基于神经网络区分器的SIM...like算法参数安全性评估_侯泽洲.pdf

《基于神经网络区分器的SIM...like算法参数安全性评估_侯泽洲.pdf》由会员分享，可在线阅读，更多相关《基于神经网络区分器的SIM...like算法参数安全性评估_侯泽洲.pdf（10页珍藏版）》请在咨信网上搜索。

1、2023 年 4 月 Chinese Journal of Network and Information Security April 2023 第 9 卷第 2 期 网络与信息安全学报 Vol.9 No.2 基于神经网络区分器的 SIMON-like 算法参数安全性评估 侯泽洲1,2，任炯炯1,2，陈少真1,2（1.信息工程大学，河南 郑州 450001；2.密码科学技术国家重点实验室，北京 100878）摘 要：神经网络区分器作为一种新的可被应用于密码算法安全性分析的工具，一经提出便被应用于多种密码算法的安全性分析。对于 SIMON-like 算法，其循环移位参数的选择有多种。利用神经网

2、络区分器对分组长度为 32 bit 的 SIMON-like 算法的循环移位参数(,)a b c的安全性进行了研究，并给出了好的循环移位参数选择。利用Klbl等在CRYPTO2015中提出的SIMON-like算法仿射等价类思想，将分组长度为32 bit的SIMON-like算法的循环移位参数划分至509个等价类，并选择其中使gcd(,2)1-=ab成立的240个等价类进行研究。针对240个等价类的代表元构建了自动化搜索差分路径的SAT/SMT模型，并利用SAT/SMT求解器搜索了不同代表元的多轮最佳差分路径。利用搜索得到的最佳差分路径的输入差分训练了神经网络区分器，选择其中准确率最高的神经网

3、络区分器作为代表元的神经网络区分器，统计了不同代表元的神经网络区分器准确率。发现Klbl等给出的20个最佳循环参数并不能使神经网络区分器的准确率最低，而且其中4个循环移位参数对应的神经网络区分器的准确率超过了80%，这意味着这4个循环移位参数抗神经网络区分器的能力是差的。综合考虑Klbl等的选择和不同代表元的神经网络区分器准确率，给出了3个好的循环移位参数选择，即(6,11,1)、(1,8,3)和(6,7,5)。关键词：SIMON-like；仿射等价类；神经网络区分器；循环移位参数 中图分类号：TP393 文献标志码：A DOI:10.11959/j.issn.2096109x.2023029

4、 Security evaluation for parameters of SIMON-like cipher based on neural network distinguisher HOU Zezhou1,2,REN Jiongjiong1,2,CHEN Shaozhen1,2 1.Information Engineering University,Zhengzhou 450001,China 2.State Key Laboratory of Cryptology,Beijing 100878,China Abstract:The neural distinguisher is a

5、 new tool widely used in crypto analysis of some ciphers.For SIMON-like block ciphers,there are multiple choices for their parameters,but the reasons for designers selection remain unexplained.Using neural distinguishers,the security of the parameters(,)a b c of the SIMON-like with a block 收稿日期：2022

6、0105；修回日期：20220328 通信作者：侯泽洲， 基金项目：数学工程与先进计算国家重点实验室开放基金（2019A08）Foundation Item:State Key Laboratory of Mathematical Engineering and Advanced Computing Open Fund(2019A08)引用格式：侯泽洲,任炯炯,陈少真.基于神经网络区分器的SIMON-like算法参数安全性评估J.网络与信息安全学报,2023,9(2):154-163.Citation Format:HOU Z Z,REN J J,CHEN S Z.Security evalu

7、ation for parameters of SIMON-like cipher based on neuralnetwork distinguisherJ.Chinese Journal of Network and Information Security,2023,9(2):154-163.第 2 期 侯泽洲等：基于神经网络区分器的 SIMON-like 算法参数安全性评估 155 size of 32 bits was researched,and good choices of parameters were given.Firstly,using the idea of affi

8、ne equivalence class proposed by Klbl et al.in CRYPTO2015,these parameters can be divided into 509 classes.And 240 classes which satisfied(,2)1gcd ab-=were mainly researched.Then a SAT/SMT model was built to help searching differential characteristics for each equivalent class.From these models,the

9、optimal differential characteristics of SIMON-like was obtained.Using these input differences of optimal differential characteristics,the neural distinguishers were trained for the representative of each equivalence class,and the accuracy of the distinguishers was saved.It was found that 20 optimal

