李 瑋 葛晨雨 谷大武 廖林峰 高志勇 郭 箏 劉 亞 劉志強 石秀金

1(東華大學計算機科學與技術學院 上海 201620)2(上海交通大學計算機科學與工程系 上海 200240)3(上海市信息安全綜合管理技術研究重點實驗室(上海交通大學) 上海 200240) 4(上海交通大學微電子學院 上海 200240)5(上海理工大學計算機科學與工程系 上海 200093) (liwei．cs．cn@gmail．com)

2017-06-11；

2017-07-31

國家“九七三”重點基礎研究發(fā)展計劃基金項目(2013CB338004)；國家自然科學基金項目(61672347,61772129,61402288,61402286,61402250,61572192)；上海市自然科學基金項目(15ZR1400300,16ZR1401100)；上海市教育委員會科研創(chuàng)新重點項目(14ZZ066)；上海市信息安全綜合管理技術研究重點實驗室開放課題(AGK201703)；中央高?；究蒲袠I(yè)務費專項資金項目(040) This work was supported by the National Basic Research Program of China (973 Program) (2013CB338004), the National Natural Science Foundation of China (61672347, 61772129, 61402288, 61402286, 61402250, 61572192), the Shanghai Natural Science Foundation (15ZR1400300, 16ZR1401100), the Innovation Program of Shanghai Municipal Education Commission (14ZZ066), the Opening Project of Shanghai Key Laboratory of Integrated Administration Technologies for Information Security (AGK201703), and the Fundamental Research Funds for the Central Universities (040).

石秀金(sxj@dhu.edu.cn)

物聯(lián)網(wǎng)環(huán)境中LED輕量級密碼算法的統(tǒng)計故障分析研究

李 瑋1,2,3葛晨雨1谷大武2廖林峰1高志勇1郭 箏4劉 亞5劉志強2石秀金1

1(東華大學計算機科學與技術學院 上海 201620)2(上海交通大學計算機科學與工程系 上海 200240)3(上海市信息安全綜合管理技術研究重點實驗室(上海交通大學) 上海 200240)4(上海交通大學微電子學院 上海 200240)5(上海理工大學計算機科學與工程系 上海 200093) (liwei．cs．cn@gmail．com)

LED算法是于2011年密碼硬件與嵌入式系統(tǒng)國際會議(CHES)中提出的一種典型輕量級密碼算法，用于在物聯(lián)網(wǎng)環(huán)境下保護RFID標簽以及智能卡等設備的通信安全.故障分析憑借其攻擊速度快、實現(xiàn)簡單和難以防御等特點，已成為評測輕量級密碼算法安全性的一種重要手段.提出了針對LED算法的新型統(tǒng)計故障分析方法，采用面向半字節(jié)的故障模型，分別使用SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重區(qū)分器對算法進行統(tǒng)計分析.實驗結果表明：在較短時間內以99%的成功概率恢復出LED算法的64 b和128 b原始密鑰.該攻擊方法不僅可以在唯密文攻擊條件下實現(xiàn)，而且提升了故障攻擊效率，降低了故障數(shù),為物聯(lián)網(wǎng)環(huán)境下其他輕量級密碼的安全性分析提供了重要參考.

物聯(lián)網(wǎng)；輕量級密碼；LED；統(tǒng)計故障分析；密碼分析

物聯(lián)網(wǎng)(Internet of things, IoT)是通過使用射頻識別、傳感器、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息采集設備，按照約定的協(xié)議把任何物品與互聯(lián)網(wǎng)連接起來進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡[1].物聯(lián)網(wǎng)代表了未來計算與通信技術的方向，被認為是繼計算機、Internet之后，信息產(chǎn)業(yè)領域的第三次發(fā)展浪潮.隨著物聯(lián)網(wǎng)建設的加快，物聯(lián)網(wǎng)的安全問題必然成為制約物聯(lián)網(wǎng)全面發(fā)展的重要因素[2].

