报 告 人：王 小 云 报告日期： 2014 年 4 月 21

日

相关数学问题研究在密码分析和设计中的应用(2013CB834205)

973 项目年度总结交流会

2

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结

3

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结

4

课题基本信息

课题名称：相关数学问题研究在密码分析和设计中的应用

起止时间： 2013 年 1 月 —— 2017 年 8 月

承担单位：清华大学、山东大学

负 责 人：王小云

学术骨干：王美琴、谢琪、 Phong Q.Nguyen 、

王明强、许光午、李春林、于红波

5

探索对称密码新型分析方法

对国际重要对称密码算法进行安全性分析

2013 年度研究内容与目标

针对基于 LWE 和 SIS 两类数学问题的格密码体制，提炼数学难题并对其进行研究

研究高维格困难问题的快速求解算法

评估格密码算法的安全性

关键科学问题

一球的格堆积与格覆盖

问题

关键科学问题

三有限域代数方程求解

问题

格密码数学问题

对称密码分析模型

建立

6

2013 年度任务完成情况证明带 GAP 格的反转定理破解格签名体制 NTRUSign

给出格点高斯分布采样快速算法Coppersmith 求解单变元多项式小根问题的改进给出判定 Fq 上多项式解存在性的确定性算法

格密码数学问题的研究

建立了新的分析模型：多维零相关和积分零相关线性分析，该方法适用于多种密码算法的分析给出 Skein-256 、 HMAC/NMAC-Whirlpool 等最优分析提出新型侧信道攻击方法，破解了一种带掩码的 AES

对称密码分析模型建立

发表论文 41 篇，代表性成果发表于• 4 篇 Asiacrypt ， 3 篇 FSE ， 1 篇 PKC ， ISSAC 最佳论

文 • Discrete Math., IEEE Trans. on Circuits and Systems

7

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结

研究工作的主要进展

8

• 反转定理是数的几何的经典问题• 数学家 Mahler, Cassels,

Lagarias, Banaszczyk 等都研究过此类问题

• 主要研究原格及其对偶格上不变量之间的关系

• 经典反转定理结果

背景

格密码数学问题的研究 - 代表性成果 1

带 GAP 格的反转定理

11 nmax ( ) ( *) n,i n ii

L L c c 为常数

三个上界问题

 dsfsfds

  

𝒈 (𝑳)𝝀𝟏(𝑳∗)

𝝀𝒏(𝑳)𝝀𝟏(𝑳∗)

 dsfsfds¿

9

格密码数学问题的研究 - 代表性成果 1

带 GAP 格的反转定理

• 利用格上的离散高斯测度、傅里叶变换及超平面划分技术，研究带 GAP格的反转定理

• 得到了关于带 GAP 格的三个反转定理的最优结果

• 可用于研究某些格困难问题的归约如SVP ， SIVP 等，并分析格密码体制的安全性

成果

11max ( ) ( *) n ,0 1i n iL L c

10

格密码数学问题的研究 - 代表性成果 2

格签名体制 NTRUSign 的破解

• 实用的格签名体制 NTRUSign ， IEEE P1363.1 标准算法之一

• 最初版本 2006 年被“ Nguyen-Regev(NR)算法”破解

• NTRUSign 标准中建议使用扰动来避免 NR攻击； Hu 在 IEEE Trans. Inform 上提出变形 NTRUSign 算法以抵抗 NR 攻击

背景

• 提出 NR 梯度下降法有效攻击以上两个方案，利用 8000 个签名，可破解 IEEE P1363 带扰动参数的 NTRUSign-251

成果

11

格密码数学问题的研究 - 代表性成果 3

格密码体制的快速实现

• 格点高斯分布采样算法是格密码体制单向陷门函数设计的基本算法

• 现有的采样算法实现效率低，时间复杂度 O(n3)

背景

• 利用惰性浮点算术实现技术• 时间复杂度降为 O(n2) ，某些情况下达到 O(n)

