Grain-128a是一个基于序列密码的认证加密方案,泛杂凑函数是其认证部分的核心部件.之前的研究侧重于寻找其中序列密码的弱点.本文在假设序列密码是完美的基础上,以泛杂凑函数的弱密钥分析为切入点,研究Grain-128a的安全性.由于这一泛杂凑函数是一个简单的仿射函数,我们的研究表明其在Grain-128a中存在弱密钥集合,攻击者可以有效判定泛杂凑函数的密钥是否属于这一集合,如果密钥属于这一集合,攻击者可以进行概率为1的伪造攻击.同时,我们在弱密钥分析的基础上,进行密钥恢复攻击.假设处理的消息是l比特,我们仅需要1次加密询问和不超过232+l-1次解密询问,就可以恢复泛杂凑函数l+31比特的密钥,成功概率为1.更进一步,我们可以得到序列密码生成的几乎所有的密钥流,从而可以进行任意的伪造攻击,即对任意长度不超过l比特的消息,伪造其密文及相应的鉴别码.本文最后分析了之所以能进行这些攻击的原因和防止攻击相应的措施.

• 单位
  中国科学院; 中国科学院大学; 中国科学院信息工程研究所; 信息安全国家重点实验室