10、parameters given by Klbl et al.cannot make the neural distinguishers the lowest accuracy.On the contrary,there were 4 parameters,whose accuracy exceeds 80%.Furthermore,the 4 parameters were bad while facing neural distinguishers.Finally,comprehensively considering the choice of Klbl et al.and the ac

11、curacy of different neural distinguishers,three good parameters,namely(6,11,1),(1,8,3),and(6,7,5)were given.Keywords:SIMON-like,affine equivalent class,neural network distinguisher,cyclic shift parameter 0 引言 随着物联网技术及芯片的小型化发展，资源受限环境下的数据安全问题越来越受到重视。资源受限环境中存在计算能力不足、加解密效率低等问题，轻量级分组密码算法应运而生，并致力于在数据安全性、加

12、解密效率、计算成本之间取得平衡。近年来，研究人员设计提出的轻量级分组密码有 MIBS1、PRESENT2、CHAM3、LBlock4、SIMON5等。SIMON 算法是一种轻量级分组密码算法，其结构简单，加解密效率高，一被提出，便受到了密码学界的广泛关注。为此，密码学者对 SIMON算法的安全性进行了大量分析。同时，SIMON 算法在加密过程中使用循环移位参数完成运算，从而引发了密码学者对 SIMON 算法循环移位参数选取的安全性分析。在 CRYPTO2015 中，Klbl等6对 SIMON 算法的轮函数进行了详尽的分析，给出了循环移位参数的等价类划分，并研究了参数选取对 SIMON-like

13、 算法的安全性的影响。Zhang 等7探讨了循环移位参数选取对 SIMON-like 算法抗积分攻击能力的影响。Kondo 等8对Klbl 等的方法进行了补充，考虑了循环移位参数选取对 SIMON-like 算法抗积分攻击、不可能差分攻击、抗差分攻击和线性攻击的影响，并发现在抗积分攻击和不可能差分攻击方面优于原始参数的循环移位参数，在抗差分攻击和线性攻击方面则弱于原始参数。2018 年，张毅等9给出了不同于以往依赖计算机搜索循环移位参数等价类的计算等价类公式，从而优化了 SIMON-like 算法的安全性评估。随着深度学习理论的推陈出新及高性能计算芯片的发展，深度学习技术被广泛应用于计算机视觉

14、10-11、自然语言处理12-13等领域。受深度学习在图像领域应用的启发，密码学者将深度学习技术引入侧信道分析14-15中，大大推动了侧信道分析的发展。Gohr16将深度学习技术引入密码分析之中，通过神经网络与密文对数据构造了针对减轮 SPECK32/64 的神经网络区分器，并将神经网络区分器应用于减轮SPECK32/64 的密钥恢复攻击，降低了减轮SPECK32/64 的 密 钥 恢 复 攻 击 的 复 杂 度。Benamira 等17对 Gohr 提出的神经网络区分器的原理进行了研究，并通过实验表明，神经网络区分器不仅依赖于密文对的差分分布，也依赖于倒数第二轮和倒数第三轮的差分分布。基于这

15、一实验结果，Benamira 等17给出了训练nr轮神经网络区分器所需要密文对的输入差分的选择方式，即选择1nr-轮或2nr-轮最佳路径的输入差分。本 文 主 要 研 究 了 循 环 移 位 参 数 选 取 对SIMON-like 算法神经网络区分器准确率的影响。本文首先根据Klbl等提出的仿射等价类的概念，将分组长度为32 bit的SIMON-like算法的循环移位 参 数(,)a b c分 为509类。由 于 满 足gcd(,2)2ab-=的等价类的差分传播概率较高，因此本文主要研究使gcd(,2)1ab-=成立的240个等价类，并从每一个等价类中选择一个代表元来代156 网络与信息安全学

16、报 第 9 卷 表该等价类。同时，对于等价类的代表元，本文利用 Klbl 等提出的计算差分传播概率的方法对SIMON-like 算法建立自动化搜索差分路径的SAT/SMT 模型。基于搜索差分路径的 SAT/SMT模型，本文求取了各个代表元的7 轮与8 轮最佳差分路径。本文根据 Benamira 等提出的选择神经网络区分器输入差分的方法，选取已搜索得到的 7 轮与8轮最佳差分路径的输入差分作为9轮神经网络区分器的输入差分，并训练各个代表元的神经网络区分器。每一个代表元的最佳差分路径并不唯一，因此每一个代表元可得到多个神经网络区分器，本文选择其中准确率最高的神经网络区分器作为该代表元的神经网络区分

