深度學(xué)習(xí)在ARX 分組密碼差分分析的應(yīng)用*

楊小雪, 陳 杰,, 韓立東

1. 西安電子科技大學(xué) 通信工程學(xué)院, 西安 710071

2. 杭州師范大學(xué) 浙江省密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室, 杭州 311121

1 引言

神經(jīng)網(wǎng)絡(luò)是實(shí)現(xiàn)深度學(xué)習(xí)的主要方式, 而深度學(xué)習(xí)屬于機(jī)器學(xué)習(xí)的一個(gè)分支, 它利用算法來(lái)處理數(shù)據(jù)、提取特征、模擬人類思維或者進(jìn)行開(kāi)發(fā). 深度學(xué)習(xí)的歷史可以追溯到1943 年, 當(dāng)時(shí)Walter Pitts 和Warren McCulloch 創(chuàng)建了一個(gè)基于人腦神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)模型. 隨著計(jì)算機(jī)處理數(shù)據(jù)速度的加快, 如今深度學(xué)習(xí)在很多領(lǐng)域都有廣泛的應(yīng)用[1–4], 比如圖像識(shí)別、自動(dòng)駕駛、AI 機(jī)器人等.

1991 年, Ronald Rivest 首次將深度學(xué)習(xí)和密碼分析聯(lián)系起來(lái), 在文獻(xiàn)[5] 中提出了關(guān)于密碼學(xué)和機(jī)器學(xué)習(xí)兩個(gè)領(lǐng)域的主題調(diào)查. 然而, 由于早期計(jì)算機(jī)硬件的運(yùn)算能力有限, 深度學(xué)習(xí)的發(fā)展受到限制, 因此它在密碼學(xué)領(lǐng)域的應(yīng)用成果并不多, 主要集中在側(cè)信道攻擊[6,7]上. 但側(cè)信道攻擊屬于物理攻擊, 并不屬于真正意義上的密碼分析. 此后, 隨著GPU (圖形處理單元) 技術(shù)的不斷發(fā)展和深度學(xué)習(xí)一些新算法的提出, 機(jī)器學(xué)習(xí)在密碼分析上的應(yīng)用越來(lái)越廣泛. 2008 年, Bafghi 等人利用蟻群算法開(kāi)發(fā)了一個(gè)模型,將Sperpent 分組密碼差分特征空間用一個(gè)加權(quán)有向圖表示, 再利用遞歸神經(jīng)網(wǎng)絡(luò)找到其中的最小權(quán)重多分支路徑, 從而得到最佳差分路徑[8]. 2009 年, Soos 等人將SAT 求解器引入到密碼問(wèn)題中[9], 并取得顯著效果. 自此, 自動(dòng)搜索技術(shù)得到廣泛應(yīng)用, 在發(fā)現(xiàn)分組密碼特征上比機(jī)器學(xué)習(xí)更有優(yōu)勢(shì). 由于機(jī)器學(xué)習(xí)在發(fā)現(xiàn)分組密碼特征上的競(jìng)爭(zhēng)力不夠, 學(xué)者們開(kāi)始關(guān)注其他方面的應(yīng)用, 比如利用機(jī)器學(xué)習(xí)算法來(lái)對(duì)加密流量和密碼算法進(jìn)行分類. 2015 年, 文獻(xiàn)[10] 使用了三種基于機(jī)器學(xué)習(xí)的分類方法來(lái)對(duì)加密數(shù)據(jù)進(jìn)行分類, 均在實(shí)際藥物數(shù)據(jù)集上運(yùn)行時(shí)有效地執(zhí)行分類. 2017 年, Liu 等人提出利用無(wú)監(jiān)督學(xué)習(xí)來(lái)對(duì)無(wú)標(biāo)記數(shù)據(jù)進(jìn)行分類, 并展示了如何應(yīng)用該方法來(lái)分析Caesar 密碼[11]. 2018 年, De Mello 等人利用六種學(xué)習(xí)算法識(shí)別在EBC 和CBC 工作模式下的七種加密算法[12], 在EBC 模式下的識(shí)別成功率非常高, 在有些算法下甚至收斂到100%. 原本CBC 模式對(duì)區(qū)分攻擊不敏感, 而在文獻(xiàn)[12] 中, 在CBC 模式下成功識(shí)別密碼算法的范圍為40—50%. 然而以上工作都沒(méi)有對(duì)現(xiàn)代密碼算法進(jìn)行實(shí)際的攻擊和破解, 因此學(xué)者們開(kāi)始進(jìn)行一些新的研究, 他們利用機(jī)器學(xué)習(xí)尋找明文、密文和密鑰的映射關(guān)系. 2018 年, Hu 等人開(kāi)發(fā)了一個(gè)反向傳播(BP) 前饋神經(jīng)網(wǎng)絡(luò)模型來(lái)攻擊AES 算法[13], 以超過(guò)40% 的概率恢復(fù)明文的整個(gè)字節(jié), 以超過(guò)89% 的概率恢復(fù)明文的一半以上的字節(jié), 一定程度上可為暴力攻擊降低計(jì)算復(fù)雜度. 2019 年,Gohr 首次將基于深度學(xué)習(xí)的差分密碼分析與傳統(tǒng)差分密碼分析進(jìn)行對(duì)比[14], 提出了利用深度學(xué)習(xí)對(duì)減輪的SPECK32/64[15]的差分攻擊. 文獻(xiàn)[14] 表明, 神經(jīng)網(wǎng)絡(luò)可以用來(lái)產(chǎn)生與公開(kāi)的現(xiàn)有技術(shù)水平相當(dāng)?shù)墓? 對(duì)抗現(xiàn)代分組密碼的簡(jiǎn)化版本. 文獻(xiàn)[14] 利用神經(jīng)網(wǎng)絡(luò)訓(xùn)練了SPECK 的5—8 輪差分區(qū)分器, 且區(qū)分準(zhǔn)確率高于傳統(tǒng)差分區(qū)分器. 同時(shí), 文獻(xiàn)[14] 在此基礎(chǔ)上結(jié)合貝葉斯優(yōu)化算法提出一種新的密鑰搜索策略, 并結(jié)合該策略對(duì)11 輪的SPECK 進(jìn)行密鑰恢復(fù)攻擊, 且計(jì)算復(fù)雜度低于傳統(tǒng)分析手段. 這一成果一經(jīng)發(fā)布就引起了密碼學(xué)界對(duì)深度學(xué)習(xí)技術(shù)的研究熱潮. 2020 年, So 等人開(kāi)發(fā)了一個(gè)基于深度學(xué)習(xí)的通用自動(dòng)密碼分析模型[16], 并成功破解了基于純文本密鑰的SIMON32/64 和SPECK32/64[15]. 然而, 文獻(xiàn)[16] 中的模型只能破解密鑰空間有限的密碼, 通用性較差. 在密碼分析上, 結(jié)合深度學(xué)習(xí)技術(shù)和傳統(tǒng)密碼分析理念的工作并不多. 2021 年, Benamira 等人在EUROCRYPT 發(fā)表了對(duì)文獻(xiàn)[14] 的工作的深入解釋和一些改進(jìn), 提出了結(jié)合傳統(tǒng)機(jī)器學(xué)習(xí)算法和差分分布表的替代策略[17].

