第三课题 “有限域上代数方程算法问题研究” 年度总结报告 973计划“现代密码学中若干关键数学 问题研究及其应用”年度总结会 2014.4.21 —— 2014.4.22

提纲 项目基本信息 项目研究内容与总体目标 2013年主要研究内容与目标 研究工作主要进展 组织管理、队伍建设和人才培养 经费使用情况 存在的问题和建议 下一步工作计划

项目的基本信息 课题名称：有限域上代数方程算法问题研究 起止时间：2013年1月 —— 2017年8月 承担单位：中国科学院信息工程研究 所 信息安全国家重点实验室 学术骨干：胡磊、王明生、叶顶锋、王丽萍、聂旭云 参加人员：共计15名固定人员和15名研究生

（一）研究内容与目标 围绕项目的关键科学问题“有限域上代数方程求解 ”，结合密码学理论和问题 研究新一代Groebner基算法 求解特殊代数方程的新方法 基于代数方程求解的密码分析新模型研究

（一）研究内容与目标 目标一 发展全新的快速算法并取得重要进展，在求解效率上获 得较大的提升，使得有限域上Groebner基的计算变得更 加实际 提出新的快速计算Groebner基的标准算法 实现一个面向密码应用的专用软件

（一）研究内容与目标 目标二 在求解特定的代数方程方面取得实质性进展 对于具有重要应用背景的二元域特殊代数方程，发展新 的高效代数搜索方法

（一）研究内容与目标 目标三 发展新的基于代数方程求解的密码分析新模型 解决密码分析中路径搜索、高次和多变量对秘密信息恢复的瓶颈 利用代数方法研究对称密码非线性组件S盒和易于快速实现的线性 组件，使其既能够抵抗传统攻击、又能抵抗新的代数攻击 将求解特殊代数方程的新方法应用于流密码和公钥密码算法设计 与分析中，得到新的代数分析方法，包括代数方程攻击、差错代 数攻击、代数攻击中的自动推理方法、基于字的密码算法的代数 分析

（一）研究内容与目标 目标四 培养青年研究人员、博士后和博士研究生，储备一批在代数密 码分析领域具有国际竞争力的优秀中青年人才，造就一支结构 合理、具备攻坚能力的国际先进水平的研究队伍 在主流国际刊物和重要国际学术会议上发表若干高水平论文， 独立开发出实现本课题新算法的软件系统

（二）2013年主要研究内容与目标 2013年主要研究内容一 研究目标 代数方程的求解算法 在“噪声”容忍度和速度方面优化二元域上带噪方程组的求解算 法 优化面向SAT求解器的代数方程组预处理技术

（二）2013年主要研究内容与目标 2013年主要研究内容二 研究目标 代数方程求解在密码分析中的应用 对称密码体制的分析 密码分析自动化 多变量公钥密码的分析 格密码的分析 研究目标 利用各种代数方程求解技术对具体算法进行分析，提出新的攻击方法 给出一套利用混合整数规划技术进行自动化密码分析的工具

（二）2013年主要研究内容与目标 2013年主要研究内容三 研究目标 利用代数方法设计对称密码组件 解决一些密码学函数方面的公开问题 提出一套设计（特别是轻量级）对称密码组件（如S盒、线性 扩散层等）的系统性方法

（三）研究工作的主要进展 代数方程求解 代数方程求解在密码分析中的应用 利用代数方法设计对称密码组件 二元域上带噪方程系统求解算法 代数方程到CNF转化方法的优化 代数方程求解在密码分析中的应用 认证加密体制和分组密码的分析 密码分析与安全评估的自动化 多变量公钥体制的代数攻击 格方法在密码分析中的应用 利用代数方法设计对称密码组件 密码函数的构造 分组密码S盒和线性扩散层的构造

代表性成果一：代数方程求解方面（1） 二元上带噪方程系统求解算法：Max-PoSSo是求解带噪方程系统中的一 类问题，当基域是GF(2)时，类似于著名的Max-SAT问题。 提出了一种逐步求解结合回溯搜索的方法（ISBS）。 创新之处在于它能够有效利用前期步骤中的计算结果，一方面避免重复 计算，另一方面有效剔除相悖的计算分支。ISBS可以与其他代数求解方 法结合使用，如Grobner基算法、特征集方法等。 将ISBS联合特征集方法应用到一类侧信道攻击的研究中。用GF(2)上的 Max-PoSSo问题来刻画分组密码中的“冷启动密钥恢复”问题，进而可 运用ISBS算法来求解并恢复密钥。我们用ISBS算法研究了AES 和 Serpent体制中的“冷启动密钥恢复”问题，得到的实验结果均优于现 存结果。 Zhenyu Huang, Dongdai Lin: A New Method for Solving Polynomial Systems with Noise over $\mathbb{F}_2$ and Its Applications in Cold Boot Key Recovery. Selected Areas in Cryptography, pp 16-33, LNCS 7707, Windsor, Canada, 2013.

