田玉丹，韋永壯

?

認證加密模型JAMBU的新分析

田玉丹1，韋永壯2

（1. 華東師范大學(xué)信息化辦公室，上海 200333； 2. 認知無線電與信息處理省部共建教育部重點實驗室（桂林電子科技大學(xué)），廣西桂林 541004）

根據(jù)JAMBU模型的結(jié)構(gòu)特點——相關(guān)數(shù)據(jù)和明文可以相互轉(zhuǎn)化，利用偽造攻擊等基本思想提出了“隨機數(shù)重復(fù)利用”的分析方法。結(jié)果表明，該分析所需數(shù)據(jù)復(fù)雜度為，時間復(fù)雜度為。與已有分析結(jié)果相比，該分析數(shù)據(jù)復(fù)雜度更低。

JAMBU；偽造攻擊；CAESAR；認證加密

1 引言

認證加密算法可以同時實現(xiàn)信息的加解密和完整性檢驗這2個功能，已被廣泛應(yīng)用于各種網(wǎng)絡(luò)安全系統(tǒng)中。2013年，世界范圍內(nèi)開啟了對認證加密算法的征集活動——CAESAR[1,2]；2014年，57個認證加密算法入選一輪候選算法；2015年，共29個認證加密算法入選二輪候選算法；2016年，15個認證加密算法入選三輪候選算法。Wu等基于輕量級認證加密的思想，利用NIST的推薦模型CFB，設(shè)計出了JAMBU模型[3]。這一模型具有新穎的結(jié)構(gòu)和設(shè)計理念，并且順利入選CAESAR第三輪候選算法。該模型具有廣泛的適用性。例如，將SIMONU[4]和AES-128[5]算法分別嵌入JAMBU模型，可得到相應(yīng)的認證加密算法SIMON-JAMBU和AES-JAMBU。

2014年，Thomas等在文獻[6]中對JAMBU的安全性進行分析：輸入2個不同的初始隨機向量，會產(chǎn)生不同的內(nèi)部狀態(tài)，然后改變輸入的明文值，可求得內(nèi)部狀態(tài)的差分值，從而達到預(yù)測密文的效果。結(jié)果表明，該分析所需數(shù)據(jù)復(fù)雜度為個選擇明文，時間復(fù)雜度為次加密模塊訪問。

2015年，Di在文獻[7]中對AES-JAMBU的安全性進行分析，其主要的分析方法包括：窮密鑰搜索攻擊、暴力破譯MAC攻擊、密文組插入攻擊、密文組刪除攻擊、密文修改攻擊、選擇明文攻擊。分析結(jié)果顯示，以上6種攻擊方法攻擊復(fù)雜度最低為。

本文根據(jù)JAMBU的“相關(guān)數(shù)據(jù)處理階段和明文加密階段具有類似的結(jié)構(gòu)”這一特點提出“相關(guān)數(shù)據(jù)和明文相互轉(zhuǎn)化”的新分析。研究表明，新分析通過改變相關(guān)數(shù)據(jù)和明文分組的個數(shù)，實現(xiàn)相關(guān)數(shù)據(jù)向明文轉(zhuǎn)化的功能，從而預(yù)測密文的輸出值。該分析所需數(shù)據(jù)復(fù)雜度為個選擇明文，時間復(fù)雜度為次加密模塊訪問。因此，新分析過程在保證時間復(fù)雜度未變的前提下，降低了數(shù)據(jù)復(fù)雜度。

2 JAMBU算法介紹

JAMBU是一個輕量級認證加密模型[3]。Wu等將JAMBU模型與SIMON算法結(jié)合，設(shè)計出了認證加密算法SIMON-JAMBU，將JAMBU模型與AES-128算法結(jié)合，設(shè)計出了認證加密算法AES-JAMBU。JAMBU模型的輸入為位密鑰，位公共隨機數(shù)，相關(guān)數(shù)據(jù)和明文，生成與明文相同位長的密文和位標(biāo)簽。

JAMBU模型的基本運算如下。

JAMBU的基本符號與常量介紹如下。

JAMBU模型的認證加密過程共有5個階段：數(shù)據(jù)填充、初始化、相關(guān)數(shù)據(jù)處理、明文加密、生成認證標(biāo)簽，如圖1所示。

1) 數(shù)據(jù)填充階段

2) 初始化階段

3) 相關(guān)數(shù)據(jù)處理階段

4) 明文加密階段

認證標(biāo)簽生成階段如圖1所示，共有兩輪狀態(tài)更新過程，其過程如下。

3 認證加密模型JAMBU的分析過程

(2)

(4)

式(3)輸入為1個相關(guān)數(shù)據(jù)分組和2個明文分組，式(4)輸入為2個相關(guān)數(shù)據(jù)分組和1個明文分組，設(shè)，為步驟1所求得在處所注入的相關(guān)數(shù)據(jù)差分值，根據(jù)步驟1可知，該差分可以使兩式加密過程中產(chǎn)生差分。由圖4可知，圖4(b)在處多注入一個1，因此，即。在第3個模塊輸入端注入差分，當(dāng)時，、、、、、。因此如果輸出密文滿足，則有可能。通過次加密和個明文數(shù)據(jù)即可求出可能的值(證明過程與步驟1相似)。