對(duì)于已經(jīng)成為研究熱點(diǎn)的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器模型, 我們發(fā)現(xiàn)兩個(gè)未得到充分研究和解決的問(wèn)題: 一是神經(jīng)網(wǎng)絡(luò)差分區(qū)分器面對(duì)密碼算法本身不同的運(yùn)算部件的表現(xiàn)如何; 二是對(duì)于同一種密碼, 什么因素會(huì)影響神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率. 對(duì)此本文進(jìn)行了以下三項(xiàng)工作, 并得到相應(yīng)的結(jié)果:

(1) 構(gòu)造了Speckey[18]和LAX32[19]兩類密碼的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器, 并基于密碼算法的線性運(yùn)算部件進(jìn)行對(duì)比分析. 其中Speckey 的有效區(qū)分器最高為7 輪, 準(zhǔn)確率為0.69; LAX32 的有效區(qū)分器最高為4 輪, 準(zhǔn)確率為0.55.

(2) 以SIMON32/64 為例, 測(cè)試并總結(jié)了輸入數(shù)據(jù)所含信息量對(duì)神經(jīng)網(wǎng)絡(luò)差分區(qū)分器準(zhǔn)確率的影響.實(shí)驗(yàn)結(jié)果表明在一定范圍內(nèi)神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)到的信息越多, 其區(qū)分準(zhǔn)確率也會(huì)提高, 差距最高可達(dá)0.18. 當(dāng)提供給神經(jīng)網(wǎng)絡(luò)的信息增多到一定程度, 神經(jīng)網(wǎng)絡(luò)將不能繼續(xù)利用更多的信息來(lái)提高區(qū)分準(zhǔn)確率.

(3) 對(duì)11 輪的SIMON32/64 進(jìn)行最后一輪子密鑰恢復(fù)攻擊. 在選擇明密文對(duì)數(shù)為28時(shí), 在1000 次攻擊中的成功率為95.6%.

2 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器模型

傳統(tǒng)差分區(qū)分器的構(gòu)造就是找到一條高概率的差分. 在輸入差分確定的情況下, 通過(guò)觀察一對(duì)密文的差分是否符合輸出差分, 來(lái)判斷這是真實(shí)密文對(duì)還是隨機(jī)數(shù)據(jù). 利用神經(jīng)網(wǎng)絡(luò)訓(xùn)練差分區(qū)分器實(shí)際要達(dá)到的效果也是類似的, 只是方法有所不同. 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的訓(xùn)練是一個(gè)挖掘和提取明密文數(shù)據(jù)特征并進(jìn)行分類的過(guò)程, 所以需要事先生成訓(xùn)練數(shù)據(jù). 本文構(gòu)造區(qū)分器所采用的是深度殘差神經(jīng)網(wǎng)絡(luò)[20], 相比其他網(wǎng)絡(luò)結(jié)構(gòu), 殘差網(wǎng)絡(luò)在提高網(wǎng)絡(luò)深度和特征提取上都具備比較大的優(yōu)勢(shì). 文獻(xiàn)[16] 中提出了一種基于殘差塊的神經(jīng)網(wǎng)絡(luò)區(qū)分器, 并應(yīng)用于減輪的SPECK 密碼. 同樣地, 本文也是基于深度殘差網(wǎng)絡(luò)建立神經(jīng)網(wǎng)絡(luò)差分區(qū)分器模型, 下面介紹具體結(jié)構(gòu)和數(shù)據(jù)生成過(guò)程.

2.1 神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

本文的網(wǎng)絡(luò)包括3 個(gè)部分, 共5+2i(1≤i ≤10) 層, 由輸入部分、特征提取部分和分類部分組成,網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示.

(1) 輸入部分. 輸入部分包括輸入層和初始卷積層. 因?yàn)橛?xùn)練面向16 比特的字結(jié)構(gòu), 輸入層的輸入數(shù)據(jù)格式為16i×1 (i為正整數(shù), 可根據(jù)輸入信息的長(zhǎng)度來(lái)調(diào)整). 之后將輸入數(shù)據(jù)整形(Reshape)為i×16 的格式, 并連接到初始卷積層, 即位片層. 該層由一個(gè)內(nèi)核大小(kernel size) 為1 的1D-CNN (一維卷積神經(jīng)網(wǎng)絡(luò)), 一個(gè)批量歸一化(batch normalization) 和一個(gè)ReLU (線性整流單元) 激活函數(shù)組成. 其中1D-CNN 包括32 個(gè)濾波器, 初始卷積層的輸出為32×16 的矩陣, 這也是之后殘差層所需的輸入數(shù)據(jù)格式. 具體結(jié)構(gòu)如圖1(a) 所示.