代表性成果一：代数方程求解方面（2） 代数方程到CNF的转换方法 在基于SAT求解的代数密码分析中，需要描述密码系统的代数方 程转换成逻辑方程。 已有的文献中有著名的BCJ 转换方法，我们对该转换方法中的预 处理步骤进行了改进，明显地加速了SAT求解器的求解 。 Ling Song and Lei Hu, Improved Algebraic and Differential Fault Attacks on the KATAN Block Cipher, the 9th Information Security Practice and Experience Conference-ISPEC 2013, Lecture Notes in Computer Science Volume 7863, 2013, pp 372-386

代表性成果二：代数方程求解在密码分析中的应用（1） 针对ALE认证加密算法泄露消息没有受到密钥保护的特点，提 出了一种新的伪造攻击方法——泄露状态伪造攻击。 分析结果表明ALE抗伪造攻击的能力远没有达到其设计者宣称 的安全性强度。分析结果也再一次表明“很容易将一个安全的 加密算法与一个安全的认证算法结合，得到一个不安全的认证 加密算法”。相关成果发表在Asiacrypt 2013上。 从2013年该工作发表至今，已被重要密码学会议和国际认证加 密体制设计大赛“CAESAR”引用3次。 Shengbao Wu and Hongjun Wu and Tao Huang and Mingsheng Wang and Wenling Wu: Leaked-State-Forgery Attack Against The Authenticated Encryption Algorithm ALE. Asiacrypt 2013.

代表性成果二：代数方程求解在密码分析中的应用（2） 对轻量级分组密码KANTAN的分析。 我们的代数攻击基于SAT求解器。首先将密码系统表示成一个 代数方程系统，然后将代数方程转化为逻辑表达式，一般是合 取范式，然后用SAT求解器求解。 为了充分利用SAT求解器的运算能力，我们考虑了几种优化策 略，包括代数表达式的选取、代数表达式到合取范式的转化、 明文的结构、明密文的对数和SAT求解器的选取等，最后实验 结果证明我们的方法能在已有的攻击上推进5轮。 Ling Song and Lei Hu, Improved Algebraic and Differential Fault Attacks on the KATAN Block Cipher, the 9th Information Security Practice and Experience Conference-ISPEC 2013, Lecture Notes in Computer Science Volume 7863, 2013, pp 372-386

代表性成果二：代数方程求解在密码分析中的应用（3） 自动化密码分析方面：提出了基于字的分组密码算法的不可能差分 路径自动化搜索的算法。 通过引入比特级差分变量和加入S盒分支数的线性不等式约束，扩 展了Mouha等人基于混合整数线性规划的方法 首次给出了一种自动化评估比特级分组密码抵抗相关密钥差分攻击 安全性的方法。 更进一步，我们中提出了合法切割不等式的概念，并给出了利用S 盒条件差分转移和计算其凸闭包的方式生成合法切割不等式的方法 ，利用这些合法不切割等式作为混合整数线性规划的约束。 给出了PRESENT-80和Lblock抵抗相关密钥差分攻击能力的最好界， 并给出了PRESENT-128和DESL到目前为止最好的相关密钥差分路径 。 Shengbao Wu, Mingsheng Wang: Automatic Search of Truncated Impossible Differentials for Word- Oriented Block Ciphers. INDOCRYPT 2012, LNCS 7668, pp. 283–302, 2012. Siwei Sun, Lei Hu, Ling Song, Yonghong Xie and Peng Wang. “Automatic security evaluation of block ciphers with s-bp structures against related-key differential attacks”. Inscrypt 2013.