與互聯(lián)網(wǎng)安全技術相比，物聯(lián)網(wǎng)安全技術更具大眾性和平民性，與人類的日常生活密切相關，這就要求物聯(lián)網(wǎng)安全技術采用低成本、簡單、易用、輕量級的解決方案[3-4].在2011年召開的密碼硬件與嵌入式系統(tǒng)國際會議(CHES)上，Guo等人提出的LED算法就是一種典型的輕量級密碼算法，相較于其他輕量級密碼算法，它的軟硬件執(zhí)行效率更高、適應環(huán)境的能力更強，是應用于物聯(lián)網(wǎng)安全中的算法佼佼者[5-13].

在物聯(lián)網(wǎng)環(huán)境下，輕量級密碼的許多硬件實現(xiàn)和以硬件為表現(xiàn)形式的軟件實現(xiàn)環(huán)境中，譬如手機SIM、IC銀行卡、物流RFID、手持無線設備、數(shù)字無繩電話、NFC近場通信設備、藍牙、汽車遙控鎖、各類交通卡、校園卡、門禁卡和高端身份卡等密碼載體等，攻擊者往往不僅具備傳統(tǒng)密碼攻擊的條件，而且還可以通過電路剖析和軟件逆向分析等手段獲得算法的硬件結構和編碼實現(xiàn)方法，并可以觀察和測量密碼變換等信息，“干預”密碼變換的正常運行使其出錯.攻擊者利用這些額外的出錯信息有可能實現(xiàn)比傳統(tǒng)分析技術更有效地破譯密碼.這種環(huán)境下的攻擊被稱為“故障分析(fault analysis, FA)”.由于其成功的攻擊效果和潛在的發(fā)展前景，已經(jīng)引起了國內外從事密碼和微電子研究學者的極大關注，并成為密碼分析和密碼工程領域發(fā)展最為迅速的方向之一[14].

在故障分析的發(fā)展歷程中，先后產(chǎn)生了差分故障分析(differential fault analysis, DFA)、代數(shù)故障分析(algebra fault analysis, AFA)、不可能故障分析(impossible differential fault analysis, IDFA)以及統(tǒng)計故障分析(statistical fault analysis, SFA)等多種方法.隨著故障注入精度以及軟硬件逆向技術的不斷提高，對密碼載體成功實施故障攻擊所依賴的前提條件不斷減弱，成本不斷下降，故障分析環(huán)境已經(jīng)在一定程度上可以控制，從而使這些故障分析在面向物聯(lián)網(wǎng)環(huán)境中逐步發(fā)展為攻擊密碼體制的主要方法.

不同于其他故障分析方法，統(tǒng)計故障分析是唯一現(xiàn)有的可以在唯密文攻擊(ciphertext-only attacks, COA)條件下進行攻擊的技術，它在面向物聯(lián)網(wǎng)等實際環(huán)境中更易實現(xiàn)且難以防御，攻擊者只要統(tǒng)計故障密文的特性，就能以低的計算量和存儲量推導出正確的密鑰.目前，在LED算法抗統(tǒng)計故障攻擊的安全性方面，國內外尚未發(fā)現(xiàn)有公開發(fā)表的結果.在深入分析LED算法后，本文提出了一種針對LED算法的新型統(tǒng)計故障分析方法，不僅提高故障導入的效率，而且使用較少的故障數(shù)即可恢復原始密鑰，對于保護物聯(lián)網(wǎng)的通信安全，對于增強密碼裝備的自主設計、開發(fā)和分析能力，無疑都具有重要意義和價值.

1 研究背景

1997年Boneh等人利用隨機故障成功破譯RSA算法，此后故障分析在評測主流密碼體制安全性的方法中占據(jù)了重要的位置[14-15].故障分析的成功實現(xiàn)必須具備了一個重要前提——故障假設，它表明了攻擊者具備的能力，決定了攻擊的可行性和難易度.一般情況下，攻擊者可以任意選擇明文進行處理，從而獲得相對應的密文，通常為選擇明文攻擊(chosen plaintext attacks, CPA).

