一种应用非线性混淆的基于查找表的白盒AES实现

摘要

白盒密码是一种等价转换技术，它将传统密码算法转换成一种在功能上与之等价但具备在不可信任的运行环境（即白盒环境）中的安全性的算法。它的出现源自于持续增长的对设计和实现能够部署于白盒环境的强密码算法的需求。在白盒环境中，攻击者不仅拥有密码算法的硬件/软件实现，还具有这些算法实现——特别是软件实现——及其运行环境的完全访问及控制的权限。而白盒密码的目的是使得密码算法的白盒实现即使在白盒环境下也能够像黑盒一样运行。也就是说，即使具有对密码算法实现及其运行环境的完全掌控，攻击者仍然无法获得相比于黑盒环境下更多的攻击优势。
　　自2002年，Chow等人提出第一个白盒实现以来，许多研究者投身于这个领域，提出了许多富有创造性的方案。然而时至今日，大部分白盒实现，尤其对常用密码算法，例如高级加密标准AES，最终都被攻破了。因此，设计新型白盒实现方案对我们而言不仅是一项挑战，更成为了一个机遇。
　　本文描述了一种全新的基于查找表的白盒AES实现，该实现对BGE攻击和De Mulder等人针对Xiao-Lai白盒AES实现的攻击都显示出了很好的防护性。新方案采用了更大的密钥相关查找表nTMC——一个16 to32-bit的映射——来实现三步密码操作AddRoundKey、SubBytes和MixColumns的组合。每个查找表nTMC都内置了两个轮密钥字节，并且经过随机混淆双射的编码。
　　除查找表nTMC之外，我们设计了8 to128-bit的密钥无关查找表TSR来实现ShiftRows操作。而nTMC和TSR以一种立体连接模式进行安全的协同工作。TSR的输出通过一个由查找表TXOR和TXOR3所构成的树形网络结构被合并成为一个128-bit的值。新方案中全体查找表都经过了非线性的随机编码。
　　随后，我们对新方案进行了详细的分析，包括性能方面和白盒安全性方面。在性能方面，新方案共计消耗28444kB存储空间且在整个加密/解密过程中共有7776次查表操作。而在安全性方面，我们首先计算了各类查找表的白盒多样性及白盒含混度，得到了较好的结果。其次，其次，我们阐述了我们认为BGE攻击不适用于新方案的原因：BGE攻击所依赖的最为核心的性质——输出字节对(yi,yj)之间唯一的线性相关性——在新方案上并不一定能够成立。此外，我们也说明了新方案能够抵御De Mulder等人的攻击的两点原因：其一，新方案中的所有查找表都加入了非线性输入输出编码，因此De Mulder等人的攻击所利用的“线性”等价算法无法直接应用在我们的方案中；其二，由于新方案采用了立体的查找表连接结构，攻击者在应用线性等价算法时得到的解集从28上升到了224，这使得攻击的时间复杂度至少为264。而这在实际应用层面已经能够满足安全性要求。

目录

封面

声明

中文摘要

英文摘要

目录

主要符号对照表

第一章 绪论

1.1 研究的背景以及意义

1.2 本文的研究内容及目标

1.3 文章结构

第二章 分组密码和白盒密码及其安全性

2.1 分组密码

2.2 密码算法的安全性

2.3 Kerckhoffs假设

2.4 攻击模型

2.5 白盒密码

2.6 白盒安全性

2.7 本章总结

第三章 基于查找表的白盒AES实现及其相应的攻击

3.1 Chow等人的白盒AES实现

3.2 BGE攻击

3.3 Xiao-Lai白盒AES实现

3.4 De Mulder等人的攻击

3.5 本章总结

第四章 一种新的基于16 to 32-bit查找表的非线性混淆方案

4.1 步骤3中使用的查找表 nTMC

4.2 步骤1中使用的查找表 TSR

4.3 步骤2中使用的查找表 TXOR和 TXOR3

4.4 解密过程

4.5 本章总结

第五章 新方案的性能及白盒安全性分析

5.1 算法实现的性能

5.2 算法实现的白盒安全性衡量指标

5.3 本章总结

全文总结

主要贡献

将来的工作

参考文献

致谢

攻读学位期间发表的学术论文目录

攻读学位期间参与的项目