混沌密码系统的分析与改进

数字混沌密码：设计与分析——兼及图象/视频加密与数字水印西安交通大学图象所:李树钧2001年10月于深圳大学信息工程学院2001年10月西安交通大学图象处理与识别研究所混沌密码学领域交叉示意图混沌理论现代密码学混沌保密通信(以模拟系统为主)混沌密码(以数字系统为主)通信理论(狭义)混沌通信系统(混沌调制、混沌键控、混沌扩频。。。)通用混沌保密系统数字水印与信息隐藏混沌数字水印图象/视频加密混沌图象加密2001年10月西安交通大学图象处理与识别研究所混沌密码学英文文献分布混沌理论现代密码学通信理论（狭义）IEEETrans.Communications/IT/CAS/SP/ComputerIEEEJ.SAC,IEEEProceedingsIEEProceedingsandElectronicsLettersTrans.IEICE(Japan)IEEEInt.Conf.Com./CAS/SP/IT,etc.ACMConf.Com./Multimedia,etc.Int.J.BifurcationandChaosPhysicalReview(EandLetters)PhysicsLetters(A)Physica(D)ChaosChaos,SolitonsandFractalsIEEETrans.CAS-IInt.Conf.SeriesonCryptology-Crypt'xx,EuroCrypt'xx,AsiaCrypt'xx,AusCrypt'xx,IndoCrypt'xx,ChinaCrypt'xx,IMAC&C'xx,ICICS'xx,FSE'xx,etc.IEEEInt.Sym.SP,Conf.ST,etc.ACMConf.CCS,etc.J.CryptologyIEEETrans.IT/Com.IEEEJ.SAC,IEEEProceedings混沌密码设计混沌密码分析数字水印与信息隐藏IEEETrans.IP/CE/SP/Com./ITIEEEJ.SAC,IEEEProceedingsIEEProceedingsandElectronicsLettersJ.ElectronicImagingInt.WorkshoponInformationHidingIEEEInt.Conf.IP,etc.ACMConf.Multimedia,etc.IS&T/SPIESym.EI图象与视频加密2001年10月西安交通大学图象处理与识别研究所混沌密码学概述混沌系统具有良好的伪随机特性、轨道的不可预测性、对初始状态及控制参数的敏感性等一系列特性，这些特性与密码学的很多要求是吻合的，混沌密码学在1990年前后开始兴起。大致可以分为两个大的研究方向：1、以混沌同步技术为核心的混沌保密通信系统，主要基于模拟混沌电路系统；2、利用混沌系统构造新的流密码和分组密码，主要基于计算机有限精度下实现的数字化混沌系统。2001年10月西安交通大学图象处理与识别研究所其他相关领域实际上，其他很多领域也开展了利用混沌系统应用的研究工作，不少研究结果可资混沌密码学借鉴。比较重要的研究包括：•混沌通信(混沌调制、混沌键控、混沌扩频、混沌掩盖。。。)•混沌伪随机序列(与混沌扩频有密切关系)•混沌信号检测(与混沌密码分析相关)•混沌数字水印(大部分思路与数字混沌密码类似)2001年10月西安交通大学图象处理与识别研究所我们的主要研究方向混沌系统的数字化实现问题及其在密码学和伪随机编码中的应用数字混沌密码的分析(Cryptanalysis)与改进数字混沌密码系统设计综合–基于双混沌系统的伪随机序列发生器及其在流密码设计中的应用–基于多混沌系统的高速高强度混沌密码(简单混沌流密码与分组密码的乘积形式)(混沌)图象/视频加密(混沌)数字水印(尚未展开，文献整理中)2001年10月西安交通大学图象处理与识别研究所1、混沌系统的数字化实现问题当混沌系统在计算机上实现时，由于有限精度和有限状态问题，数字化混沌系统与理想的实值混沌系统在动力学特性上存在相当大的差异(特性退化)。