在LED算法密碼的故障分析中，諸如差分故障分析、代數(shù)故障分析和不可能故障分析等方法，均采用了選擇明文攻擊的故障假設.攻擊者可以選擇任意明文獲得相應的正確密文和錯誤密文.國內外研究學者針對LED算法于2012年相繼提出了差分故障分析方法，Jeong等人在隨機半字節(jié)故障下破譯了LED算法的64 b密鑰；Li等人在隨機半字節(jié)和字節(jié)模型下，至少以3個故障和6個故障恢復了64 b和128 b密鑰；Jovanovic等人通過利用不同輪之間的線性關系將故障數(shù)降為1個和2個故障[16-20].2013年，Zhao等人利用代數(shù)關系，使用代數(shù)故障分析對LED算法進行了破譯[21-22].2016年，Li等人利用不可能差分故障分析恢復了LED算法的64 b和128 b密鑰[23].這些方法充分結合了傳統(tǒng)密碼分析技術以及軟硬件實現(xiàn)，不僅擴大了攻擊面，而且提升了威脅性.表1列出了針對LED算法的各種故障分析技術對比.

Table 1 Comparison of Fault Analysis on LED

然而，在面向物聯(lián)網(wǎng)等現(xiàn)實的運行環(huán)境下，如果攻擊者不具備選擇明文攻擊的前提，即不能實現(xiàn)對同一明文必須至少加密2次，則上述故障分析方法難以實現(xiàn).眾所周知：唯密文攻擊比選擇明文攻擊弱，攻擊者在此模型下僅能使用密文，因而無法獲得有效數(shù)據(jù)進行故障分析破譯.

2013年Fuhr等人首次提出了統(tǒng)計故障攻擊方法[24],并用于破譯了AES算法.該方法在唯密文攻擊的假設下，在算法運行時引入故障，使算法執(zhí)行某些錯誤的操作、過程，并產(chǎn)生錯誤的結果，再利用這些結果，結合統(tǒng)計分析方法，破譯出該算法的密鑰.在隨機字節(jié)故障模型下，他們通過采用平方歐氏距離SEI作為區(qū)分器，將故障導入在倒數(shù)第二輪的指定位置，以320個故障且99%的成功概率恢復出AES算法的唯一密鑰.

由此，在統(tǒng)計故障分析中，區(qū)分器發(fā)揮了舉足輕重的作用.因此，在LED算法的新型統(tǒng)計分析中，我們不僅給出了SEI的攻擊結果，而且提出了擬合優(yōu)度檢驗GF作為新型區(qū)分器.更為重要的是，在SEI和GF區(qū)分器的基礎上，又構建了GF-SEI雙重區(qū)分器.結果表明：可以以更少的故障且99%的成功率恢復LED算法64 b和128 b原始密鑰，不僅提升了故障攻擊效率，而且降低了故障攻擊數(shù).

2 LED算法簡介

LED算法是一種具有SPN結構的迭代型分組密碼，分組長度為64 b，密鑰長度分別為64 b或128 b.根據(jù)密鑰長度的不同，加密算法對應的輪數(shù)分別為32輪和48輪，表示為LED -64和LED -128，如表2所示.由于解密算法與加密算法的結構相同，并且子密鑰的使用順序相同，因此以下僅介紹加密算法和密鑰編排方案.

Table 2 The Relationship Between Rounds and Key Sizes

2.1符號說明

本文記號如下所示：

記AC,SC,SR和MC分別為輪常數(shù)加運算、信元代替運算、行移位運算和列混合運算.

記AC-1,SC-1,SR-1和MC-1分別為輪常數(shù)加運算、信元代替運算、行移位運算和列混合運算的逆運算.

記Ar,Br,Cr和Dr分別為第r輪的輪常數(shù)加運算、信元代替運算、行移位運算和列混合運算的輸出，其中，1≤r≤l.

2.2算法描述

LED算法的結構如圖1所示.

Fig. 1 The structure of LED圖1 LED算法的結構

加解密算法包含5個基本運算：

1) 子密鑰加運算(AddRoundKey, ARK).該運算對中間狀態(tài)與子密鑰進行異或.