(2) 特征提取部分. 輸入數(shù)據(jù)已經(jīng)整理好以后, 神經(jīng)網(wǎng)絡(luò)就要從中提取數(shù)據(jù)特征, 特征提取主要由殘差網(wǎng)絡(luò)來(lái)實(shí)現(xiàn). 殘差網(wǎng)絡(luò)(residual network), 簡(jiǎn)稱Resnet, 由一個(gè)或多個(gè)殘差塊組成. 此處使用的殘差塊包括兩層卷積網(wǎng)絡(luò)和一個(gè)連接輸入輸出的旁路(shortcut). 旁路的出現(xiàn)實(shí)際上是使用一般意義上的有參層來(lái)直接學(xué)習(xí)殘差, 這比直接學(xué)習(xí)輸入、輸出間映射要容易得多, 也有效得多. 其中卷積層采用的是內(nèi)核大小為3 的1D-CNN, 同時(shí)后面連接一個(gè)批量歸一化和一個(gè)ReLU 激活函數(shù). 該部分最終將得到一個(gè)32×16 的特征張量, 這一部分的殘差塊個(gè)數(shù)可取1 到10, 一個(gè)殘差塊的具體結(jié)構(gòu)如圖1(b) 所示.

圖1 經(jīng)網(wǎng)絡(luò)差神分區(qū)分器模型Figure 1 Neural network differential partition divider model

(3) 分類部分. 分類部分包括兩層全連接網(wǎng)絡(luò)和一個(gè)輸出單元, 這三者都屬于感知機(jī)結(jié)構(gòu). 感知機(jī)是神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)模型, 用于線性二分類, 其輸入是分類對(duì)象的特征向量, 輸出則是輸入的加權(quán)和. 對(duì)第二部分提取出來(lái)的數(shù)據(jù)特征, 要進(jìn)行分類. 特征提取得到的數(shù)據(jù)格式為32×16 的矩陣,Reshape 為512×1 的向量輸入到第一層全連接網(wǎng)絡(luò)(512 to 64), 得到64×1 的向量, 再輸入到第二層全連接網(wǎng)絡(luò)(64 to 64), 得到64×1 的向量. 每層全連接層都要經(jīng)過(guò)批量歸一化和ReLU激活函數(shù). 最后得到的64×1 的向量被一個(gè)輸入為64, 輸出為1 的感知器接收并進(jìn)行評(píng)估. 該感知機(jī)的輸出經(jīng)過(guò)激活函數(shù)—Sigmoid 函數(shù), 得到最后的分?jǐn)?shù), 該分?jǐn)?shù)位于(0,1) 區(qū)間, 把分?jǐn)?shù)大于0.5 的對(duì)象判為真實(shí)密文對(duì), 小于等于0.5 則判為隨機(jī)數(shù)據(jù). 具體結(jié)構(gòu)如圖1(c) 所示.

2.2 數(shù)據(jù)生成

神經(jīng)網(wǎng)絡(luò)模型的產(chǎn)生需要訓(xùn)練數(shù)據(jù)和驗(yàn)證數(shù)據(jù), 這兩類數(shù)據(jù)都是由隨機(jī)數(shù)生成器產(chǎn)生的, 其中驗(yàn)證數(shù)據(jù)是用來(lái)防止訓(xùn)練過(guò)擬合. 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器和傳統(tǒng)差分區(qū)分器一樣, 要先確定輸入差分, 再得到完整的區(qū)分器. 神經(jīng)網(wǎng)絡(luò)區(qū)分器所需要的數(shù)據(jù)是給定輸入差分的密文對(duì)和隨機(jī)密文對(duì)以及對(duì)應(yīng)的標(biāo)簽, 這樣做的目的是讓神經(jīng)網(wǎng)絡(luò)區(qū)分器對(duì)這兩類密文進(jìn)行區(qū)分, 達(dá)到差分區(qū)分器的效果.

數(shù)據(jù)生成過(guò)程中, 首先, 生成n個(gè)隨機(jī)明文對(duì)Pi和初始密鑰Ki以及對(duì)應(yīng)的標(biāo)Yi(Yi= 1 或0); 其次, 對(duì)于Yi= 1 的數(shù)據(jù), 明文對(duì)的差分為固定差分Δ. 對(duì)于Yi= 0 的數(shù)據(jù), 明文對(duì)的差分隨機(jī); 然后, 用Ki對(duì)所有的明文對(duì)進(jìn)行加密, 得到密文對(duì)Ci和對(duì)應(yīng)的標(biāo)簽Yi; 最后, 對(duì)Ci進(jìn)行一些不同的操作并二進(jìn)制化得到最后的Xi和Yi作為輸入數(shù)據(jù).

3 基于不同線性部件的兩類ARX 密碼神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的構(gòu)造

2.1 節(jié)介紹的神經(jīng)網(wǎng)絡(luò)模型最開(kāi)始應(yīng)用于SPECK 密碼, 而對(duì)其他密碼的攻擊效果目前還有待研究.考慮到Speckey 和LAX 這兩類密碼的線性運(yùn)算具有極大相似性, 并且缺乏對(duì)其相關(guān)的分析結(jié)果, 我們選擇對(duì)Speckey 和LAX 密碼進(jìn)行神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的訓(xùn)練. 本文所用到的符號(hào)解釋見(jiàn)表1.

表1 符號(hào)說(shuō)明Table 1 Symbol description

3.1 Speckey 和LAX 簡(jiǎn)介

Speckey 密碼[18]是Alex 等人在2016 年提出的一類ARX 密碼, 它相當(dāng)于SPECK 密碼算法的一個(gè)變體. 更準(zhǔn)確地說(shuō), Speckey 是改變了子密鑰異或運(yùn)算過(guò)程的SPECK32, 分組大小為32 bit. 其一輪加密包括循環(huán)移位、按位異或運(yùn)算和模加運(yùn)算等三類運(yùn)算. 設(shè)第i輪的輸入為(Li-1,Ri-1), 輪密鑰為Ki-1的Speckey 密碼的一輪加密過(guò)程如圖2 所示.

