关于分组密码发展的综述

黄俊源

摘 要：现代密码学中对实用密码的研究主要有两个方向，即公开密钥密码和秘密密钥分组密码。分组密码作为现代密码学主要的研究方向之一，同时在计算机通信和网络信息安全方面有着广泛的应用，使得研究分组密码有着重要的意义。文章综述了分组密码设计和分组密码分析的发展现状，还对分组密码的发展情况和趋势进行分析，最后还对分组密码的发展给出了建议。

关键词：分组密码；分组密码的设计结构；分组密码的分析方法

分组密码是对称密码学的一个重要分支，在网络通信和信息安全领域发挥着极其重要的作用，对分组密码的研究主要有两方面：设计和分析，设计和分析有着相互独立又相互统一的关系。

一方面，希望根据已有的密码分析方法，设计出能够抵抗所有密码分析方法的密码算法；另一方面，又希望通过分析最新设计出来的密码算法找到某些安全缺陷，从而找到新的密码分析方法。

因此，分组密码的设计和分析有着相互促进的作用，它们共同推进了分组密码的研究和发展。

随着DES算法的公布、AES计划和NISSIE计划的展开，还有差分分析方法和线性分析方法的提出，使得人们越来越重视分组密码的设计和分析理论的研究。随着分组密码理论的深入研究，人们对分组密码设计和分析有了很大的信心，同时促使了更多优秀的分组密码设计结构和分析方法的出现。

本文主要对分组密码设计和分析的发展情况和发展趋势进行概述与分析，同时还对国内外的分组密码研究进展进行对比和分析，最后为促进分组密码的发展提出自己的建议。

1 分组密码设计的发展趋势和现状

分组密码的设计源于1949年Claude Shannon在Bell System Technical Journal上发表的经典论文“Communication Theory of Secrecy Systems” ，其中在文章中提出的“混淆”和“扩散”，不但是设计分组密码算法的一个重要原则，还为分组密码算法安全性的设计提供了一个重要的保障。20世纪70年代末，美国国家标准局公布了著名的数据加密标准DES算法，这标志着分组密码设计的公开研究的开始，到了20世纪90年代末美国的AES计划和欧洲的NISSIE计划，产生了许多优秀的分组密码算法，极大地推动了分组密码算法设计的研究和发展。

自从差分分析方法和线性分析方法的出现之后，算法的安全性设计都是以抵抗差分攻击和线性攻击为根据，出现了一些经典的结构，SP结构和Feistel结构。

后来由于许多的分析方法的出现，在算法的安全性设计上，不但要考虑抵抗差分攻击和线性攻击，还要考虑到新出现的分析方法，例如不可能差分攻击、积分攻击。这样导致了许多混合结构的出現，例如嵌套Feistel结构的SP型分组密码算法。

随着互联网的发展，无线传感器和RFID芯片等微型计算机设备的广泛应用，给人们的生活带来了的极大的便利，又因为微型计算机的设备资源受到有限，同时还要保证信息的安全性，既有效率又能保证安全性的轻量级分组密码算法因此而诞生。

从2004年以来，许多高效且有安全的轻量级分组密码算法出现，例如：PRESENT、HIGHT、Mcrypton、SEA、DESL、CGEN、Eagle-64和Eagle-256。最近几年由于研究轻量级分组密码算法的人越来越多，使得轻量级分组密码算法得到了迅速的发展，无论是国内还是国外都产生了许多很好的密码算法，例如，2013年提出的轻量级分组密码SIMON[ 1 ]，SIMON是一族分组密码算法，其明文长度可以为32和64位。国外学者Leander G [ 2 ]和Junko Takahashi[ 3 ]分别再2015年和2014年在CRYPTO （1） 2015和ICISC2014上发表了关于对轻量级分组密码SIMON分析的文章。

除了新的分组密码算法结构和轻量级分组密码的出现，我国在2006年公布了国家分组密码标准SMS4算法。由于SMS4算法是我国第一个公布的商用密码，所以SMS4算法在2007年到2009年得到了极大的推动与发展，其中我国学者在构造与设计方面有了重大的突破，构造了一类非线性度高、并且代数免疫度和代数次数均最优的布尔函数；同时研究了向量值函数的代数免疫度的上界，给出了达到上界的实例；还有构造了有限域上两类新的完全非线性函数类，使得有限域上不等价的完全非线性函数类扩展到了6类。这些结果都是在2008年和2009年由冯克勤教授等人在ASIACRYPT 2008[ 4 ]和Des. Codes Cryptography[ 5 ]上发表的。

近几年也有一些关于SMS4算法的文章，例如2015年在CIS2015上发表的文章[ 6 ]，这文章主要写的是一种新设计关于SMS4算法来对抗选择明文攻击的，虽然算法在数学上证明是足够安全，在硬件实现时，它很容易受到微分功率分析（DPA），特别是使用选择明文的方法。所以提出一个安全SMS4结合隐藏和屏蔽技术的电路设计。其中隐藏技术应用于使权力痕迹很难对齐从而增加攻击的难度，而且该文章的實验结果表明，该设计在DPA-resistance电路具有良好的性能。