代表性成果二：代数方程求解在密码分析中的应用（4） 分析两个基于多种数论难题——整数分解和联立丟番图近似问题的 公钥密码方案。用格方法给出了这两个方案的私钥恢复攻击和明文 恢复攻击。实际的攻击在5秒内即可完成。 求解相应的具有小根的模线性方程组。 改进May和Ritzenhofen的PKC2009工作，利用对线性方程的求解，寻 找到了目标向量在约化基中的坐标，提升了原有下界。 针对隐式分解问题，改进2011年IEEE IT中利用近似公因子问题的求 解方法，我们的理论及实验结果均为最好的，且理论上可以处理平 衡的RSA。 Liqiang Peng, Lei Hu, Jun Xu, Zhangjie Huang, YonghongXie, Further Improvement of Factoring RSA Moduli with Implicit Hint, AFRICACRYPT 2014. Jun xu, Lei Hu, Siwei Sun. Cryptanalysis of Two Cryptosystems Based on Multiple Intractability Assumptions. IET COMMUNICATIONS

代表性成果二：代数方程求解在密码分析中的应用（5） 多变量公钥密码体制增强方案的分析：扩展的多变量公钥密码方案（ EMC）是2011年提出的一种新的增强多变量公钥加密体制安全性的方法 ，其核心是在加密之前先对明文分量进行一次HT变换处理，然后再用 原始的多变量密码方案进行加密，其目的是消除原有体制的线性化方 程攻击的弱点。依赖于这种方法结合减方法和加方法可分别构造出多 变量加密方案HTTP和多变量签名方案HTTM。 对EMC方案进行了安全性分析，并对以MI体制作为原始体制的HTTP和 HTTM方案进行了分析，利用线性化方程方法可破解HTTP方案，利用差 分攻击可伪造HTTM方案的合法签名。 Xuyun Nie, Zhaohu Xu, Johannes Buchmann. Cryptanalysis of Hash-based Tamed Transformation and Minus Signature Scheme. PQcrypto 2013. LNCS 7932, pp. 155–164, Springer, 2013.

代表性成果三： 利用代数方法设计对称密码组件（1） 为了抵抗各种已知的攻击，S盒需要具备一些良好的密码学性质 。因此，我们主要研究了密码函数中具有最佳密码学性质的函 数的构造、GF(2^2n)上的具有最佳非线性度的4差分均匀置换的 构造方法以及密码函数中重要的公开问题 基于线性反馈移位寄存器，给出了一系列硬件实现代价低的最 优扩散层的构造 否证了C.Carlet于1998年提出的“任何一个AB函数都EA等价于 一个置换”的猜想。 Shengbao Wu, Mingsheng Wang, Wenling Wu: Recursive Diffusion Layers for (Lightweight) Block Ciphers and Hash Functions. Selected Areas in Cryptography, pp 355-371, LNCS 7707, Windsor, Canada, 2013. Yongqiang Li, Mingsheng Wang: The Non-existence of Permutations EA-equivalent to Certain AB Functions, IEEE Transactions on Information Theory 59(1): 672-679 (2013).

代表性成果三： 利用代数方法设计对称密码组件（2） 根据hitag2流密码中滤波函数的构造特点, 抽象出了嵌套函数 的概念, 并且研究了嵌套函数的相关密码学性质，如: 平衡性 , 代数次数, 非线性度, 代数免疫度等。 通过限制函数的代数免疫度的计算与理论推导相结合, 确定出 hitag2流密码中嵌套函数的代数免疫度。 已有的分解布尔函数来确定代数免疫度的算法不一定总能得到 结果, 我们的方法一定可以得到布尔函数的代数免疫度, 而且 可以迭代应用。 Cryptographic properties of nested functions and algebraic immunity of the Boolean function in Hitag2 stream cipher. Cryptography and Communications (accepted).

（三）研究工作的主要进展：论文 Zhangjie Huang and Lei Hu and Jun Xu and Liqiang Peng and YonghongXie, Partial Key Exposure Attacks on Takagi's Variant of RSA, ACNS 2014  Liqiang Peng, Lei Hu, Jun Xu, Zhangjie Huang, YonghongXie, Further Improvement of Factoring RSA Moduli with Implicit Hint, AFRICACRYPT 2014. Jun Xu, Lei Hu, Zhangjie Huang and Liqiang Peng, Modular Inversion Hidden Number Problem Revisited, ISPEC 2014. PENG Liqiang, ZUO Jinyin, Hu Lei, XU Jun, Analysis of Two Public Key Cryptosystems Based on Randomized Knapsack Sequences, Chinese Journal of Electronics, 23(1): 175- 178, 2014. ZhengbangZha, Lei Hu, Constructing new APN functions from known PN functions, International Journal of Foundations of Computer Science, Vol. 24, No. 8 (2013) 1209– 1219, published in 2014. Weijia Wang, Lei Hu: A generic homomorphic MAC construction for authentication in network coding. Security and Communication Networks 7(2): 429-433 (2014). Xiwang Cao, Lei Hu, ZhengbangZha, Constructing permutation polynomials from piecewise permutations, Finite Fields and Their Applications, 26: 162-174 (2014). ZhengbangZha, Lei Hua, SiweiSun,Constructing new differentially 4-uniform permutations from the inverse function, Finite Fields and Their Applications, 25: 64-78 (2014). ZiranTu, Xiangyong Zeng, Lei Hu, Several classes of complete permutation polynomials, Finite Fields and Their Applications, 25 (2014) 182-193.

