基于轻量级流密码Sprout,Fruit v2、Fruit-80、Fruit-128和Fruit-F等Fruit族小状态流密码自2016年相继被提出.Fruit族密码与Sprout结构相比,最大的区别在于Fruit族密码中非线性反馈移位寄存器与线性反馈移位寄存器的内部状态没有参与轮密钥函数状态更新,这使得对Fruit族密码的密钥恢复攻击相比于Sprout更加困难.借鉴Maitra等学者对Sprout的差分错误攻击方法和Banik等学者对Grain的差分错误攻击方法,在一个相对宽松的错误模型下,对Fruit v2和Fruit-80进行了差分错误攻击.攻击中,在攻击者能够多次注入时间同步的单比特错误的假设下,首先精确识别了错误注入的位置;随后通过求解利用输出函数的一阶差分性质得到的线性方程组,完整恢复了Fruit v2与Fruit-80的整个内部状态,恢复内部状态所需的时间复杂度为216.3(线性反馈移位寄存器)和26.3(非线性反馈移位寄存器).进一步地借助Cryptominisat-2.9.5 SAT解算器,只需要大约10 min即可求解所有密钥,整个故障攻击所需错误个数为27.3.精确识别错误位置的复杂度分别为26.3(Fruit v2)和27.3(Fruit-80).

侧信道攻击;错误攻击;差分错误攻击;流密码;小状态流密码

西安电子科技大学综合业务网理论及关键技术国家重点实验室,陕西西安710071

[1]乔青蓝;董丽华-.针对Fruit v2和Fruit-80的差分错误攻击)[J].西安电子科技大学学报（自然科学版）,2022(01):121-133

差分错误攻击,错误攻击,Sprout,小状态流密码,非线性反馈移位寄存器,Maitra,Banik,Cryptominisat

Fruit,v2,轻量级,内部状态,状态更新,密钥恢复,攻击方法,Grain,宽松,击中,攻击者,时间同步,单比特,设下,精确识别,误注,一阶差分,线性方程组,时间复杂度,SAT,算器,可求,故障攻击,侧信道攻击

0.164394