圖2 Speckey 輪函數(shù)Figure 2 Speckey round function

LAX 密碼[19]則是Dinu 等人在研究可證明安全性的ARX 設(shè)計(jì)策略時(shí)提出的, 它是一類只使用模2加法和GF(2) 仿射函數(shù)的密碼, 是一種具有2n比特分組大小的分組密碼結(jié)構(gòu), 實(shí)驗(yàn)采用的是分組大小為32 bit 的密碼LAX32. 事實(shí)上, LAX 是根據(jù)Speckey 的結(jié)構(gòu)來(lái)設(shè)計(jì)的, 它將Speckey 的所有線性運(yùn)算替換為更一般的線性置換. 因此, 兩者唯一的區(qū)別在于線性部件不同. LAX 第i輪的輪函數(shù)如圖3 所示, 其中仿射變換是n比特的向量與n×n的矩陣L相乘, 可表示為:L(x)=L·x.

圖3 LAX 輪函數(shù)Figure 3 LAX round function

3.2 構(gòu)造Speckey 和LAX32 神經(jīng)區(qū)分器

尚未有公開(kāi)文獻(xiàn)對(duì)Speckey 和LAX32 進(jìn)行基于神經(jīng)網(wǎng)絡(luò)的差分分析, 我們訓(xùn)練了這兩種密碼的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器并測(cè)試其區(qū)分真實(shí)密文對(duì)和隨機(jī)數(shù)據(jù)的準(zhǔn)確率. 選擇這兩種密碼的主要原因是這兩個(gè)密碼在運(yùn)算部件上的區(qū)別僅存在于線性運(yùn)算. 除了線性運(yùn)算部件, 它們的輪密鑰加運(yùn)算是相同的, 非線性運(yùn)算也都是發(fā)生在輪密鑰加之后的模216加運(yùn)算. 這樣, 通過(guò)對(duì)比兩者的訓(xùn)練結(jié)果, 可以推出密碼的線性運(yùn)算部件對(duì)抵抗神經(jīng)網(wǎng)絡(luò)差分分析的影響. 同時(shí), 我們?cè)O(shè)計(jì)了一個(gè)簡(jiǎn)單的實(shí)驗(yàn)來(lái)對(duì)比神經(jīng)網(wǎng)絡(luò)差分區(qū)分器和傳統(tǒng)差分區(qū)分器在區(qū)分Speckey 和LAX32 時(shí)的不同表現(xiàn).

3.2.1 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的構(gòu)造

選擇輸入差分為Δ = 0x0040/0000, 加密生成107bit 的訓(xùn)練數(shù)據(jù)集和106bit 的驗(yàn)證數(shù)據(jù)集以及106bit 的測(cè)試數(shù)據(jù)集. 此外, 神經(jīng)網(wǎng)絡(luò)模型的參數(shù)選擇如表2 所示.

表2 模型參數(shù)Table 2 Model parameter

對(duì)于Speckey 密碼, 訓(xùn)練了其5—8 輪的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器. 對(duì)于LAX32, 訓(xùn)練了其3—5 輪的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器. 若輸入數(shù)據(jù)經(jīng)過(guò)神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的輸出大于0.5, 則將輸入數(shù)據(jù)判斷為真實(shí)密文對(duì),否則判斷為隨機(jī)數(shù)據(jù). 用107bit 的訓(xùn)練數(shù)據(jù)集和106bit 的驗(yàn)證數(shù)據(jù)集來(lái)進(jìn)行訓(xùn)練, 所有數(shù)據(jù)遍歷一次稱為一個(gè)epoch, 共進(jìn)行100 個(gè)epoch 的訓(xùn)練, 記錄下每一個(gè)epoch 的準(zhǔn)確率和損失函數(shù)值. 其中訓(xùn)練5 輪Speckey 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率和損失函數(shù)隨epoch 變化分別如圖4 和圖5 所示, 訓(xùn)練3 輪LAX32 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率和損失函數(shù)隨epoch 變化分別如圖6 和圖7 所示.

圖4 準(zhǔn)確率變化(5 輪Speckey)Figure 4 Change of accuracy (5 rounds Speckey)

圖5 損失函數(shù)變化(5 輪Speckey)Figure 5 Change of loss function value(5 rounds Speckey)

圖6 準(zhǔn)確率變化(3 輪LAX32)Figure 6 Change of accuracy (3 rounds LAX32)

圖7 損失函數(shù)變化(3 輪LAX32)Figure 7 Change of loss function value (3 rounds LAX32)

以上是對(duì)訓(xùn)練過(guò)程的一個(gè)描述和記錄, 對(duì)于訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器, 則用106bit 的測(cè)試數(shù)據(jù)集來(lái)測(cè)試其準(zhǔn)確率. Speckey 和LAX32 的測(cè)試結(jié)果如表3 所示.

表3 Speckey 和LAX32 的測(cè)試準(zhǔn)確率Table 3 Test accuracy of Speckey and LAX32

3.2.2 基于實(shí)驗(yàn)的傳統(tǒng)差分區(qū)分器的構(gòu)造

為了對(duì)比神經(jīng)網(wǎng)絡(luò)差分區(qū)分器和傳統(tǒng)差分區(qū)分器的區(qū)分效果, 我們針對(duì)5 輪Speckey 和3 輪LAX32設(shè)計(jì)了簡(jiǎn)單的對(duì)比實(shí)驗(yàn), 構(gòu)造了5 輪Speckey 和3 輪LAX32 基于實(shí)驗(yàn)的傳統(tǒng)差分區(qū)分器. 主要分為以下兩個(gè)步驟:

(1) 搜索高概率差分. 由于傳統(tǒng)差分區(qū)分器的構(gòu)造大多是理論上的, 并且其區(qū)分效果的評(píng)估指標(biāo)是差分概率, 無(wú)法與神經(jīng)網(wǎng)絡(luò)區(qū)分器的測(cè)試準(zhǔn)確率進(jìn)行橫向?qū)Ρ? 因此, 我們通過(guò)實(shí)際實(shí)驗(yàn)來(lái)選取高概率的差分. 選擇輸入差分為Δ = 0x0040/0000 的n個(gè)明文對(duì)P1,P2,··· ,Pn, 加密r輪(對(duì)Speckey 加密5 輪, 對(duì)LAX32 加密3 輪) 得到密文對(duì)C1,C2,··· ,Cn, 再獲得密文對(duì)的截?cái)嗖罘种?分別獲取左半部分密文分組和右半部分密文分組的差分)ΔC1,ΔC2,··· ,ΔCn, 分別保存其中出現(xiàn)次數(shù)最多的100 個(gè)輸出差分. 最后將上述過(guò)程迭代t次, 再?gòu)乃斜４娴牟罘种羞x擇頻率最高的100 個(gè)差分作為該傳統(tǒng)區(qū)分器的輸出差分, 這是借鑒了多重差分分析[21]和截?cái)嗖罘諿22]的思想.