個輸入相關(guān)數(shù)據(jù)個輸入相關(guān)數(shù)據(jù)共個相關(guān)數(shù)據(jù)差分

表1 JAMBU分析結(jié)果對比

4 結(jié)束語

表1將文獻[5]和本文結(jié)果進行對比。由表可知，文獻[5]改變初始向量的值，使初始化階段狀態(tài)產(chǎn)生差分，然后注入明文差分，抵消初始向量帶來的差分，最終內(nèi)部狀態(tài)發(fā)生碰撞，所需數(shù)據(jù)復(fù)雜度為個選擇明文，時間復(fù)雜度為次加密模塊訪問；文獻[7]提出針對AES-JAMBU的分析方法，分析結(jié)果顯示數(shù)據(jù)復(fù)雜度和時間復(fù)雜度均為；本文采用相同的初始向量值，通過改變相關(guān)數(shù)據(jù)和明文的界限，注入相關(guān)數(shù)據(jù)差分，使內(nèi)部狀態(tài)產(chǎn)生差分，再注入明文差分，最終內(nèi)部狀態(tài)發(fā)生碰撞，從而預(yù)測密文，所需數(shù)據(jù)復(fù)雜度為個選擇明文，時間復(fù)雜度為次加密模塊訪問。因此，本文所需數(shù)據(jù)復(fù)雜度要小于文獻[5]和文獻[7]，時間復(fù)雜度與文獻[5]的復(fù)雜度相同并小于文獻[7]的復(fù)雜度。

[1] DANIEL J. CAESAR-competition for authenticated encryption: security, applicability, and robustness[OE/OL]. http://competitions. cr.yp.to/caesar.html.

[2] FUHR T, LEURENT G, SUDER V. Forgery and key-recovery attacks on caesar candidate marble[J]. Cryptography & Security, 2015.

[3] WU H. HUANG T. JAMBU lightweight authenticated encryption mode and AES-JAMBU (v1)[C]// The CAESAR Competition.2014.

[4] WU W, ZHANG L. LBlock: a lightweight block cipher[C]//Applied Cryptography and Network Security. 2011: 327-344.

[5] DERBEZ P, FOUQU A, JEAN J. Improved key recovery attacks on reduced-round AES in the single-key setting[C]//The 32nd Annual International Conference on the Theory and Applications of Cryptographic Techniques．2013: 371-378.

[6] PEYRIN T, SIM S M, WANG L, et al. Cryptanalysis of JAMBU[J]. Early Symmetric Crypto ESC, 2015: 77.

[7] DI B B.Analysis of one-pass block cipher based authenticated encryption schemes[DB/OL]. http://eprints.qut.edu.au/87437/1/Binbin_ Di_Thesis.pdf.

[8] KAVUN E B, YALCIN T. A lightweight implementation of Keccak Hash function for radio-frequency identification applications[M]// Radio Frequency Identification: Security and Privacy Issues. Berlin: Springer, 2010: 258-269.

[9]劉彥賓, 韋永壯. PMAC 模式的消息偽造攻擊[J]. 計算機工程, 2009, 35(22): 150-152.

LIU Y B, WEI Y Z. Message forgery attack of PMAC scheme[J]. Computer Engineering, 2009, 35(22): 150-152.

New cryptanalysis of the authenticated cipher model JAMBU

TIAN Yu-dan1, WEI Yong-zhuang2

(1. Information Technology Services Center, East China Normal University, Shanghai 200333, China; 2. Key Laboratory of Cognitive Radio and Information Processing Ministry of Education, (Guilin University of Electronic Technology), Guilin 541004, China)

Based on the characteristic of JAMBU, a forgery attack by using the principle, where the associated data can be transformed into the plaintext was proposed. It is shown that the attack requires a data complexity of aboutchosen plaintext, and a time complexity of aboutencryptions. Compared with the previous attack, this attack is more favorable.

JAMBU, forgery attack, CAESAR, authenticated encryption

TP309.7

A

10.11959/j.issn.2096-109x.2017.00177

田玉丹（1990-），女，山東菏澤人，華東師范大學(xué)初級網(wǎng)絡(luò)安全工程師，主要研究方向為信息安全。

韋永壯（1976-），男，廣西田陽人，博士，桂林電子科技大學(xué)教授，主要研究方向為信息安全。

2017-05-12；

2017-06-10。

韋永壯，walker_wei@msn.com

廣西無線寬帶通信與信號處理重點實驗室主任基金資助項目（No.GXKL061510）

Guangxi Wireless Broadband Communication and Signal Processing Laboratory Director of Foundation (No.GXKL061510)