2) 常數(shù)相加運算(AddConstants, AC).該運算將中間狀態(tài)與常數(shù)相加.

3) 信元代替運算(SubCells, SC).該運算將中間狀態(tài)中的每半字節(jié)通過S盒非線性地變換為另外一個半字節(jié).

4) 行移位運算(ShiftRows, SR).該運算對一個狀態(tài)的每一行循環(huán)不同的位移量.第0行移位保持不變，第1行循環(huán)左移4 b，第2行循環(huán)左移8 b，第3行循環(huán)左移12 b.

5) 列混合運算(MixColumnsSerial, MC).該運算對一個狀態(tài)逐列進行變換，通過與矩陣

相乘實現(xiàn).

LED -64和LED -128的加密變換分別如算法1、算法2所示.

算法1. LED -64加密變換.

輸入：明文X、密鑰K；

輸出：密文Y.

①T=X;*將X賦值給中間狀態(tài)T*

② fori=1 to 8

③T=ARK(T,k1);

④ forj=1 to 4

⑤T=MC(SR(SC(AC(T))));

⑥ end for

⑦ end for

⑧Y=ARK(T,k1).

算法2. LED -128加密變換.

輸入：明文X、密鑰K；

輸出：密文Y.

①T=X;*將X賦值給中間狀態(tài)T*

② fori=1 to 6

③T=ARK(T,k1);

④ forj=1 to 4

⑤T=MC(SR(SC(AC(T))));

⑥ end for

⑦T=ARK(T,k2);

⑧ forj=1 to 4

⑨T=MC(SR(SC(AC(T))));

⑩ end for

2.3密碼編排方案

在LED -64算法中，K通過密鑰編排方案生成了k1，它們的關系為

K=k1.

在LED -128算法中，K通過密鑰編排方案生成了k1和k2，它們的關系為

K=k1‖k2.

對于LED -64算法，攻擊者僅需要恢復出任意一輪的子密鑰k1，就能恢復出密鑰K；而對于LED -128算法，攻擊者僅需要恢復任意一輪的子密鑰k1和k2，就能恢復出密鑰K.

3 LED密碼的統(tǒng)計故障攻擊方法

3.1故障假設和故障模型

故障假設為唯密文攻擊,即攻擊者僅能獲得密碼算法的任意密文進行攻擊.考慮到實際應用中的易操作性以及LED算法的設計特點，本文中使用隨機半字節(jié)故障模型，以按位與的方式導入，故障大小為半字節(jié).

3.2主要過程

攻擊者使用同一個密鑰對隨機明文進行加密,并在運行過程中的某一輪導入隨機故障，獲得一組錯誤密文.故障導入的動作可以通過軟件模擬的方式實現(xiàn)，也可以通過激光、電磁和電壓干擾等技術手段對真實的密碼實現(xiàn)硬件進行處理來實現(xiàn).由于受故障影響，加密過程中的一些中間狀態(tài)值會呈現(xiàn)非均勻分布.利用特定的區(qū)分器統(tǒng)計這些中間狀態(tài)值的分布律，得到最后一輪的子密鑰的部分比特.重復上述步驟，可以恢復子密鑰的全部比特，最終通過密鑰編排方案求得原始密鑰.

3.3攻擊步驟

針對LED算法,本文驗證了Fuhr等人提出的SEI區(qū)分器,并提出了2種新型區(qū)分器用于統(tǒng)計故障分析，均可以破譯LED -64和LED -128算法.具體有5個步驟：

步驟1.隨機生成一組明文，使用同一密鑰加密，在加密過程中隨機導入半字節(jié)故障，獲得一組錯誤密文.故障導入的位置可以是Ar-1,Br-1或者Cr-1，導入在這3個位置時故障擴散路徑是相同的.如圖2所示，圖2中陰影表示受故障影響的半字節(jié)，不同灰度的陰影表示不同比例的故障差分值.