典型的问题包括：短周期问题、退化的轨道分布和相关特性。已经有不少学者注意到这个问题，给出了部分实验性的结论和一些具体应用中的改善方法，但是到目前为止，尚未见到理论比较完备的系统论述和结论。对于数字化问题在各种具体应用中的重要性，也还没有得到大部分研究者的重视。我们试图在这个领域的部分理论和实践问题上做一些有益的探索。2001年10月西安交通大学图象处理与识别研究所1、混沌系统的数字化实现问题(续)这方面我们的研究大致分为以下两个方面：•针对不同类型的混沌系统，能否从理论上严格描述在有限精度下数字化混沌系统的退化特征？目前我们已经针对分段线性混沌映射(PiecewiseLinearChaoticMap-PLCM)得到了有意义的结论(参见文献2)，进一步的推广正在进行中。•如何在具体的应用中改善数字化混沌系统的特性退化？如何评价不同的改善方案的性能？不少学者已经提出一些具体的改善措施，其中较为有效的是伪随机小信号的扰动法，但是该方法在使用中需要注意一些具体问题(参见文献2)。2001年10月西安交通大学图象处理与识别研究所2、数字化混沌系统与混沌密码设计由于数字化混沌系统的退化问题，在设计数字混沌密码时，我们需要引入一些具体原则，以防止可能的不安全因素，这方面的部分结论参见文献2。根据我们目前的研究结果，如下措施对提高数字化混沌系统的安全性是有益的：•采用一定的措施改善数字化混沌系统的特性退化，并分析具体改善性能；•在已知(选择)明文攻击下，尽可能不暴露混沌轨道的直观信息和统计信息；•采用多个混沌系统的混和输出加密明文；•使用尽可能简单的混沌系统(基于速度和实现的考虑)。2001年10月西安交通大学图象处理与识别研究所3、数字混沌密码的分析与改进应用混沌系统进行密码设计，还只有短短的十几年(1989—)的时间，密码学界对混沌密码的认识还比较初级。1990年前后R.Matthews、T.Habutsu等人提出的混沌密码方案很快被分析的事实说明在构造真正安全的混沌密码的问题上，还缺乏足够的理论支持以保证其真正的安全性。目前在物理学和电子学方面仍然不断有新的混沌密码算法出现，而密码学界则相对较少，这一方面是由于成熟的密码系统已经比较多了，另外一方面是由于混沌密码设计理论的缺乏。作为混沌密码学的一个重要分支，我们也开展了混沌密码分析和改进的研究工作。2001年10月西安交通大学图象处理与识别研究所3、数字混沌密码的分析与改进(续1)目前已经发现以下几类混沌密码是不够安全的：•复旦大学的周红、凌燮亭等人提出的“离散均匀输入”＋“分段线性混沌映射”混沌流密码方案，基于逐段线性混沌映射文章发表在1998年《电子学报》和1997年IEEETrans.CAS–I。根据我们在文献2中的结论，该类混沌流密码存在大量弱密钥，并导致一类“多分辨率攻击”方案。这是我们目前研究的重点，周红等人的密码方案在目前已有的混沌密码系统中具有一定的代表性，使用逐段线性映射也是在混沌系统应用中比较常用的混沌系统。目前已经形成文章，鉴于周红《电子学报》和IEEE的文章在结构上还有些不同的特点，我们进行了分别分析。2001年10月西安交通大学图象处理与识别研究所3、数字混沌密码的分析与改进(续2)•台湾“国立联合工商专校化”的YenJ.C.与GuoJ.I.提出的三类混沌图象加密方案相关文章发表在2000年IEEProc.Vis.ImageSignalProcess、IEEEISCAS98、IEEEIWSiPS99，均不能抵抗已知(选择)明文攻击。•浙江大学的易开祥、孙鑫、石教英等人提出的基于混沌序列的图象加密算法发表于2000年《计算机辅助设计与图形学学报》，未说明使用混沌系统产生全置换矩阵的方法，不能抵抗已知(选择)明文攻击。以上两类混沌图象加密方案的分析文章正在准备中。