流密碼算法Grain的安全性研究.pdf

1、Grain算法作為eSTREAM計(jì)劃的最終候選算法之一，是由瑞典學(xué)者M(jìn).Hell、T.Johansson和W.Meier共同提交的面向硬件實(shí)現(xiàn)的二進(jìn)制同步流密碼。由于其硬件實(shí)現(xiàn)簡(jiǎn)單，且單位時(shí)鐘輸出地密鑰量可以調(diào)節(jié)等優(yōu)點(diǎn)，Grain受到了密碼學(xué)界的廣泛關(guān)注。
　　 Grain算法共有三個(gè)版本：Grain v0、Grain v1和Grain-128，三個(gè)版本結(jié)構(gòu)基本相同，其中Grain v0和Grain v1的LFSR和NFSR均為

2、80位，內(nèi)部狀態(tài)變量為160位：Grain-128的LFSR和NFSR均為80位，其內(nèi)部狀態(tài)變量為256位。Grainv0算法提出后，許多學(xué)者對(duì)其進(jìn)行了深入研究。S.Khazaei、M.Hassanzadeh和M.Kiaei利用線性時(shí)序電路逼近方法，找到了一個(gè)相關(guān)系數(shù)約為2-63.7的關(guān)于連續(xù)密鑰流比特的線性函數(shù)，從而構(gòu)造了一個(gè)區(qū)分攻擊，在O(261.4)比特密鑰流和復(fù)雜度的情況下，成功地將密鑰流序列與真正的隨機(jī)序列進(jìn)行了區(qū)分。A.Ma

3、ximov對(duì)Grain v0進(jìn)行了密鑰恢復(fù)攻擊，該攻擊僅需要243次計(jì)算、242比特的內(nèi)存和238比特的密鑰流，并且對(duì)Grain算法的設(shè)計(jì)提出了一些建議，且后續(xù)參加了Grain-128算法的設(shè)計(jì)。
　　 基于Grain的現(xiàn)有研究成果，本文主要對(duì)如下方面進(jìn)行了討論。通過(guò)分析流密碼算法Grain v1，提出了一種針對(duì)密鑰流生成器的差分錯(cuò)誤攻擊。該攻擊利用了前17輪密鑰流次數(shù)較低的弱點(diǎn)，向LFSR的指定位置引入錯(cuò)誤，通過(guò)差分得到17個(gè)