(2) 測(cè)試傳統(tǒng)差分區(qū)分器的區(qū)分準(zhǔn)確率. 以輸入差分Δ = 0x0040/0000 生成帶標(biāo)簽的測(cè)試數(shù)據(jù), 將傳統(tǒng)差分區(qū)分器的判定結(jié)果與標(biāo)簽進(jìn)行對(duì)比得到測(cè)試準(zhǔn)確率. 其中5 輪Speckey 和3 輪LAX32測(cè)試的都是由左半部分密文差分作為輸出的截?cái)嗖罘謪^(qū)分器, 因?yàn)樗阉鞯贸鲎蟀氩糠置芪牟罘殖霈F(xiàn)的最高頻次大于右半部分密文差分出現(xiàn)的最高頻次.

當(dāng)選擇n= 107,t= 5 以及測(cè)試數(shù)據(jù)量為106bit 時(shí), 基于實(shí)驗(yàn)的傳統(tǒng)差分區(qū)分器測(cè)試結(jié)果和相應(yīng)的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的對(duì)比結(jié)果如表4 所示. 值得一提的是, 每一次迭代得到的100 個(gè)差分重復(fù)率極高,頻次最高的差分一直不變, 并且出現(xiàn)次數(shù)明顯高于頻次第二高的差分. 也就是說(shuō), 最后保存的100 個(gè)差分至少包含一個(gè)最高概率差分和其他多個(gè)較高概率差分.

表4 Speckey 和LAX32 的傳統(tǒng)區(qū)分器和神經(jīng)網(wǎng)絡(luò)區(qū)分器對(duì)比Table 4 Comparison of conventional and neural network discriminators with Speckey and LAX32

3.3 實(shí)驗(yàn)結(jié)果分析

首先, 從神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率可以看到, 對(duì)于5—7 輪Speckey 和3—4 輪LAX32, 其區(qū)分器的準(zhǔn)確率都明顯高于0.5. 也就是說(shuō), 相應(yīng)區(qū)分器都是有區(qū)分效果的, 并且區(qū)分效果是非常顯著的, 5 輪Speckey 密碼的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器準(zhǔn)確率甚至達(dá)到了0.95. 因而, 神經(jīng)網(wǎng)絡(luò)模型在訓(xùn)練過(guò)程中可以成功提取這兩種密碼的密文數(shù)據(jù)特征并實(shí)現(xiàn)正確分類. 而對(duì)于8 輪Speckey 和5 輪LAX32, 其神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率都低于0.5, 按照本文的定義是不具備區(qū)分效果的.

其次, 從表3 的結(jié)果可以看到, Speckey 的有效的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器最多可達(dá)8 輪, 而且LAX32 最多可達(dá)5 輪. 當(dāng)兩類密碼的輪數(shù)相同時(shí), 即對(duì)于5 輪神經(jīng)網(wǎng)絡(luò)區(qū)分器, Speckey 的區(qū)分準(zhǔn)確率明顯高于LAX32. 可見(jiàn), 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器對(duì)Speckey 的區(qū)分效果明顯高于LAX32. 這兩類密碼的分組大小都是32 bit, 加密中的唯一非線性運(yùn)算都是模216加運(yùn)算, 輪密鑰加的位置也相同, 最大的不同就是線性運(yùn)算部件. 結(jié)合實(shí)驗(yàn)結(jié)果, 可以看出輪數(shù)較低時(shí), 在抵抗基于神經(jīng)網(wǎng)絡(luò)的差分攻擊方面, 一般的線性仿射要比循環(huán)移位效果更好. 這是因?yàn)樵诩用苓^(guò)程中線性仿射的擴(kuò)散效果要更好一些, 而這一點(diǎn)在傳統(tǒng)差分分析中也有相同的表現(xiàn)[18,19].

文獻(xiàn)[18]和文獻(xiàn)[19]給出了Speckey 和LAX32 的最佳減輪差分搜索結(jié)果,此處列舉3—5 輪Speckey和LAX32 的自動(dòng)搜索結(jié)果并與3.2 節(jié)測(cè)試結(jié)果進(jìn)行對(duì)比分析, 具體數(shù)據(jù)如表5 所示.

表5 3—5 輪Speckey 和LAX32 的自動(dòng)搜索結(jié)果和測(cè)試準(zhǔn)確率對(duì)比Table 5 Comparison between 3–5 round Speckey and LAX32 automatic search results and test accuracy

在輪數(shù)為5 時(shí), Speckey 的最佳差分概率為2-9, 而LAX32 的最佳差分概率為2-11. 此外, 我們發(fā)現(xiàn)4 輪LAX32 的最佳差分概率和5 輪Speckey 的最佳差分概率是相同的, 都是2-9. 但5 輪Speckey的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器準(zhǔn)確率大約為4 輪LAX32 的準(zhǔn)確率的2 倍. 由此說(shuō)明, 擴(kuò)散效果對(duì)神經(jīng)網(wǎng)絡(luò)差分區(qū)分器準(zhǔn)確率的影響比傳統(tǒng)差分概率要更明顯, 但擴(kuò)散效果越好, 安全性越高這一整體趨勢(shì)是相同的. 設(shè)計(jì)者在設(shè)計(jì)密碼時(shí), 需要針對(duì)現(xiàn)有的各種攻擊進(jìn)行安全性分析. 當(dāng)進(jìn)行對(duì)基于深度學(xué)習(xí)的差分攻擊的安全性分析時(shí), 本文的實(shí)驗(yàn)結(jié)果對(duì)線性部件的設(shè)計(jì)可提供參考價(jià)值.