2 分组密码分析的发展趋势和现状

差分密码分析首先由Biham和 Shamir于1990年在CRYPTO上提出的，在那以后密码分析方法的研究得到了巨大的发展，因此差分密码分析也开始满足不了人们的要求。由于差分密码分析的关键在于寻找高概率的差分特征或差分，但是对于某些密码算法来说，寻找高概率的差分特征或者差分是非常困难或者是不可能的，所以在1994年提出了多重差分分析和截断差分分析。

1999年提出了不可能差分分析，不可能差分密码分析是一种特殊的差分密码分析，差分密码分析主要是利用高概率的差分来恢复密钥，而不可能差分密码分析是利用概率为0 的差分，通过排除导致概率为0 的候选密钥来恢复正确密钥。

2003年提出了矩阵攻击，这种攻击方法主要是运用了差分分析方法的性质来实现。在2003年以后并没有出现新的有效攻击方法，只是更加注重不同的攻击方法的联合使用。

譬如，2005年发表的相关密钥矩阵攻击，就是把矩阵攻击和相关密钥攻击相结合，从而降低计算的复杂度。2007年发表的相关密钥差分攻击，主要是把差分分析和相关密钥攻击相结合的攻击。近几年来也有不少这类把不同攻击方法联合来使用的攻击方法，2012年发表的相关密钥-不可能差分攻击方法攻击22轮的轻量级分组密码LBlock[ 7 ]，2015年发表的相关密钥-矩阵攻击Rijndael-160 和 Rijndael-192[ 8 ]，这些都是用不同攻击方法的联合把最终结果比原有的结果有了进一步的提高，使得计算复杂度降低或者所需的明密文对减少。

3 国内外研究进展比较分析

在分组密码标准化方面，我们国家在分组密码标准算法制定方面相距较远，仅在2006年，国家密码管理局公布了适用于无线局域网产品的推荐密码算法SMS4，其他标准几乎都等同于国际标准；在分组密码的设计理论方面，我国学者在有限域上函数的非线性度、代数免疫度和弹性阶等密码学性质刻画及其构造方面取得了多项具有国际水准的工作；在分组密码分析方法方面，从公开发表的文献来看，在使用已有的分析手段，对各类分组密码进行分析的效果来看，国内外差距不大，在某些方面，我们的分析工作处于领先地位。

4 建议

1）建议启动我们国家的分组密码标准、行业标准、工作模式的公开征集以及评估项目，在项目的实施过程中锻炼培养分组密码的人才；

2）建议给予企业政策支持，推动他们增加对密码研究的投入，促进企业和研究团体的合作力度，使分组密码的研究能充分和应用结合起来；

3）建议在高校增设密码基金，提供密码研究方面的培训和开展大型的密码研究比赛，培养出高素质的密码研究人员。

参考文献：

[1] AlKhzaimi H， Lauridsen M M.Cryptanalysis of the SIMON Family of Block Ciphers[J].IACR Cryptology ePrint Archive，2013，2013：543.

[2] K■lbl S， Leander G，Tiessen T.Observations on the SIMON block cipher family[C]//Annual Cryptology Conference.Springer Berlin Heidelberg，2015：161-185.

[3] Takahashi J， Fukunaga T. Fault analysis on SIMON family of lightweight block ciphers[C]//International Conference on Information Security and Cryptology. Springer International Publishing，2014：175-189.

[4] Carlet C，Feng K.An infinite class of balanced functions with optimal algebraic immunity，good immunity to fast algebraic attacks and good nonlinearity[C]//International Conference on the Theory and Application of Cryptology and Information Security. Springer Berlin Heidelberg， 2008： 425-440.

[5] Feng K， Liao Q， Yang J. Maximal values of generalized algebraic immunity[J].Designs， Codes and Cryptography，2009，50（2）：243-252.

[6] Chen J，Wang Q，Guo Z，et al.A Circuit Design of SMS4 against Chosen Plaintext Attack[C] //2015 11th International Conference on Computational Intelligence and Security（CIS）.IEEE，2015：371-374.

[7] Minier M，Naya-Plasencia M A.A related key impossible differential attack against 22 rounds of the lightweight block cipher LBlock[J].Information Processing Letters，2012，112（16）：624-629.

[8] Wang Q，Liu Z，Toz D，et al.Related-key rectangle cryptanalysis of Rijndael-160 and Rijndael-192[J]. IET Information Security， 2015， 9（5）：266-276.

作者簡介：

黃俊源（1991-），男，汉族，广东佛山人，硕士研究生，主要研究方向：分组密码。