Fig. 2 Fault diffusion path in the penultimate round圖2 故障導入在倒數(shù)第2輪后的擴散路徑

步驟2.經(jīng)過列混合變換后，中間狀態(tài)的每個半字節(jié)的分布律都受到上一個中間狀態(tài)的4個半字節(jié)分布律的影響.攻擊者需統(tǒng)計未經(jīng)過MC且受到故障影響的半字節(jié)的分布，即Ar-1,Br-1或者Cr-1.以Cr-1為例，通過加密算法可以得出，Cr-1的每一個半字節(jié)都能用子密鑰k1和錯誤密文Y*的4個半字節(jié)來表示：

Cr-1=MC-1(AC-1(SC-1(SR-1(MC-1(Y*⊕
k1)))))=MC-1(AC-1(SC-1(SR-1(MC-1(Y*)⊕
MC-1(k1))))).

步驟3.通過統(tǒng)計分析，計算出k1的16 b.對于每一個子密鑰候選值，都能求出一組Cr-1.選定一個區(qū)分器，將這組數(shù)據(jù)作為樣本，求出每個候選值的區(qū)分器值，經(jīng)過比較，選取區(qū)分器值最大(小)的候選值，即為正確子密鑰.

本步驟中所使用的區(qū)分器有3種：

1) SEI區(qū)分器

平方歐氏距離(square Euclidean imbalance, SEI)是由Fuhr等人提出的一種統(tǒng)計故障分析區(qū)分器，用于判斷一組樣本值是否服從均勻分布.攻擊者計算出最不可能服從均勻分布的那一組樣本值，即可求出子密鑰的部分位.表達式為

其中,γ[ε]記錄了樣本值為ε的樣本個數(shù)；N為樣本總個數(shù)；λ表示計量值的分組組數(shù).當求得的SEI越小，表示這組樣本越服從均勻分布.

2) GF區(qū)分器

擬合優(yōu)度(goodness of fit, GF)作為統(tǒng)計故障分析新區(qū)分器之一，適用于已知樣本分布率的情況下.攻擊者通過計算一組樣本是否滿足該分布，從而求出子密鑰的部分位.表達式為

其中，λ表示計量值的分組組數(shù)；Oε表示樣本處于分組ε中的個數(shù)；Φε表示在相同的樣本總數(shù)下，處于分組ε中的理論個數(shù).與SEI區(qū)分器結果類似，若計算結果越小，則表示該組樣本越服從該分布.

Table 3 The Overview of a Nibble After Fault Injections

Table 4 The Distribution of a Nibble After Fault Injections

3) GF-SEI雙重區(qū)分器

為了進一步減少故障數(shù)并且解決以上問題，攻擊者可以將上述2個區(qū)分器結合，構建一個新型GF-SEI雙重區(qū)分器.使用方法為：先用擬合優(yōu)度檢驗篩選出符合中間狀態(tài)值分布的所有樣本組；再用SEI區(qū)分器從中尋找最優(yōu)樣本，從而恢復一定的密鑰比特.

步驟4.上述過程重復4次，即可恢復出子密鑰k1的全部位.LED -64的原始密鑰K即可通過密鑰編排算法求得.

步驟5.在破譯LED -128算法時，首先按上述過程恢復子密鑰k1；然后利用k1解密最后4輪，得到第44輪的輸出，重復上述步驟，即恢復子密鑰k2；最后根據(jù)密鑰編排算法求得原始密鑰K，使用故障數(shù)為LED -64算法的2倍.