17、器。通过对不同代表元的区分器的准确率进行对比，本文发现当考虑神经网络区分器的准确率时，准确率最低的循环移位参数与Klbl 等推荐的循环移位参数并不一致。甚至，Klbl等推荐的 20 个循环移位参数中的 4 个循环参数的神经网络区分器的准确率超过了 80%，也就是说其抗神经网络区分器的能力是差的。本文综合考虑Klbl 等的选择和神经网络区分器，给出了几个最佳的循环移位参数。1 准备知识 本节首先介绍常用符号的定义，然后介绍SIMON 算法和 SIMON 算法的仿射等价类，最后介绍神经网络区分器。1.1 符号定义 本文的常用符号及其含义如表 1 所示。表 1 符号及其含义 Table 1 Symb

18、ols and definitions 符号 含义 GF(2)(0,0.2 二元有限域 GF(2)n GF(2)上的n维向量空间 jS 比特循环左移jbit 比特异或操作 XOR 比特与操作 AND 比特或操作 OR x 比特否操作1xx=SIMON-(,)a b c 循环移位参数为(,)a b c、分组长度为 32 bit的 SIMON-like 算法 wt()x x的汉明重量 1.2 SIMON 算法 SIMON 算法设计者在设计之初便设计了多个版本以供安全性需求及计算效率不同的资源受限设备使用。SIMON 算法的参数如表2 所示。表 2 SIMON 算法的参数 Table 2 SIMON

19、 algorithm parameters 分组长度/bit 密钥长度/bit字节长度/bit 密钥字节数/bit轮数 32 64 16 4 32 48 72 24 3 36 48 96 24 4 36 64 96 32 3 42 64 128 32 4 44 96 96 48 2 52 96 144 48 3 54 128 128 64 2 68 128 192 64 3 69 128 256 64 4 72 表 2 给出了多个版本 SIMON 算法的相关参数。分组长度为2n bit，密钥长度为mnbit的SIMON算法，通常用SIMON2/n mn代替。例如，分组长度为48 bit，密钥长

20、度为96 bit的SIMON算法通常用SIMON48/96代表。同时，当不考虑密 钥 长 度 时，SIMON算 法 通 常 简 写 为SIMON2n。本文主要研究分组长度为32 bit、密钥长度为64 bit的SIMON算法。设GF(2)代表二元有限域，16GF(2)代表GF(2)上 的16维 向 量 空 间，那 么 对 于16GF(2)ik，SIMON32/64的轮函数可以定义为Feistel映射(,)ia b ckR：1616GF(2)GF(2)16GF(2)16GF(2)，即(,)(,),(,)()()ia b ckiiia b ciiiyRx yFxk x=，其中(,)()(abca

21、b cFxS xS xS x=，ik是轮子密钥，(,)a b c是循环移位参数，SIMON算法的设计者选择的循环移位参数为(1,8,2)。SIMON算法的加密流程如图1所示。由于本文主要考虑循环移位参数的影响，因此不详细介绍SIMON算法的密钥生成算法，其具体实现细节参考文献5。1.3 SIMON 算法的仿射等价类 SIMON算法设计者指定循环移位参数对为(1,8,2)，但设计者并未解释该循环移位参数的选第 2 期 侯泽洲等：基于神经网络区分器的 SIMON-like 算法参数安全性评估 157 取原因，这就引起了循环移位参数对SIMON-like算法安全性影响的研究。对于SIMON-like

22、算法的循环移位参数的选择空间，当不考虑a、b和c三者之间的关系时，共有3n种可能，其中n为SIMON-like算法的字节长度，而如此大的选择空间严重制约了密码学者对SIMON-like算法的安全性分析。SIMON-like算法中，若循环移位参数对(,)a b c中ab=，则算法的轮函数将变成线性运算，此时算法的安全性较差，因此不妨假设ab。此时，对于分组长度为2nbit的SIMON-like算法，循环移位参数选择空间的规模从3n减少到2nCn，其中2nC为a和b组合的数量，n为c选择的数量。为进一步减小循环移位参数的选择空间，Klbl等6引入了仿射等价的概念。图 1 SIMON 算法的加密流程