2001年10月西安交通大学图象处理与识别研究所3、数字混沌密码的分析与改进(续3)我们改进了下列混沌密码的安全性：•委内瑞拉中央大学的E.Alvarez等人提出的混沌加密新方法发表于1999年PhysicsLettersA，西班牙的G.Alvarez等人在2000年PhysicsLettersA上指出该方案是不安全的，并提出了四类可行的攻击方案：选择密文、选择明文、已知明文、唯密文。我们通过分析原方案的特点，指出可以把原混沌分组密码改进成为混沌流密码，以抵抗上述四种攻击方法，并给出了详细的性能分析，具体内容参见文献1。2001年10月西安交通大学图象处理与识别研究所4、新的混沌密码框架根据我们得到的数字化混沌系统的部分结论，并考虑到目前尚无完备的混沌密码理论(虽然这使得保证混沌密码的真正安全性变得困难，但同时也使得对混沌密码的分析变得困难)，我们建议了如下两类混沌密码新框架：•基于双混沌系统的混沌流密码利用数字化双混沌系统构造伪随机序列发生器CCS-PRBG，从而避免单混沌系统可能出现的信息泄漏问题，在此基础上可以构造多种不同的混沌流密码(参见文献3)。2001年10月西安交通大学图象处理与识别研究所4、新的混沌密码框架(续)•基于多混沌系统的高速高强度混沌乘积密码利用2n个混沌系统构造混沌乘积密码：该密码可以分为混沌流密码和混沌分组密码两个部分，其中流密码采用简单混沌流密码结构(混沌轨道直接加密明文)，分组密码采用2n个混沌轨道生成的n×n的S-Box进行分组置换。流密码和分组密码的加密明文分组大小不同，加密也不是同时进行的，而是交叉进行的，这样可以提高系统的加密强度。当要求密文满足随机检索解密的功能时，乘积密码每隔一定的分组块数进行一次复位，复位间隔由混沌轨道伪随机地确定。该类加密方案可适用于实时视频加密。该方案中的简单混沌流密码部分使得系统的加密速度很快，而分组密码部分的加入则用来保证系统的加密强度。具体内容参见文献4(该文的最终版本文章尚在准备中)。2001年10月西安交通大学图象处理与识别研究所5、(混沌)图象加密在已有的混沌加密算法中，有相当一部分是用于图象加密的(典型的如美国的J.Fridrich、奥地利的J.Scharinger、日本的M.Miyamoto等人提出的基于2-D混沌映射的图象加密算法)。因此在进行混沌密码学研究的同时，我们也兼及了对图象加密算法的部分研究工作，主要集中在图象加密算法的安全性分析上。我们已经发现，相当多的图象加密算法不能抵抗已知(选择)明文攻击，因此从严格的密码学意义上来说是不安全的。2001年10月西安交通大学图象处理与识别研究所5、(混沌)图象加密(续1)我们已经发现，下列图象加密算法存在安全性方面的问题：•台湾“国立联合工商专校化”的YenJ.C.与GuoJ.I.提出的三类混沌图象加密方案•浙江大学的易开祥、孙鑫、石教英等人提出的基于混沌序列的图象加密算法以上两类图象加密算法均基于混沌系统，相关分析已见本演示的第3部分。2001年10月西安交通大学图象处理与识别研究所5、(混沌)图象加密(续2)•美国BinghamtonUniversity的N.G.Bourbakis和希腊UniversityofPatras的C.Alexopoulos联合提出的SCAN-based图象加密(联合压缩)算法最早的文献见1992年PatternRecognition，最新的见2001年PatternRecognition，中间先后在1995年J.ElectronicImaging、IEEEICITS’99、Proc.SPIE2914(1995)、IEEEICSMC’97有文章发表。实际上，台湾“国立中正大学”的JanJ.K和TsengY.M.已于1996年在InformationProcessingLetters上撰文指出该算法不能抵抗已知(选择)明文攻击，且攻击成功仅需一幅明文图象。显然，Bourbakis与Alexopoulos并未看到JanJ.K.与TsengY.M.的分析文章。2001年10月西安交通大学图象处理与识别研究