Fig. 3 The probability of recovering a partial subkey using different faults圖3 使用不同故障數(shù)時恢復出部分子密鑰的概率

4 實驗分析

實驗采用使用Eclipse平臺編寫Java代碼進行算法的加解密和攻擊操作，利用計算機軟件模擬故障產(chǎn)生，通過隨機數(shù)生成器生成隨機半字節(jié)值，以按位與的方式導入到加密過程中的中間變量中，進而改變了該半字節(jié)的分布率.本節(jié)以恢復k1的16 b為例，分別考量SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重區(qū)分器的故障數(shù)和耗費時間，所有數(shù)據(jù)均為實驗1 000次后的平均值.圖3表示在不同的區(qū)分器作用下恢復出子密鑰的概率.其中，橫坐標軸表示導入的故障數(shù)，縱坐標軸表示恢復出正確子密鑰的成功率.3種不同線段分別表示使用SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重混合區(qū)分器進行統(tǒng)計分析的結果.實驗結果表明，在半字節(jié)隨機故障模型下，使用SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重區(qū)分器時，分別需要68,64和48個故障，即可以99%的概率恢復出步驟3中的子密鑰.因而使用后2種區(qū)分器可以降低攻擊所用故障數(shù)，并且使用GF-SEI雙重區(qū)分器時故障數(shù)減少明顯.

圖4表示使用SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重混合區(qū)分器破譯密鑰的時間堆積圖.其中橫坐標軸表示故障導入的個數(shù)，縱坐標軸表示以秒為單位的耗時.實驗結果表明，在半字節(jié)隨機故障模型下，3種區(qū)分器分別需要2.5 s,2.4 s和1.7 s，即可以99%的概率恢復出步驟3中的子密鑰.觀察圖4可知，對于同一個故障數(shù)，使用3種區(qū)分器進行統(tǒng)計分析所花費的時間比較接近.特別值得一提的是，使用GF-SEI雙重混合區(qū)分器不會增加攻擊時間.

Fig. 4 The time shown with stacked charts of using different faults圖4 使用不同故障數(shù)時耗費時間的堆積柱形圖

結合圖3和圖4的實驗結果， 我們進一步對SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重區(qū)分器的破譯情況進行了比較，表5為統(tǒng)計故障分析AES算法和LED算法的攻擊結果對比.結果表明，使用GF區(qū)分器后的攻擊效果比SEI區(qū)分器的攻擊效果略佳，但效果不明顯;而使用GF-SEI雙重區(qū)分器所需要的故障數(shù)和耗費的時間比前兩者均明顯減少，是統(tǒng)計故障分析中目前已知的最佳區(qū)分器.

Table5ComparisonofStatisticalFaultAttacksonaPartialSubkeyofAESandLED

表5AES和LED算法統(tǒng)計故障分析部分子密鑰結果對比

CipherDistinguisherFaultNumberLatencyTime∕sReferencesAESSEI80Ref[24]SEI682．5LEDGF642．4ThisPaperGF?SEI481．7

5 結束語

本文提出了針對LED輕量級密碼算法的新型統(tǒng)計故障分析方法.在半字節(jié)隨機故障模型下，不僅將Fuhr等人的統(tǒng)計故障攻擊思想應用于輕量級分組密碼算法LED的安全性分析中，而且構建了GF區(qū)分器和GF-SEI雙重區(qū)分器，通過3種區(qū)分器均可以恢復原始密鑰.相較于原有的SEI區(qū)分器，新型區(qū)分器從攻擊效果和耗費時間上均具有較大優(yōu)勢.結果表明：以LED為代表的輕量級密碼算法易受到統(tǒng)計故障分析的威脅，在物聯(lián)網(wǎng)環(huán)境實現(xiàn)時必須加以防護措施進行保護.

[1] Medaglia C M, Serbanati A. An overview of privacy and security issues in the Internet of things[C] //Proc of the Internet of Things. Berlin: Springer, 2010: 389-395

[2] Mayer C P. Security and privacy challenges in the Internet of things[J]. Electronic Communications of the Easst, 2009, 17(3): 11-22

[3] Ning Huangsheng, Liu Hong, Yang L T. Cyberentity security in the Internet of things[J]. Computer, 2013, 46(4): 46-53

[4] Suo Hui, Wan Jiefu, Zou Caifeng, et al. Security in the Internet of things: A review[C] //Proc of the 1st Int Conf on Computer Science and Electronics Engineering. Piscataway, NJ: IEEE, 2012: 648-651