（三）研究工作的主要进展：论文 M.Lu, D. Wan, L.-P. Wang, and X.-D. Zhang, Algebraic Cayley Graphs over Finite Fields， Finite Fields and Their Applications, Volume 28, July 2014, 43-56. Zhenyu Huang, Dongdai Lin: A New Method for Solving Polynomial Systems with Noise over $\mathbb{F}_2$ and Its Applications in Cold Boot Key Recovery. Selected Areas in Cryptography, pp 16-33, LNCS 7707, Windsor, Canada, 2013. Ling Song and Lei Hu, Improved Algebraic and Differential Fault Attacks on the KATAN Block Cipher, the 9th Information Security Practice and Experience Conference-ISPEC 2013, Lanzhou, China, Lecture Notes in Computer Science Volume 7863, 2013, pp 372-386 Ling Song and Lei Hu, Differential Fault Attack on the PRINCE Block Cipher, the Second International Workshop on Lightweight Cryptography for Security and Privacy -- LightSec 2013, (rate=10/27) Lecture Notes in Computer Science Volume 8162, 2013, pp 43-54. Liqiang Peng, Lei Hu, Jun Xu. Analysis of two knapsack public key cryptosystems. IET Communications, Volume 7, Issue 15, 15 October 2013, pp: 1638 – 1643. Xuyun Nie, Zhaohu Xu, Johannes Buchmann. Cryptanalysis of Hash-based Tamed Transformation and Minus Signature Scheme. PQcrypto 2013. LNCS 7932, pp. 155–164, Springer, 2013. 聂旭云，徐赵虎，廖永建，钟婷，多变量公钥密码扩展方案的安全性分析。计算机学报， 2013，36（6）：1177-1182。 Xunyun Nie, Albrecht Petzoldt, Johannes Buchmann. Cryptanalysis of 2-layer Nonlinear piece in hand method. MoCrySEn 2013, LNCS 8128, pp. 91–104, Springer, 2013.

（三）研究工作的主要进展：论文 Siwei Sun, Lei Hu, Ling Song, Yonghong Xie and Peng Wang. “Automatic security evaluation of block ciphers with s-bp structures against related-key differential attacks”. Inscrypt 2013. Yongqiang Li, Mingsheng Wang: The Non-existence of Permutations EA-equivalent to Certain AB Functions, IEEE Transactions on Information Theory 59(1): 672-679 (2013). Shengbao Wu and Hongjun Wu and Tao Huang and Mingsheng Wang and Wenling Wu: Leaked- State-Forgery Attack Against The Authenticated Encryption Algorithm ALE. Asiacrypt 2013. Shengbao Wu, Mingsheng Wang, Wenling Wu: Recursive Diffusion Layers for (Lightweight) Block Ciphers and Hash Functions. Selected Areas in Cryptography, pp 355-371, LNCS 7707, Windsor, Canada, 2013. Weiwei Cao, Lei Hu, Projective Interpolation of Polynomial Vectors and Improved Key Recovery Attack on SFLASH, Designs, Codes and Cryptography. DOI: 10.1007/s10623-013-9819-2. Lin Jiao, Bin Zhang and Mingsheng Wang: Establishing Equations: the Complexity of Algebraic and Fast Algebraic Attacks Revisited. Information Security Conference 2013. Shengbao Wu, Mingsheng Wang: Integral Attacks on Reduced-Round PRESENT. ICICS 2013, LNCS 8233, pp. 331–345, 2013. Yuyin Yu, Mingsheng Wang: Permutation polynomials and their differential properties over residue class rings. Discrete Applied Mathematics 161 3104–3108 (2013)

