差分序列的性质及应用

2003年第10期 通信技术 Ho10，23垒苎堡塞 里堡垡型塑墅12墼 塑；些堂通信保密差分序列的性质及应用黄建忠。 李超国防科技大学数学与系统科学系长沙410073中国科学院软件研究所计算机重点实验室，北京100080【摘要1培出了羔分序列的若干性质并对其在序列密码中的应用作了一些探讨。【关键词】差分分析 差分序列 移住差分 累次差分 序列密码The Properties and Applications of Differential SequenceHuang JianzhongLi ChaoDepartment ofMathematics and System Science ofNUDTChangsha 410073Laboratory of Computer Science of Institute of Software 0f Chinese Academic of Science，Beijing 10080AbstractIn this paper，We画o”properties of differential sequence，and discuss the applications of differential日e-quence in sequence cryptologyKeywordsdiffceeatial cryptanalysis，differential sequel_lecshift differential，cumulate differential，Bequence eryptologyl引言差分密码分析是已知的攻击迭代分组密码最有效的方法之一，它是Eli Bihsm和Adi Shamir于1990年提出“2的。但长期以来，很少有人把这种方法应用于序列密码的设计和分析中。对此研究较早的一篇文章”1是丁存生写的。作者给出了差分序列的若干性质，并对其在序列密码中的应用作了初步的探讨。2差分的基本概念定义1设s_r是从阿贝尔群S正的驶射在点。E S的差分定义为。，z“x口一，z则称此运算为移位差分。所生成的序列称为第一类差分序列。定义5设钆啦o，为二元域上的一条序列对其作如下运算口Id10 82，410毗0口3，”，锄o o“一10 n。则称此运算为累次差分，所生成的序列称为第二类差分序列。3差分序列的若干性质在讨论差分序列的性质之前，先给出一些需要用到的定理。引理1设n级LFSR的特征多项式为，x一到阿贝尔群 。t矿1c一c-妒0，则LFSR以咖，o h_一1a-I为初态定义2t21条件同上在点a珊的i阶差分定义为醴k；乱出j2，凡这里所指的差分和高阶差分类同于上述的定义1和定义2。由于这里主要讨论二元域上的序列密码因此文章后面的差分运算如没有特别指明，均指异或运算。定义3f”设n。是n的子序列，“是6的子序列则乱o。，06i1称为序列。，b关于子序列o-，“的截断差分，其中。表示序列集上的一个特定群运算，盯，表示6t在此序列集上的一个特定群中的逆元。定义4设G。m，mo，为二元域上的一条序列，对其作如下运算41mo口2。啦o oh10口。产生的q元序列的母函数表示为Az等，其中7c刃为Lz，LFSR的联结多项式，而gz60“z6川矿一由初态和反馈系数c口，。c。给出。目I理2设，zfE GF口【】，川f*两两互素，则每个有理真分式百已；i研均可唯一表示成若干真分式之和万觞劣等嚣筹。引理3设5rsr为GF口上的e个周期序列，且。f*f“，mff“分别为它们的生成函数的既约有理分式表示。再设广；s为这个序列的和序列。命g*HzH触扎llf,x则有1J_xgcd，，gx；收稿日期20。3022】。中国科学院软件研究所计算机科学重点实验富开放基金N0syskf0201和国防科技大学基础研究基金NOJC0202007资Wj。黄建忠男，t973年生，系硬士研究生。主要研究方向为编码密码理论及其应用。李超男，1966年生。教授。主要研究方向为编码密码理论及其应用。102万方数据2pe，，州何xged叭x，g-era b”sperst，其中等号当ff x，“r*两两互豪时成立；3工I*5s，当且仅当，。*，far*两两互素时等号成立。引理4设F。为一特征为p的有限域E F，【*】是一个次数大于0且ff0o的多项式。设，，为在n【x】中的标准分解式，其中。E日，h“t，且，一是nf xl中两两不同的首一不可约多项式。则od一ep，其中elcmordf，ordf，f是满足p1max“， 乩的最小整数。3 1第一类差分序列的性质定理1设。是周期为T的二元序列，以z是其极小多项式，序列6为。的第一类差分序列。如果1*tf，则6的极小多项式为，*1*，周期和线性复杂度不增；否则6的极小多项式为“x，周期和线性复杂度不变。证明由引理1竺的母函数表示为AG错设。一lo则6的母函数表示为口xn、，n。x21ad-1如止精边如果1zl“*，设“z1f-x，此时有Bx2夤罱。因此由母函数的表示知的极小多项式为zt再由引理2一引理4知周期和线性复杂度不增。否则，由母函数的表达式知6的极小多项式仍为一z，自然周期和线性复杂度都不变。推论1设。为n级m序列，6为其第一类差分序列，则6仍为n级m序列o32第二类差分序列的性质定理2设4是周期为r的二元序列，其母函数z。