23、 Figure 1 Encryption process of SIMON algorithm 命题 16 令T为nbit字中的比特置换。那么存在nsZ和ntZ，使得第ibit被映射到s it+bit，即 ()()(,)(,)()a b csa sb scT FxFT x=(1)通过命题1，可以发现将SIMON32的循环移位参数从(1,8,2)变换为(3,8,6)，并对密钥生成算法进行相应的调整，那么两个循环移位参数对应的密码算法加密得到的密文在考虑一个置换的情况下是等价的。因此对于循环移位参数(1,8,2)和(3,8,6)，仅需要考虑其中一个即可。考虑更一般的情形，若循环移位参数111(,)

24、a b c可变换为222(,)a b c，则称111(,)a b c与222(,)a b c等价，记为111222(,)(,)a b ca b c。进一步来说，循环移位参数可通过命题1的等价性，划分为若干个等价类，并且只需要研究每一个等价类中的代表元即可。对于分组长度为32 bit的SIMON-like算法，共可以得到509个等价类，也就是说循环移位参数的选择空间规模从216161920C=个减少到509个。同时，当gcd(,2)1ab-时，(,)a b cF的差分传播概率将增加6。因此，对于分组长度为32 bit的SIMON-like算法，值得研究的循环移位参数的等价类数量从509个降低到2

25、40个，将这240个等价类的代表元的循环参数集合记作。由于主要研究分组长度为32 bit的SIMON-like算法，因此本文将循环移位参数为(,)a b c、分组长度为32 bit的SIMON-like 算法记作SIMON-(,)a b c，其中(,)a b c。1.4 神经网络区分器 Gohr16将密文对数据视作神经网络的训练数据，利用残差神经网络（ResNets，residual neural network）18训练生成了减轮SPECK32/64的神经网络区分器。给定一个差分和一对明文01(,)PP，使用随机密钥和目标密码算法对其进行加密得到01(,)CC。通过明文对01(,)PP和差分

26、的关系，为该密文对设置对应的标签()01,CCY。()1001,1,0,CCPPY=其他(2)密文对01(,)CC被称为一个样本，01(,)CCY为该样本对应的标签。同时，每一对明文加密所使用的密钥均是随机生成的。在进行神经网络训练之前，本文首先生成足够的带两种标签的样本集合，以构造训练集和验证集，而后选择合适的神经网络对其进行训练，若训练完毕的神经网络的准确率超过 50%，则该训练完毕的神经网络可被用于区分密文数据和伪随机数据。此时该训练完毕的神经网络被称为神经网络区分器，而 被称为该神经网络区分器的输入差分。值得注意的是，在训练集与验证集中，标签为 0 与标签为 1 的样本数据应该各占一半

27、，以使神经网络可以对两类数据进行正确的学习。当从密码算法分析的角度考虑神经网络区分器的准确率时，目标算法的神经网络区分器准确率越高，说明目标算法的密文数据与伪随机数据区别越大，进行区分攻击19的效果越好，进一步地进行密钥恢复攻击的效果也越好。相反，当考虑目标密码算法的安全性时，158 网络与信息安全学报 第 9 卷 神经网络区分器的准确率越高，目标算法的安全性越低。Gohr 选择差分为(0 40,0 0)xx作为神经网络区分器的输入差分，并解释选择(0 40,0 0)xx作为输入差分是因为(0 40,0 0)xx能够以高概率传播到低汉明重量的差分。但是搜索得到这样的输入差分是困难的。因此，Be

28、namira 等17首先研究了Gohr 的神经网络区分器的内在原理，并对区分器训练所使用的两类数据集进行了研究，发现神经网络区分器不仅依赖于密文对的差分分布，也依赖于倒数第二轮和倒数第三轮的差分分布。基于此，他们提出使用1nr-轮或2nr-轮的最佳路径的输入差分作为 nr 轮神经网络区分器的输入差分。通过 Benamira 等的结论，本文使用 SIMON-(,)a b c 的 7 轮与 8 轮最佳差分路径的输入差分训练 SIMON-(,)a b c 的 9 轮神经网络区分器，并对区分器的准确率进行比较，以研究循环移位参数选取对神经网络区分器的影响。2 循环移位参数安全性分析 本节根据Klbl等