成果• 他引 6次，被

Eurocrypt, Asiacrypt 等引用

引用情况

12

格密码数学问题的研究 - 代表性成果 4Coppersmith 求解单变元多项式小根问题的改进

• Coppersmith 求解单变元多项式小根问题的算法在公钥密码体制的安全性分析方面有着重要应用

• 由于构造格基矩阵的元素非常大，不利于实际的应用

背景

• 利用 Coppersmith 构造的格的特点，结合 rounding 和 chaining 技术，将计算时间从 降低到

成果

13

格密码数学问题的研究 - 代表性成果 5有限域上稀疏多项式 f (x) 根存在性问题研究

与课题一合作完成• 数域上多项式的解的存在性判定和求解是计算代数的基本问题之一

• 该判定问题在有限域上是困难的

背景

• 首次给出判定 Fq 上多项式是否存在解的确定性 sub-linear 算法

• 解决了在 sub-linear 时间内判定三项式 在 Fq 上是否存在根的公开问题

成果

ISSAC 2013 最佳论文

14

对称密码算法分析模型建立— - 代表性成果 1

多维零相关与积分零相关线性分析方法的提出

• 提出密码分析新方法—多维零相关与积分零相关线性分析，给出降低数据复杂度的理论

• 给出 Skipjack 变种算法和 28轮 CAST-256的攻击（国际已有结果为 24轮）

成果

• 被权威密码会议 Crypto 与 DCC 等引用• 引用密码学家有 Kaisa Nyberg 与 Alex Biryukov

等

引用情况

• AES 设计者等提出零相关分析，由于穷搜明文空间，其复杂度不被认可

背景

15

对称密码算法分析模型建立— - 代表性成果 2

相关密钥线性分析方法的提出

• 利用分组密码中偏差不随密钥差分改变特性，建立新的统计区分器，首次给出相关密钥线性分析

• 攻击 24轮 LBlock 和 27轮 TWINE-128（已有结果 22轮 LBlock 和 24轮 TWINE-128）

成果• 新型密码分析方法是密码领域共同关注的问题背景

• 被会议 FSE 2014引用

引用情况

16

对称密码算法分析模型建立— - 代表性成果 3

改进的 AES-192 中间相遇攻击

• 国际标准 AES 的安全性分析是国际密码学家最关注的问题之一背景

• 提出用密钥关系来过滤错误的中间状态，以此构造 5轮 AES-192区分器，得到对 9轮 AES-192 的分析结果

• 采用密钥分割，在不增加数据与计算复杂度的情况下，降低存储复杂度

• 自 1997 年 AES 的设计被公开后， AES-192首次分析到 9轮

成果

FSE 2014, 3 - 5 March

对称密码算法分析模型建立— - 代表性成果 4

SHA-3决赛算法 Skein-256 的分析

• Skein 是 SHA-3决赛的 5 个算法之一背景

• 首次实现 Skein-256 的反弹攻击，链接两条短路线构造长路线• 给出了 32轮 Skein-256 的几乎碰撞攻击，极大改进了分析结果（国际上最好 20轮）

成果

• 他引 10次，被 Crypto 2013 、 Asiacrypt 2012 、 FSE 2012引用引用情况

17FSE 2013, 10 - 13 MarchSingapore

18

• HMAC 和 NMAC ： ANSI ， IETF ， ISO 和 NIST 标准• Whirlpool ： ISO/IEC 标准，类似 AES 结构，共 10轮• Asiacrypt 2013 给出基于 6轮Whirpool 的 HMAC/NMAC 攻击

背景

基于 Whirlpool 的 HMAC/NMAC 的密钥恢复攻击

• 利用中间相遇攻击给出基于 7轮Whirpool 的 HMAC/NMAC 的等价密钥恢复攻击

成果

对称密码算法分析模型建立 - 代表性成果 5

FSE 2014, 3 - 5 March

19

• Li 等提出了一种新的抵抗现有时钟碰撞攻击的带掩码 AES 硬件实现方案

背景

一类带掩码 AES 的新型侧信道攻击

• 提出了错误率分析攻击方法• 比此前 CHES 2010 ， CHES 2011 的方

法更有效，效率提高 10 倍，存储更少• 发表 于 IEEE Transactions on Circuits

and Systems

成果

对称密码算法分析模型建立 - 代表性成果 6

20

国家重大需求贡献

针对国家密码重大需求领域，设计两套密码系统，并设计两个密码算法

21

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结

组织管理、队伍建设和人才培养

22

组织管理——举办会议情况课题负责人王小云教授作为 Asiacrypt 2012 程序委员会联合主席组织了该会议

来自世界各国的近 400 名学者参加会议

课题组成员王美琴教授、于红波副教授在威海组织了第三届亚洲对称密码研讨会—— ASK 2013

来自 7 个国家 52 名学者参加会议

23

国际学术任职

王小云： CRYPTO 2013[ 美国 ] ， ASIACRYPT 2013[ 印度 ] 程序委员会委员， Journal of Cryptology 编委Phong Nguyen ： EUROCRYPT 2013/2014[ 希腊 / 丹麦 ] 程序委员会联合主席王美琴： ISC 2013[ 美国 ] ， ASIACRYPT 2014[ 台湾 ] 程序委员会委员于红波： FSE 2014[ 英国 ] 程序委员会委员

国际三大密码会议： CRYPTO, EUROCRYPT, ASIACRYPT

24

• 2014 年 1 月 13 日在北京召开课题年度总结会• 定期组织研讨班

课题组内交流

• 王美琴教授入选 2013 年新世纪优秀人才计划

获奖情况

队伍建设和人才培养

• 做国际会议报告 15次• 3 名博士后出站， 4 名学生取得博士学位• 现有 1 名博士后、 16 名博士研究生参与课题工作

人才培养

25

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结

经费使用情况

26

经费使用情况

前两年总预算 424万元，已拨款 241万元，已支出178.65万元

具体执行情况：（单位：万元）

设备费 材料费 测试费 燃料费 差旅费 会议费 国际合作 文献信息 劳务费 专家咨询 间接费 总计

预算 38.97 12.65 35 4.9 58.44 34.92 67.41 21.58 73.64 12.34 64.15 424

支出 25.31 2.25 3 0 19.68 9.19 24.84 3.49 56.12 1.4 33.39 178.65

结余 13.66 10.4 32 4.9 38.76 25.73 42.57 18.09 17.52 10.94 30.76 245.35

27

报告提纲

研究内容与总体目标

研究工作的主要进展

组织管理、队伍建设和人才培养

经费使用情况

总结 总结

28

总结本课题进展顺利，在以下方面取得系列重要成果格密码数学问题和格密码体制的安全性分析对称密码算法分析

不足与建议科学问题难度大，需集中课题组的学术骨干与其他重要研究人员进一步加强重点研究的力度与速度加强团队管理，发挥骨干力量的研究优势，集中攻关重要科学问题，并进行交叉合作

29

总结

下一步工作重点按照计划任务书以及目前的研究进度，围绕关键科学问题开展 2014 年度工作

格困难问题的快速求解算法 分析对称密码算法，探讨密码算法代数攻击新方法

30

谢 谢！