◆程 璐

(武警工程大學(xué) 陜西 710086)

TWINE密碼算法的多維零相關(guān)線性分析

◆程 璐

(武警工程大學(xué) 陜西 710086)

TWINE密碼算法的分組長度為64bit，支持2種密鑰長度，分別為TWINE-80和TWINE-128，本文的研究對象為TWINE-128。本文構(gòu)造了一個與TWINE算法等價的傳統(tǒng)的雙分支Feistel結(jié)構(gòu)。利用此結(jié)構(gòu)特性，首先構(gòu)造了算法的14輪零相關(guān)線性逼近，之后對24輪的TWINE-128進行了多維零相關(guān)線性分析。攻擊過程的數(shù)據(jù)復(fù)雜度約為262.1個明密文對，計算復(fù)雜度為2107.1次24輪加密。由此可得，縮減輪數(shù)（24輪）的TWINE-128對于零相關(guān)線性分析方法是不安全的。

分組密碼；TWINE密碼算法；線性掩碼；線性逼近；零相關(guān)線性分析

0 引言

TWINE算法是在 2012年的 SAC上由 Suzaki[1]等人提出。TWINE算法采用16分支的廣義Feistel結(jié)構(gòu)，共有16輪迭代。其明文分組長度為64bit，密鑰長度有兩種80bit和128bit，分別可記作 TWINE-80和 TWINE-128。本文的研究對象為TWINE-128。零相關(guān)線性分析方法由Bogdanov等[2]在2012年第一次提出， Bogdanov等[3]于FSE2012提出利用多條零相關(guān)線性逼近區(qū)分統(tǒng)計分布的理論模型，即多重零相關(guān)線性分析。Bogdanov等[4]于ASIACRYPT2012提出多維零相關(guān)線性分析的模型。

1 TWINE算法簡介

TWINE算法采用16分支的廣義Feistel結(jié)構(gòu)，迭代輪數(shù)為36，其輪函數(shù)F包括3種操作：輪密鑰加、4bit的S盒變換及置換P，具體過程如圖1所示，其中，每個方框代表半字節(jié)單元。TWINE算法最后一輪無置換P。

圖1 TWINE算法的輪函數(shù)

S盒定義如表1所示，輪置換p(h)定義如表2所示。

表1 TWINE的S盒

表2 TWINE置換層P

TWINE-128的密鑰擴展算法以128bit初始密鑰K作為輸入，每輪輸出32bit輪密鑰。為便于分析，將TWINE算法的16分支結(jié)構(gòu)等價為傳統(tǒng)的雙分支Feistel結(jié)構(gòu)，其等價結(jié)構(gòu)如圖2所示。

該等價結(jié)構(gòu)將TWINE算法的擴散層分為兩個部分，分別對兩個分支的數(shù)據(jù)進行置換。P1,P2如表3所示。

圖2 TWINE算法等價結(jié)構(gòu)

表3 P1P2置換表

2 TWINE算法14輪多維零相關(guān)線性逼近

命題1[2]（線性映射的線性逼近相關(guān)度）對線性映射則利用此命題，可以得到TWINE的14輪（5-20）零相關(guān)線性逼近。

表4 TWINE算法的14輪零相關(guān)線性逼近

19 (*0000000||00000000)20 (00000000||00*00000)

其中，“0”表示0半字節(jié)值，“*”表示非0半字節(jié)值，“?”表示未知半字節(jié)值。選取第 5輪的輸出掩碼為第 20輪的輸入掩碼為從加密方向看，第12輪的輸出掩碼為則其左側(cè)第5個半字節(jié)為0半字節(jié)；從解密方向看，第 13輪的輸入掩碼為其左側(cè)第5個半字節(jié)為非0半字節(jié) ，因此產(chǎn)生矛盾，則可以構(gòu)造出一條 14輪零相關(guān)線性逼近：

3 結(jié)語

本文主要評估了TWINE 密碼算法關(guān)于多維零相關(guān)線性分析方法的安全性。首先構(gòu)造了算法的等價結(jié)構(gòu)，并由此構(gòu)造了 14輪零相關(guān)線性逼近，之后對24輪的TWINE進行了多維零相關(guān)線性分析。分析其攻擊結(jié)果可知TWINE對多維零相關(guān)線性分析是不安全的。其不足是此方法的數(shù)據(jù)復(fù)雜度明顯高于其他方法，進一步研究將考慮通過分析算法的結(jié)構(gòu)特點、密鑰擴展算法等來降低其數(shù)據(jù)復(fù)雜度。

[1]Suzaki T, Minematsu K, Morioka S, et al. textnormal { extsc {TWINE}}: A Lightweight Block Cipher for Multiple Platforms[C]//Selected Areas in Cryptography. Springer Berlin Heidelberg，2013.

[2]BOGDANOV A, RIJMEN V. Linear hulls with correlation zero and linear cryptanalysis of block ciphers [J].Designs, Codes and Cryptography, 2014.

[3]BOGDANOV A, WANG M. Zero correlation linear cryptanalysis with reduced data complexity[C]// Proceedings of the FSE 2012, Washington, DC, USA, 2012.

[4]BOGDANOV A, LEANDER G, NYBERG K, et al.Integral and multidimensional linear distinguishers with correlation zero [C]// Proceedings of the ASIACRYPT 2012, Beijing.China，2012.