（三）研究工作的主要进展：论文 Xiaolei Zhang, Lei Hu, Periods of Polynomials over a Galois Ring, SCIENCE CHINA Mathematics. 56(9): 1761–1772, 2013, doi: 10.1007/s11425-013-4592-2. HAN CAI, XIANGYONG ZENG, XIAOHU TANG, LEI HU, NEW OPTIMAL FREQUENCY HOPPING SEQUENCE SETS FROM BALANCED NESTED DIFFERENCE PACKINGS OF PARTITION-TYPE, Int. J. Found. Comput. Sci. 24, 533 (2013). DOI: 10.1142/S0129054113500196. 张晓磊，胡磊，Galois 环上极大周期序列的平移等价，应用数学学报， 2013, 36(4)，doi: 10.3969/j.issn.0254-3079.2013.04.005. Shengbao Wu, Mingsheng Wang: Automatic Search of Truncated Impossible Differentials for Word-Oriented Block Ciphers. I INDOCRYPT 2012, LNCS 7668, pp. 283–302, 2012. Jun Xu, Lei Hu, Siwei Sun, Ping Wang, Cryptanalysis of a Lattice-Knapsack Mixed Public Key Cryptosystem, The 11th International Conference on Cryptology and Network Security--CANS 2012, Darmstadt, Germany, December 12-14, Lecture Notes in Computer Science, 2012, Volume 7712/2012, pp. 32-42, 2012. Jun Xu, Lei Hu, Siwei Sun. Implicit Polynomial Recovery and Cryptanalysis of A Combinatorial Key Cryptosystem. ICICS 2012: The 14th International Conference on Information and Communications Security, LNCS 7618. 2012. pp: 45-57.

（三）研究工作的主要进展：论文 Zhaohu Xu, Xuyun Nie, Hui Wang, Yongjian Liao. Cryptanalysis of An Improved MFE Public Key Cryptosystem. International Journal of Security and Networks. Vol. 7, No. 3, 2012, pp.174-180. Jun Xu, Lei Hu, Yonghong Xie. Cryptanalysis of Countermeasures Against Multiple Transmission Attacks on NTRU. IET Communications (to appear) Jun Xu, Lei Hu, Siwei Sun. Cryptanalysis of Two Cryptosystems Based on Multiple Intractability Assumptions. IET COMMUNICATIONS

（三）研究工作的主要进展：专利 胡磊，孙思维, 宋凌, 解永宏, 王鹏. 获取分组密码活跃 S 盒个数下界的方法. 专利申请号：201310368578.8.，已 进入实际审查阶段。 胡磊，孙思维，乔珂欣，马小双，王鹏，宋凌. 分组密码 抵抗线性攻击安全性的自动化评估方法.已提交。 统计： 共发表论文34篇，申请专利2项。

（三）研究工作的主要进展：软件系统 分组密码差分与线性自动化分析工具（以软件类 库形式提供），包括： 进展中 分组密码抵抗差分攻击和线性攻击的安全性评估工具； 单密钥差分特征、相关密钥差分特征、单密钥线性特征 的自动化搜索工具。 进展中

（四）组织管理 每周定期讨论班 要求参与项目研究的所有学生进行研究进展的双周汇 报 参加其他研讨会，与外单位研究人员合作 周二、周四上午的讨论班（胡磊组织） 周二下午的讨论班（王明生组织） 要求参与项目研究的所有学生进行研究进展的双周汇 报 参加其他研讨会，与外单位研究人员合作 专人负责课题财务方面的管理工作

（五）队伍建设与人才培养 李永强获2013年度所级优秀员工称号和信息安全国家重点实 验室2013年度优秀论文二等奖 孙瑶评上副研究员和信息工程研究所“青年之星” 孙思维获中科院朱李月华优秀博士生奖、宋凌获国家奖学金 3名参与项目研究的学生获得博士学位 1名博士后、9名博士生、6名硕士生参与课题工作

（六）经费使用情况 类别 预算经费（万元） 已使用经费（万元） 合计 245.00 （到帐139.00） 50.79 劳务费预算 38.84 18.63 国际合作预算 37.00 4.27 会议费预算 23.80 6.29 测试/计算/分析费预算 12.87 出版物/文献/信息传播/知识产权预算 8.58 0.71 设备费预算 14.30 8.19 能源/动力费预算 5.72 材料费预算 10.54 0.02 专家咨询费预算 12.60 差旅费预算 42.30 1.77 绩效支出预算 9.61 间接费用及其它预算 28.84 10.91

（六）下一步工作计划 继续研究新一代Groebner基算法，针对二元域等特定有限域 研究计算多项式系统Groebner基的快速算法及其高效实现。 研究有限域上代数方程的求解问题的复杂度与多变量公钥密 码等密码算法的安全强度的关系，基于方程求解，刻划多变 量密码问题、格问题、纠错码译码问题的代数攻击的实际破 解难度，导出新的代数攻击方法。 设计和开发基于混合整数规划的自动化密码分析与安全评估 的工具

（七）问题和建议 问题 预算执行率还有待提高

谢谢！