29、提出的搜索SIMON-like算法最佳差分路径的方法，搜索了不同等价类代表元的 7 轮与 8 轮最佳差分路径，并将这些差分路径的输入差分作为神经网络区分器的输入差分训练 9 轮神经网络区分器，选择其中准确率最高的神经网络区分器作为该代表元的神经网络区分器；比较不同等价类代表元的神经网络区分器的准确率，从准确率的角度评估循环移位参数对密码算法安全性的影响。2.1 神经网络区分器生成 Klbl等给出了计算SIMON-(,)a b c 中(,)a b cF差分传播概率的计算公式，见定理 1。定理 16 令(,)()(abca b cFxS xS xS x=，其中gcd(,)1ab n-=，n为偶数，

30、且ab。令与分别是(,)a b cF的输入与输出差分，则差分传播概率()P为 ()()()1varibitsdoublebits21,()0mod221,varibits0,doublebits00,()nwta bwtPS-+-=|=|其他(3)其中，varibits()()abSS=，doublebits=()bS 2()()aa bSS-，()cS=。2008年，微软工程师开发了SAT/SMT求解器Z3-solver20，该求解器不仅可以计算一些变量的取值是否满足约束条件，也可通过给定变量的约束条件计算符合约束条件的变量的取值。基于Z3-solver的计算特性，根据定理1，本文建立了自动

31、化搜索SIMON-like差分路径的SAT/SMT模型，并利用Z3-solver对SIMON-(,)a b c 的7轮与8轮最佳差分路径进行了搜索，并保留这些最佳路 径 的 输 入 差 分，分 别 记 为7(,)INPUTa b c和8(,)INPUTa b c，流程如算法1所示。算法 1 获取SIMON-(,)a b c 的最佳差分路径输入差分 输入 Round 输出 Round(,)INPUTa b c 1)Round(,)INPUTa b c；2)0P；3)12Round 1,Xx xx+；4)12Round+1,Yy yy；5)3C；6)for1,32pdo 7)312Model(,2

32、,)pzMX YC C-=；8)if.check()satM=then 9)maxPp=；10)break；11)end if 12)end for 13)max312Model(,2,)PzMX YC C-=；14)while.check()satM=do 15),.result()X YM；16)RoundRound(,)(,)11INPUTINPUT(),a b ca b cx y；第 2 期 侯泽洲等：基于神经网络区分器的 SIMON-like 算法参数安全性评估 159 17)33|1,Round1iiCCxxi=+|1,Round1iiyyi+；18)max3123Model(,2

33、,)PzMX YC C C-=；19)end while 20)return Round(,)INPUTa b c 算法1输入差分路径的轮数Round，输出该轮 数 下 最 佳 差 分 路 径 的 输 入 差 分 的 集 合Round(,)INPUTa b c。在算法1的第3)和4)步中，设定搜索差分路径所需要的变量，X 代表差分路径中高位16 bit的集合，Y 代表低位16 bit的集合，其中ix 代表第i 轮输入差分的高位16 bit，iy 代表第i轮输入差分的低位16 bit。根据SIMON-like 算法的轮函数，变量应符合1iiyx+=和1iixy+=(,)()a b ciFx，其中

34、1,Roundi，称此类约束条件为1C 类约束条件。当考虑差分路径的传播概率时，需 要 增 加 关 于 概 率 的 约 束，即2p-=Round11()iiiiP xyx+=，称此类约束条件为2C类约束条件。算法1的第6)12)步以1C类约束条件与2C类约束条件建立SAT/SMT模型M，获得当前轮数下的最佳差分路径的传播概率maxP。算法的第13)19)步通过迭代的方式获得当前轮数下的最佳差分路径输入差分集合。算法1的第13)、18)步固定传播概率为max2P-，通过Z3-solver搜索使模型M成立的X和Y的取值，分别记为12Round+1,Xx xx=和12,Yy y=Round+1y。此

35、时的X和Y就是当前轮数下的最佳差分路径之一。算法1的第16)步保存计算得到的最佳差分路径的输入差分。为了求得更多的最佳差分路径，需要将已求得的X和Y的取值排除，即令|iixxi 1,Round1+和|1,Round1iiyyi+，称此类约束条件为3C类约束条件。随着迭代的进行，3C的规模不断扩大。通过1C、2C和3C类约束条件不断建立新的模型M，不断对M求解从而完成对当前轮数下最佳差分路径的输入差分的搜索。令78(,)(,)(,)INPUTINPUTINPUTa b ca b ca b c=，使用(,)INPUTa b c中 的 输 入 差 分，本 文 训 练SIMON-(,)a b c的9轮