[5] Guo J, Peyrin T, Poschmann A, et al. The LED block cipher[C] //Proc of the 13th Int Workshop on Cryptographic Hardware and Embedded Systems. Berlin: Springer, 2011: 326-341

[6] Ueno R, Homma N, Aoki T. Efficient DFA on SPN-based block ciphers and its application to the LED block cipher[J]. IEICE Trans on Fundamentals of Electronics Communica-tions & Computer Sciences, 2015, 98(1): 182-191

[7] Liu Feng, Liu Xuan, Meng Shuai. Differential fault attack and meet-in-the-middle attack on block cipher LED[J]. Advanced Materials Research, 2013, 850(1): 529-532

[8] Shanmugam D, Selvam R, Annadurai S. Differential power analysis attack on SIMON and LED block ciphers[C] //Proc of the 4th Int Conf on Security, Privacy, and Applied Cryptography Engineering. Berlin: Springer, 2014: 110-125

[9] Isa H, Z’Aba M R. Randomness analysis on LED block ciphers[C] //Proc of the 5th Int Conf on Security of Information and Networks. New York: ACM, 2012: 60-66

[10] Fujishiro M, Yanagisawa M, Togawa N. Scan-based attack on the LED block cipher using scan signatures[C] //Proc of the 20th IEEE Int Symp on Circuits and Systems. Piscataway, NJ: IEEE, 2014: 1460-1463

[11] Isobe T, Shibutani K. Security analysis of the lightweight block ciphers XTEA, LED and Piccolo[C] //Proc of the 17th Australasian Conf on Information Security and Privacy. Berlin: Springer, 2012: 71-86

[13] Soleimany H. Probabilistic slide cryptanalysis and its applications to LED -64 and Zorro[C] //Proc of the 21st Int Workshop on Fast Software Encryption. Berlin: Springer, 2014: 373-389

[14] Boneh D, Demillo R A, Lipton R J. On the importance of checking cryptographic protocols for faults[C] //Proc of the 16th Annual Int Conf on Theory and Application of Cryptographic Techniques. Berlin: Springer, 1997: 37-51

[15] Boneh D, Lipton R J. On the importance of eliminating errors in cryptographic computations[J]. Journal of Cryptology, 2001, 14(2): 101-119

[16] Mendel F, Rijmen V, Toz D, et al. Differential analysis of the LED block cipher[C] //Proc of the 18th Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2012: 190-207

[17] Jeong K, Lee C. Differential fault analysis on block cipher LED -64[G] //Future Information Technology, Application, and Service. Berlin: Springer, 2012: 26-34

[18] Li Wei, Gu Dawu, Xia Xiaoling, et al. Single byte differential fault analysis on the LED lightweight cipher in the wireless sensor network[J]. International Journal of Computational Intelligence Systems, 2012, 5(5): 896-904

[19] Li Wei, Gu Dawu, Zhao Chen, et al. Security analysis of the LED lightweight cipher in the Internet of things[J]. Chinese Journal of Computers, 2012, 35(3): 434-445

(李瑋, 谷大武, 趙辰, 等. 物聯(lián)網(wǎng)環(huán)境下LED輕量級密碼算法的安全性分析[J]. 計算機學報, 2012, 35(3): 434-445)

[20] Jovanovic P, Kreuzer M, Polian I. A fault attack on the LED block cipher[C] //Proc of the 3rd Int Conf on Constructive Side-Channel Analysis and Secure Design. Berlin: Springer, 2012: 120-134

[21] Zhao Xinjie, Guo Shize, Zhang Fan, et al. Improving and evaluating differential fault analysis on LED with algebraic techniques[C] //Proc of the 8th Workshop on Fault Diagnosis and Tolerance in Cryptography. Piscataway, NJ: IEEE, 2013: 41-51

[22] Ji Keke, Wang Tao, Zhao Xinjie, et al. Algebraic fault attack on LED light-weight block cipher[J]. Application Research of Computers, 2013, 30(4): 1183-1186

(冀可可, 王韜, 趙新杰, 等. 輕型分組密碼LED代數(shù)故障攻擊方法[J]. 計算機應用研究, 2013, 30(4): 1183-1186)