另外, 表4 的結(jié)果展示的是在利用相同的數(shù)據(jù)量時(shí)傳統(tǒng)區(qū)分器和神經(jīng)網(wǎng)絡(luò)區(qū)分器的簡(jiǎn)單對(duì)比. 由于神經(jīng)網(wǎng)絡(luò)區(qū)分器所能利用的信息更多, 而我們構(gòu)造的基于實(shí)驗(yàn)的傳統(tǒng)差分區(qū)分器只能利用差分信息, 所以神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率更高. 這一結(jié)果是不難理解的, 而這也正是神經(jīng)網(wǎng)絡(luò)區(qū)分器的優(yōu)勢(shì)所在, 可以從密文數(shù)據(jù)中學(xué)習(xí)到除差分以外的其他信息來(lái)提升區(qū)分效果. 傳統(tǒng)差分區(qū)分器想要達(dá)到類似的區(qū)分準(zhǔn)確率則要收集大量的差分信息并存儲(chǔ)為一個(gè)差分分布表, 比如文獻(xiàn)[14] 給出的Speck32/64 的最佳差分分布表的存儲(chǔ)需要35 GB 的讀寫(xiě)空間, 而一個(gè)神經(jīng)網(wǎng)絡(luò)的權(quán)重文件大約為600 KB.

4 基于不同輸入信息的神經(jīng)區(qū)分器對(duì)SIMON32/64 的分析

經(jīng)過(guò)對(duì)Speckey 密碼和LAX 密碼的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的構(gòu)造, 我們繼續(xù)利用神經(jīng)網(wǎng)絡(luò)模型對(duì)SIMON 密碼進(jìn)行分析. 在分析過(guò)程中, 我們結(jié)合文獻(xiàn)[17] 的工作和SIMON 密碼算法的輪函數(shù)發(fā)現(xiàn): 可以通過(guò)改變輸入數(shù)據(jù)的格式來(lái)改變傳遞給神經(jīng)網(wǎng)絡(luò)的有關(guān)密文數(shù)據(jù)的信息量, 以此探究輸入數(shù)據(jù)包含的信息量對(duì)神經(jīng)網(wǎng)絡(luò)區(qū)分器準(zhǔn)確率的影響. 此外, 我們?cè)诖嘶A(chǔ)上對(duì)11 輪SIMON 密碼進(jìn)行最后一輪子密鑰恢復(fù)攻擊, 得到1000 次攻擊的成功率.

4.1 SIMON 密碼算法簡(jiǎn)介

SIMON 密碼[15]是一類輕量級(jí)分組密碼, 在2013 年由美國(guó)國(guó)家安全局提出, 在發(fā)布之后受到廣泛關(guān)注和分析. SIMON 密碼是典型的Feistel 結(jié)構(gòu), 一輪加密包括循環(huán)移位、按位異或運(yùn)算和按位與運(yùn)算等三類運(yùn)算. 因此, 它也屬于廣義的ARX 結(jié)構(gòu). SIMON 密碼族作為一類分組密碼, 其分組大小可表示為2n,單位是比特,n的值可以為16、24、32、48 和64, 對(duì)應(yīng)的密鑰長(zhǎng)度為mn比特. 因此, 一個(gè)分組大小為2n, 密鑰長(zhǎng)度為mn的SIMON 密碼可用SIMON2n/mn來(lái)表示. 設(shè)第i輪的輸入為(Li-1,Ri-1), 輪密鑰為Ki-1的SIMON 密碼的一輪加密過(guò)程如圖8 所示.

圖8 SIMON 密碼輪函數(shù)Figure 8 Round function of SIMON

4.2 輸入信息量對(duì)神經(jīng)區(qū)分器準(zhǔn)確率的影響

在密碼分析中, 差分攻擊是分析分組密碼最有效的方法之一. 本實(shí)驗(yàn)基于傳統(tǒng)差分分析方法, 分別構(gòu)造了SIMON32/64 的7—10 輪的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器并測(cè)試其準(zhǔn)確率. 訓(xùn)練該區(qū)分器采用的輸入差分為Δ= (0x0000/0040), 該差分可以確定性地傳遞到第二輪輸入差分0x0040/0000[23]. 由此生成的訓(xùn)練數(shù)據(jù)量為107bit, 驗(yàn)證和測(cè)試數(shù)據(jù)量為106bit. 此外, 模型的參數(shù)選擇為: 訓(xùn)練期數(shù)(Epochs) 為100, 批次(Batch Size) 為5000, 優(yōu)化算法(Optimizer) 選擇了Adam 算法, 損失函數(shù)(Loss Function) 為MSE. 訓(xùn)練過(guò)程與3.2 節(jié)類似, 測(cè)試結(jié)果如表6 所示.

表6 SIMON32/64 的測(cè)試結(jié)果Table 6 Test result of SIMON32/64

上述實(shí)驗(yàn)中的輸入數(shù)據(jù)為密文對(duì)的實(shí)際值, 若用C0,C1表示密文對(duì), 用C0l,C0r,C1l,C1r分別表示C0,C1的左半部分和右半部分. 輸入數(shù)據(jù)可表示為(C0l,C0r,C1l,C1r), 長(zhǎng)度為16× 4. 這一輸入是文獻(xiàn)[14] 采用的, 而文獻(xiàn)[17] 中采用了另一種輸入, 并在SIMON32/64 的區(qū)分器上達(dá)到了更好的效果. 因此, 我們想進(jìn)一步研究并系統(tǒng)分析輸入信息量對(duì)神經(jīng)網(wǎng)絡(luò)區(qū)分器的影響, 于是采用四種信息量不同的輸入數(shù)據(jù)對(duì)SIMON32/64 的7 到10 輪差分區(qū)分器進(jìn)行訓(xùn)練. 四類數(shù)據(jù)分別為(C0l ⊕C1l,C0r ⊕C1r),(C0l,C0r,C1l,C1r),(C0l ⊕C1l,C0r ⊕C1r,t0⊕t1) 和(C0l,C0r,C1l,C1r,t0⊕t1), 其中t0和t1可由式(1)和(2)表示.