36、神经网络区分器，并获取SIMON-(,)a b c在不同输入差分下的神经网络区分器及其准确率，具体流程如算法2所示。算法 2 获取SIMON-(,)a b c的神经网络区分器及其准确率 输出 (,)INPUTa b c 输出 (,)a b cL 1)(,)a b cL；2)for(,)ipINPUTa b c do 3)7Generate(ip,10)T=；4)6Generate(ip,10)V=；5)6Test=Generate(ip,10)；6)Net=Train(,)T V；7)NetAcc=Net(Test)；8)(,)(,)Net|(Net,Acc)a b ca b cLL；9)en

37、d for；10)return(,)a b cL 在 算 法2中，输 入 搜 索 得 到 的SIMON-(,)a b c的7轮与8轮最佳路径的输入差分(,)INPUTa b c，输出以这些输入差分构造的数据集训练的神经网络区分器及其准确率(,)a b cL。算法2的第3)步以ip为明文对的输入差分并使用65 10个随机密钥生成65 10个密文对，设定这些密文对的标签为1。而对于标签为0的样本数据，首先随机生成65 10个16 bit的数，将这65 10个随机数作为明文对的差分并使用65 10个随机密钥生成65 10个密文对作为标签为0的样本数据。这两类样本数据共710个，共同作为训练神经网络的

38、训练集并标记为T。同样地，算法2的第4)和5)步生成了610个密文对作为验证集和测试集，分别标记为V和Test。算法2的第6)步选用图2所示的神经网络结构对训练集T和验证集V进行训练，训练采用的优化器为Adam，使用的损失函数为MSE（mean squared error），神经网络的参数如表3所示，计算环境如表4所示。算法2的第7)步使用测试集Test计算第6)步中已训练完毕的神经网络的准确率，并在第8)步中将神经网络及其准确率保存在(,)a b cL中。160 网络与信息安全学报 第 9 卷 表 3 神经网络的参数列表 Table 3 List of neural network para

39、meters 参数 值 批尺寸 104 训练迭代次数 20 正则化参数 10-4 表 4 神经网络的计算环境 Table 4 Computation environment of neural network 设备/软件 参数 数量CPU Intel(R)Xeon(R)Gold6226R2.90 GHz2 GPU NVIDIAGeForceRTX3090(24GB)8 内容存量 512 GB Tensorflow 版本 Tensorflow-gpu2.5.0 Keras 版本 Keras2.4.3 2.2 神经网络区分器准确率结果 在第2.1节中，本文使用如表4所示的计算环境耗时2.5个月计算

40、了240个循环参数等价类代表元在7轮与8轮最佳路径输入差分作为神经网络区分器输入差分的情况下，神经网络区分器的准确率。对于循环参数等价类的代表元(,)a b c，本文选择(,)a b cL中准确率最高的神经网络区分器作为该代表元的神经网络区分器，记为(,)Neta b c。同时对于代表元(,)a b c，重新生成规模为108的新测试集，并对神经网络区分器(,)Neta b c进行测试，记录其准确率，将该准确率视为该代表元的准确率，记为(,)Acca b c。将准确率位于0.50.6的代表元划分至A类，将准确率位于0.60.7的代表元划分为B类，以此类推，如表5所示。对于循环移位参数(,)a b

41、 c，其神经网络区分器的准确率越高，说明SIMON-(,)a b c的密文数据与伪随机数据的区别越大。因此当考虑神经网络区分器的准确率时，图 2 网络结构 Figure 2 Network architecture 第 2 期 侯泽洲等：基于神经网络区分器的 SIMON-like 算法参数安全性评估 161 可以认为归属于A类的等价类代表元的安全性较高，而归属于E类的等价类代表元的安全性较低。表5罗列了240个代表元分类结果。从表5可以看到，不同循环移位参数的选取对神经网络区分器的准确率的影响是巨大的。在240个等价类代表元中，循环移位参数(10,15,3)的准确率最低约52.114%；而对于

42、准确率最高的循环移位参数(0,1,0)，其准确率接近100%。2.3 基于神经网络区分器的循环移位参数安全性分析 在CRYPTO2015中，Klbl等6给出了考虑差分路径传播概率的20个最佳的循环移位参数为：(0,1,2)(0,1,3)(0,5,10)(0,5,15)(0,7,14)(0,、13,7)(0,13,10)(1,2,3)(1,8,3)(1,12,7)(3,4,5)(3,、8,14)、(4,5,3)(5,10,15)(5,12,3)(6,7,5)(6,11,1)、(7,8,5)(7,12,1)(8,13,2)、。计算这20个循环移位参数在本文中的等价类 代 表 元，有(0,1,2)(