错-，z是其极小多项式tb为竺的第二类差分序列。如果1zI gx，则6的极小多项式为，*，周期和线性复杂度不变否则，6的极小多项式为以*1*，周期和线性复杂度不减。证盼由第二类差分序列的运算知6一l6。io1，其中6一F0设b的母函数为B*则有zn“。6一-bz1zbxl1zBx故比斧岛百岛b。 1如果1十*l g，设g*1z期z，此时丑“2与学由母函数的表示知的极小多项式为，*，周期和线性复杂度不变。否则，由母函数的表示知6的极小多项式为，*1z，再由引理2引理4知周期和线性复杂度不减。定理3设。是周期为T的m序列。6为其第二类差分序列。则6的周期也为凡证明由于。的周期为r故其母函数可表示为A借t其中gzCO,_“。由定理2的证明过程可以把序列6的母函数表示为口可书荇两 2由4为m序列，有g10，故1l gx。再由2式和定理2即知b的周期为凡定理4对任意有限长序列a，埘a表示其中1的个数，b为其第二类差分序列。若wa为偶数，则6的最后一比特为0；若”o为奇数则6的最后一比特为1。证明由定义5易证略。3 3两类差分序列的相互关系由定义4和定义5容易证明下面两个定理。定理5设n为二元域上的一条序列，6为其第一类差分序列，c为6的第二类差分序列，则a和c是相同的序列。定理6设4为二元域上的一条序列，6为其第二类差分序列，C为6的第一类差分序列，则n和c是相同的序列。4差分序列在序列密码中的若干应用4 1对密文序列进行差分有蓝提高密码攻击成功的概率有了定理5和定理6，现在来考虑一下，在唯密文攻击时如何从密文中恢复明文和密钥。假设已知明文编码及统计特性，则可以充分利用这些编码规律和统计特性。为了讨论方便。以下不妨假设P1 01 01 01 01 01 o”Kk而k岛b如k岛“舢Cc0 cl czc，“c，“cTc现对c进行移位差分则有cAoAk01iO 3由3式可以知道密钥差分序列就等于密文差分取反序列因此要研究密钥差分序列只需研究密文差分取反后的序列即可。当然此时还可以对AC再移位差分一次这样就可以完全消除明文中比特1的影响。如果此时的密文差分序列的反馈多项式和初态能够求出，那么就可以求出整条密文差分序列。再通过密文差分序列和密钥差分序列之问的对应关系，就可以求出密钥差分序列。而上面两个定理则保证差分后的序列是可以根容易还原为原始序列的，由此就求出了原始密钥序列。至于P为其它情况，则只要运用截断差分的思想再进行类似差分，同样可以求出原始密钥序列只是会稍微复杂一些。103万方数据由此可见，对密文进行差分可以消除明文的一些影响，以获得部分密钥序列。而这对于进一步分析密码系统无疑是大有帮助的。比如BAA”i攻击需要有一定量的密钥，尤其是当系统中的各个LFSR级数增大时，密钥量需求随之增加。此时如果辅以本文的差分分析方法，则可以保证密钥量的需求，提高攻击成功的概率。4 2对密文序列进行累次差分，可作为序列误码校验的一种指标定理4可以作为判断序列有无误码的校验指标。即发方先把密文序列进行累次差分，然后发送给对方；收方接收到差分序列以后，先记下序列最后一比特信息然后把该序列进行移位差分井统计其中1出现的个数，若为奇数贝4记为1，否则记为0；最后与原始序列最后一比特进行比较，若相同则说明没有误码，否则说明有误码这里假定误码率控制在一定范围之内。虽然这种方法不能确定误码的位置，但简单易行，使用它还是值得的。比如在一些不需要确定误码位置的情形，或者仅作为一种辅助判断。5结束语这里给出了差分序列的若干性质，并对其在序列密码中的应用作了初步的探讨。如何进一步地把差分分析技术应用到序列密码的分析和设计中这是笔者下一步要研究的课题。参考文献1 BihamEShanfirA Diffemmiaoryptanalysis ofDESlike cryptosysternsdin CryptulogyCRYPTO90 ProceedingsBerlinSpfingnrVerhtg199122l2 Biham EShamir ADiffeyemial cryptanalysis of the data eneryptionstandard BerlinSPringVerlag。19933 Ding C The differential cryptantdysis and design of natural sneciphem Fast Software Eneryption Cambfidgn Security WorkshopProceedingsBerlinSpfingerVerlag19941011 154冯登国，密码分析学北京清华出版社，20005丁存生，削国镇流密码学及其应用北京国防工业出版社，19946 Lidl IL Niederni zer HFinite FieldAddisonwesley Publishing Company19837 Knudsen L RTruncated and higher order differentialsfast softwareentryptlOil 2ndIntlWerksh叩Proc，BerlinSpringerVerlsg，199519621l8 Lai xHi咖or