根據(jù)SIMON 的輪函數(shù), 可以看到t0和t1包含了倒數(shù)第二輪的除密鑰以外的信息.

4.3 部分密鑰恢復(fù)攻擊

在4.2 節(jié)的實(shí)驗(yàn)基礎(chǔ)上, 進(jìn)一步對(duì)11 輪SIMON32/64 進(jìn)行部分密鑰恢復(fù)攻擊. 由于第一個(gè)子密鑰異或發(fā)生在SIMON 首次進(jìn)行非線性運(yùn)算之后, 進(jìn)行選擇明文攻擊的攻擊者可以很容易地使他們選擇的明文差分出現(xiàn)在第一輪SIMON 的輸出中. 因此, 在進(jìn)行密鑰恢復(fù)攻擊的時(shí)候, 可以很容易地把所有區(qū)分器再擴(kuò)展一輪. 本文對(duì)11 輪SIMON 的最后一輪子密鑰攻擊過(guò)程如下:

(4) 保存高分密鑰. 將所有的密鑰值k按照其分?jǐn)?shù)Vk進(jìn)行降序排列, 留下分?jǐn)?shù)最高的密鑰值kmax作為候選正確密鑰.

(5) 測(cè)試成功率. 將以上攻擊過(guò)程實(shí)施1000 次, 若保存的候選密鑰等于正確密鑰則判為一次成功的攻擊. 對(duì)于不同的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器, 測(cè)試其成功率.

4.4 實(shí)驗(yàn)結(jié)果及分析

4.4.1 輸入信息量不同的神經(jīng)網(wǎng)絡(luò)區(qū)分器測(cè)試結(jié)果及分析

4.2 節(jié)采用的分析方法屬于選擇明文攻擊, 而這四種數(shù)據(jù)包括了該類攻擊中神經(jīng)網(wǎng)絡(luò)能利用信息的所有具備代表性的組合. 將輸入數(shù)據(jù)類型不同的神經(jīng)網(wǎng)絡(luò)區(qū)分器依次表示為Na, Nb, Nc, Nd. 4.2 節(jié)的測(cè)試結(jié)果如圖9 所示.

圖9 不同輸入數(shù)據(jù)格式下SIMON32/64 的準(zhǔn)確率測(cè)試結(jié)果Figure 9 Test results of accuracy for SIMON32/64 under different input data format

從圖9 可以看到, 四種神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率隨著輸入數(shù)據(jù)的改變而發(fā)生變化. 這四種輸入數(shù)據(jù)包含的神經(jīng)網(wǎng)絡(luò)所能利用的密碼先驗(yàn)知識(shí)是不同的. (C0l ⊕C1l,C0r ⊕C1r) 只包含選擇密文對(duì)的差分值信息, (C0l,C0r,C1l,C1r) 包含密文對(duì)的差分值和實(shí)際值, (C0l ⊕C1l,C0r ⊕C1r,t0⊕t1) 包含密文對(duì)的差分值和倒數(shù)第二輪的部分差分信息, (C0l,C0r,C1l,C1r,t0⊕t1) 則包含密文對(duì)的差分值和實(shí)際值以及倒數(shù)第二輪的部分差分信息. 可見(jiàn), 輸入數(shù)據(jù)的信息量是遞增的. 根據(jù)實(shí)驗(yàn)結(jié)果, 當(dāng)可利用的信息量越多, 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器Na, Nb, Nc 的準(zhǔn)確率是遞增的, 但Nd 的準(zhǔn)確率卻沒(méi)有比Nc 的準(zhǔn)確率更高. 前三個(gè)區(qū)分器的準(zhǔn)確率的遞增很好理解, 輸入數(shù)據(jù)的信息含量越多, 神經(jīng)網(wǎng)絡(luò)能學(xué)習(xí)到關(guān)于密碼的知識(shí)更多, 對(duì)真實(shí)密文對(duì)和隨機(jī)數(shù)據(jù)的區(qū)分能力就更強(qiáng). 這也再一次印證了Ghor 在文獻(xiàn)[14] 中對(duì)神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的準(zhǔn)確率比傳統(tǒng)差分區(qū)分器高的原因解釋, 神經(jīng)網(wǎng)絡(luò)能從密文對(duì)中學(xué)到除了差分信息以外的密碼知識(shí).但對(duì)于最后一類輸入數(shù)據(jù)格式, 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器準(zhǔn)確率并沒(méi)有繼續(xù)升高, 我們推測(cè)原因是最后一類輸入數(shù)據(jù)提供的數(shù)據(jù)特征太多, 該神經(jīng)網(wǎng)絡(luò)在這樣一個(gè)結(jié)構(gòu)下無(wú)法很好地整合這些特征. 這一點(diǎn)可以理解為:該神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)在接受過(guò)多的數(shù)據(jù)信息后, 判斷密文對(duì)是真實(shí)或隨機(jī)的限制條件過(guò)多, 導(dǎo)致神經(jīng)網(wǎng)絡(luò)對(duì)所有輸入數(shù)據(jù)的評(píng)分偏低, 出現(xiàn)一定的分類誤差. 因此, 在神經(jīng)網(wǎng)絡(luò)模型的超參數(shù)確定的情況下, 研究合適的輸入數(shù)據(jù)格式對(duì)于得到區(qū)分效果較好的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器是十分有必要的.

在利用本文最好的輸入數(shù)據(jù)格式, 即(C0l,C0r,C1l,C1r,t0⊕t1) 時(shí), 本文和文獻(xiàn)[14]、文獻(xiàn)[17] 的對(duì)比結(jié)果如表7 所示.

