网站地图 | 联系我们 | English | 意见反馈 | 主任信箱
 
首页 中心概况 新闻动态 科研进展 交流合作 人才培养 研究队伍 人才招聘 政策规章 数学交叉科学传播
科研进展
科研成果
研究专题
获奖
现在位置:首页 > 科研进展 > 科研成果
CAESAR竞赛认证密码算法的安全性分析进展
【打印】【关闭】

2014-12-30 | 编辑:文\信息技术部

加密和认证是密码学算法的两种基本属性。在现代网络保密通信中,几乎所有的网络通信安全协议都同时具备加密和认证两种功能,例如超文本安全传输协议HTTPS、安全套接层协议SSL、因特网安全协议IPSec等等。当前流行的实现方案是在网络安全协议中同时实现多个密码算法,例如加密算法AES、3DES,Hash函数MD5、SHA1,消息认证码MAC以及公钥密码RSA等。然而,这些不同类型的算法需要用到多个密钥,其不仅给密钥管理带来麻烦,还增加了许多新的隐患。例如,2009年Albrecht,Paterson和Watson三人就利用OpenSSH在私钥加密和认证之间交互过程中的漏洞给出了一种恢复密文中32比特明文的攻击方法;2011年Duong和Rizzo演示了如何实时恢复经过TLS加密过的cookie的方法;2012年AlFardan和Paterson给出了一个有效的攻击方法来恢复OpenSSL协议中的所有明文。上述安全事件层出不穷,一些当初看起来似乎是安全的协议,如今一个个都被发现存在安全漏洞。一旦这些漏洞被恶意攻击者利用,将会给网络安全带来非常大的威胁。注意到,上述许多安全漏洞都发生在加密算法和认证算法之间的衔接,即相互之间的交互过程。这说明,即使单个算法都是安全的,但是当它们一旦组合起来使用时未必就一定是安全的。因而如何提高效率并尽可能的避免这类安全威胁的发生是人们关注的重点问题。其中在通信协议中采用认证加密算法被认为是一种较好的解决方案。

认证加密算法是一种同时具有加密和认证两种属性的密码算法。同现有的网络安全协议解决方案相比(即多个不同类型算法均实现的方案),采用单个认证加密算法的解决方法不仅具有低的实现代价,而且由于只使用一个密钥就可以同时完成通信数据私密性、完整性以及用户身份真实性验证等功能,因而其还可以降低密钥管理的复杂度,并能够彻底消除不同算法之间的衔接隐患。这也是认证加密算法被认为是对称密码领域极具前景的方向之一的原因。正因如此,在国际密码协会IACR主办下由日本发起一个面向全球征集认证加密算法的竞赛活动,被称之为CAESAR竞赛。CAESAR竞赛秉承之前主办的一系列对称密码竞赛活动,包括AES、NESSIE、ECRYPT、SHA3等,旨在增强人们对认证加密算法的认识和信心。CAESAR竞赛从2013年1月开始,到2017年12月结束,整个竞赛活动将持续5年时间。目前CAESAR竞赛已经征集了57个算法,正处于第一轮安全评估期间。这些算法中有5个是由国内学者提交的。截止到目前,已有9个认证加密算法被淘汰,见表1。

信息技术部冯秀涛等对CAESAR竞赛中基于流密码设计的认证加密算法的安全性进行了分析,破译了包括Sablier、PANDA-s、FASER128和FASER256在内的一系列认证加密算法,给出了针对它们的实时的/可实际操作的密钥/状态恢复攻击方法。他们的攻击直接导致PANDA-s和FASER两个算法被撤销。其中针对FASER的攻击得到了设计者高度评价,认为是“drag it out the back, and shoot it in the head.”

表1 CAESAR认证加密算法竞赛被淘汰算法列表
AES-CORBA[9] CBEAM[10] FASER[11] HKC[12] Calico[13]
McMambo[14] PAES[15] PANDA[16] POET[17]  
欢迎访问国家数学与交叉科学中心 
地址:北京海淀区中关村东路55号 邮编:100190 电话: 86-10-62613242 Fax: 86-10-62616840 邮箱: ncmis@amss.ac.cn