lucks.Attacking reduced rounds of the ARIA block cipher[EB/OL].[2009-07一 [6] Ewan Fl09].http://eprint,iacr.or/2009/334.pdfs. [7]Alex Biyrukov,Christophe De Canniere,Joseph Lano,et a1.Security and performance analysis of ARIA[EB/OL].[2003一 O1-07].http://homes.esat.kuleuven.be/{}\sim¥\abiryuko/ARIA-COSICreport.pdf. [8]吴文玲,冯登国,张文涛.分组密码的设计与分析[M].2版.北京:清华大学出版社,2009:250・251.