表7 SIMON32/64 最佳分析結(jié)果對(duì)比Table 7 Comparison of best analysis results for SIMON32/64

從表7 可以看到: 對(duì)于SIMON32/64, 應(yīng)用文獻(xiàn)[14] 的方法訓(xùn)練的7—10 輪差分區(qū)分器的測(cè)試準(zhǔn)確率均比本文的最佳測(cè)試結(jié)果低, 其中8 輪區(qū)分器的準(zhǔn)確率相差5%. 同時(shí), 應(yīng)用文獻(xiàn)[14] 訓(xùn)練的10輪SIMON32/64 的測(cè)試準(zhǔn)確率是0.5, 該準(zhǔn)確率對(duì)于二分類問(wèn)題是無(wú)效的, 所以應(yīng)用文獻(xiàn)[14] 訓(xùn)練的SIMON32/64 有效區(qū)分器最高可達(dá)9 輪, 而本文訓(xùn)練的有效區(qū)分器可達(dá)10 輪. 文獻(xiàn)[17] 應(yīng)用Ghor 的模型[14]訓(xùn)練了SIMON32/64 的8 輪差分區(qū)分器并得到了0.834 的準(zhǔn)確率, 但只給出了一個(gè)測(cè)試結(jié)果, 沒(méi)有進(jìn)行深入的研究, 缺少對(duì)比文獻(xiàn)[14] 準(zhǔn)確率高的原因分析, 也沒(méi)有給出SIMON32/64 有效區(qū)分器的輪數(shù)上限. 而我們訓(xùn)練了7—10 輪的SIMON32/64 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器, 其中8 輪的結(jié)果與文獻(xiàn)[17] 的結(jié)果相當(dāng), 準(zhǔn)確率為0.837. 同時(shí), 分析了相對(duì)文獻(xiàn)[14] 準(zhǔn)確率提高的原因, 還給出了通過(guò)本文方法所訓(xùn)練的有效的SIMON32/64 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器的最高輪數(shù), 即10 輪.

4.4.2 部分密鑰恢復(fù)的結(jié)果展示及分析

4.3 節(jié)的攻擊采用的神經(jīng)網(wǎng)絡(luò)區(qū)分器包括Na, Nb, Nc, Nd, 也就是對(duì)于不同的輸入數(shù)據(jù)格式都進(jìn)行了部分密鑰恢復(fù)實(shí)驗(yàn). 在此設(shè)置下, 選取不同的明文對(duì)數(shù)所得到的攻擊成功率如表8 所示. 當(dāng)明文對(duì)數(shù)為n,數(shù)據(jù)量為2n. 由于9 輪Na 的準(zhǔn)確率接近0.5, 不適合用來(lái)進(jìn)行11 輪的密鑰恢復(fù)攻擊(實(shí)際攻擊結(jié)果顯示其對(duì)所有猜測(cè)密鑰的評(píng)分都相同, 不具備區(qū)分能力), 其攻擊成功率在數(shù)據(jù)量為29bit 時(shí)等于0, 所以其攻擊結(jié)果不予展示. 而Nb 在數(shù)據(jù)量為29bit 時(shí)的攻擊成功率接近0.1, 為了更好地比較Nb 和其他兩類區(qū)分器在相同數(shù)據(jù)量下的攻擊效果, 此處只展示利用Nb 的攻擊中正確子密鑰的分?jǐn)?shù)在所有猜測(cè)子密鑰分?jǐn)?shù)中的平均排序, 我們把這個(gè)值稱為krank. 在一次攻擊中, 若krank為0, 則該次攻擊是成功的,krank越大, 表示誤判的子密鑰數(shù)越多.

表8 不同區(qū)分器下的對(duì)SIMON32/64 攻擊結(jié)果Table 8 Attack results of SIMON32/64 under different discriminators

在每一種輸入格式下, 我們嘗試了不同數(shù)據(jù)復(fù)雜度下的攻擊. 從表8 可以看到: 最好的結(jié)果是在選擇明密文對(duì)數(shù)為28, 即數(shù)據(jù)量為29時(shí), 使用Nd 對(duì)11 輪SIMON32/64 的最后一輪子密鑰進(jìn)行1000 次攻擊, 成功率可達(dá)95.6%. 可見(jiàn), 神經(jīng)網(wǎng)絡(luò)差分區(qū)分器在差分分析中表現(xiàn)不錯(cuò), 有較好的區(qū)分能力, 并且不需要存儲(chǔ)差分分布表, 空間復(fù)雜度降低.

5 結(jié)束語(yǔ)

我們基于深度學(xué)習(xí)在分組密碼差分分析方面進(jìn)行研究. 首先, 構(gòu)造了Speckey 和LAX32 兩類密碼的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器, 并取得有效的結(jié)果. 我們訓(xùn)練了5—7 輪Speckey 和3—5 輪LAX32 的有效的神經(jīng)網(wǎng)絡(luò)差分區(qū)分器. 如果把測(cè)試準(zhǔn)確率在0.5 以上的區(qū)分器視為有效的區(qū)分器, Speckey 的有效區(qū)分器可達(dá)到7 輪, 且準(zhǔn)確率為0.69. LAX32 的有效區(qū)分器可達(dá)到4 輪, 且準(zhǔn)確率為0.55. 在經(jīng)過(guò)以上研究之后, 繼續(xù)對(duì)SIMON 密碼進(jìn)行分析, 在分析過(guò)程中發(fā)現(xiàn)改變神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)形式會(huì)影響其差分區(qū)分器的準(zhǔn)確率. 當(dāng)輸入數(shù)據(jù)所含信息量不同時(shí), 區(qū)分器的最高準(zhǔn)確率和最低準(zhǔn)確率相差18%. 在構(gòu)造完神經(jīng)網(wǎng)絡(luò)差分區(qū)分器后, 我們進(jìn)一步對(duì)11 輪SIMON32/64 密碼進(jìn)行最后一輪子密鑰恢復(fù)攻擊, 在選擇明密文對(duì)數(shù)為n=28時(shí), 1000 次攻擊中捕捉到正確密鑰的成功率為95.6%.