[23] Li Wei, Zhang Wenwen, Gu Dawu, et al. Impossible differential fault analysis on the LED lightweight cryptosystem in the vehicular ad-hoc networks[J]. IEEE Trans on Dependable & Secure Computing, 2016, 13(1): 84-92

[24] Fuhr T, Jaulmes E, Lomne V, et al. Fault attacks on AES with faulty ciphertexts only[C] //Proc of the 8th Workshop on Fault Diagnosis and Tolerance in Cryptography. Piscataway, NJ: IEEE, 2013: 108-118

ResearchontheLEDLightweightCipherAgainsttheStatisticalFaultAnalysisinInternetofThings

Li Wei1,2,3, Ge Chenyu1, Gu Dawu2, Liao Linfeng1, Gao Zhiyong1, Guo Zheng4, Liu Ya5, Liu Zhiqiang2, and Shi Xiujin1

1(SchoolofComputerScienceandTechnology,DonghuaUniversity,Shanghai201620)2(DepartmentofComputerScienceandEngineering,ShanghaiJiaoTongUniversity,Shanghai200240)3(ShanghaiKeyLaboratoryofIntegrateAdministrationTechnologiesforInformationSecurity(ShanghaiJiaoTongUniversity),Shanghai200240)4(SchoolofMicroelectronics,ShanghaiJiaoTongUniversity,Shanghai200240)5(DepartmentofComputerScienceandEngineering,UniversityofShanghaiforScienceandTechnology,Shanghai200093)

The typical lightweight cipher LED, proposed in CHES 2011, is applied in the Internet of things (IoT) to provide security for RFID tags and smart cards etc. Fault analysis has become an important method of cryptanalysis to evaluate the security of lightweight ciphers, depending on its fast speed, simple implementation, complex defense, etc. On the basis of the half byte-oriented fault model, we propose new statistical fault analysis on the LED cipher by inducing faults. Simulating experiment shows that our attack can recover its 64-bit and 128-bit secret keys with 99% probability using an SEI distinguisher, a GF distinguisher and a GF-SEI distinguisher, respectively. The attack can be implemented in the ciphertext-only attacking environment to improve the attacking efficiency and decrease the number of faults. It provides vital reference for security analysis of other lightweight ciphers in the Internet of things.

Internet of things (IoT); lightweight cipher; LED; statistical fault analysis; cryptanalysis

TP309.7

LiWei, born in 1980. PhD, associate professor. Senior member of CCF. Her main research interests include the design and analysis of symmetric ciphers.

GeChenyu, born in 1992. Master candidate. Her main research interests include security analysis of lightweight ciphers.

GuDawu, born in 1970. PhD, professor and PhD supervisor. Senior member of CCF. His main research interests include cryptology and computer security.

LiaoLinfeng, born in 1993. Master candidate. His main research interests include security analysis of symmetric ciphers.

GaoZhiyong, born in 1992. Master candidate. His main research interests include security analysis of symmetric ciphers.

GuoZheng, born in 1980. PhD, lecturer. His main research interests include the design and analysis of smart cards and chips.

LiuYa, born in 1983. PhD, lecturer. Her main research interests include the design and analysis of symmetric ciphers and computational number theory.

LiuZhiqiang, born in 1977. PhD, associate professor. His main research interests include block chain, DAG -based distributed system, cryptanalysis and design of block ciphers and Hash functions.

ShiXiujin, born in 1975. PhD, associate professor. His main research interests include security analysis of the Internet of things.

附錄A. 實驗數(shù)據(jù)及結果.

以LED -64算法為例.

明文：隨機生成；

密鑰：01 23 45 67 89 AB CD EF.

實驗結果表明：通過3種區(qū)分器均可以恢復原始密鑰，具體數(shù)據(jù)如表A1和表A2所示:

Table A1 Probability of Breaking LED Using Different Distinguishers

Continued (Table A1)

Table A2 Time of Breaking LED Using Different Distinguishers

Continued (Table A2)