43、0,1,2(0,0)5,1 (0,7,14)(0,13,10)，(0,1,(0,113)5,),1(0,15)(0,13,7)，(1,2,3)(1,2,3(5,5)10,1，(3,4,5)(1,12,7)(5,(12,5,1 33)2,)，(4,5,3)(4,5,3)，(6,7,5)6,7,5)，(1,8,3)1,8,3)(7,8,5)，(35,88,2),14)，(6,11,1)6,11,1)，(7,12,1)7,12,1)，(8,13,2)8,13,2)。其中，下划线部分为本文选择的等价类代表元。Klbl等给出的20个最佳的循环移位参数的准确率如表6所示。从表6可以看到，Klbl等给出的2

44、0个最佳的循环移位参数并不都属于A类，仍存在部分代表元属于安全性较差的C类甚至是D类。对于SIMON算法设计者选择的循环移位参数(1,8,2)，其在神经网络区分器上的准确率与Klbl等推表 5 等价类划分 Table 5 Equivalent class partitioning 类别 准确率(,)Acca b c 等价类代表元(,)a b c A 0.5,0.6)(10,15,3),(1,6,3),(3,12,7),(4,9,6),(1,12,3),(4,13,7),(5,12,6),(2,11,1),(5,14,1),(5,12,1),(1,12,5),(4,11,1),(7,12,3),

45、(7,14,1),(7,12,6),(3,12,2),(3,14,5),(2,7,1),(4,13,1),(4,11,6),(4,15,3),(5,6,1),(1,12,2),(10,11,1),(11,12,1),(2,15,3),(14,15,9),(1,10,5),(4,7,2),(7,14,3),(7,10,1),(5,6,3),(12,13,1),(4,5,1),(2,3,5),(4,5,2),(6,7,1),(,(1,14,3,),(0,5,2),),1 8 2(6,11,1),(2,9,3),(6,15,5),(5,10,1),(8,15,9),(2,9,1),(0,7,1),(

46、1,8,3),(10,13,1),(9,10,5),(4,9,3),(8,9,2),(8,15,3),(5,12,2),(2,13,1),(6,7,5),(2,13,5),(2,11,7),(4,9,2),(3,12,1),(9,14,1),(0,11,1),(9,10,1),(4,11,2),(13,14,5),(10,11,3),(1,10,4),(1,2,9),(6,9,1),(6,13,1),(7,12,2),(11,14,1),(3,6,1),(5,8,1),(8,11,1),(4,15,5),(,),(3,14,1),(14,15,3),(7,8,1),(2,5,1),0 5 1(

47、6,11,4),(2,9,4),(12,13,2),(12,15,2),(1,2,3),(1,14,5),(1,4,2),(6,13,2),(3,4,1),(5,12,3),(3,4,2),(3,10,2),(7,12,1),(6,9,2),(3,14,10),(6,7,2),(3,6,2),(3,14,4),(2(1,10,2),(3,6,5,10),(1,6,2,4),(6,),(5,1011,2),(2,5,4,2),(7,10),2),(13,14,1),(10,11,2),(5,6,2)B 0.6,0.7)(4,7,1),(6,7,4),(10,13,2),(10,15,2),(4,

48、5,3),(8,13,1),(1,2,4),(7,8,3),(8,15,2),(7,8,2),(0,3,2),(3,8,2),(0,13,1),(0,7,2),(8,11,2),(4,11,3),(9,12,7),(11,12,5),(5,14,7),(3,10,4)C 0.7,0.8)(4,15,1),(11,12,3),(8,9,4),(8,11,4),(1,8,4),(4,9,1),(12,15,1),(9,12,1),(6,9,4),(3,8,1),(8,9,3),(3,10,1),(3,8,4),(7,14,2),(1,8,9),(10,11,6),(0,3,4),(6,7,10),

49、(1,6,4),(0,3,1),(10,15,6),(2,15,5),(2,7,4),(0,1,4),(5,14,2),(3,14,2),(2,3,1),(1,14,2),(14,15,2),(0,9,1),(8,9,1),(6,13,4),(2,9,8),(7,10,4),(1,10,0),(1,2,8),(5,6,4),(8,13,2),(7,14,9),(2,5,0),(5,8,2),(2,3,4)D 0.8,0.9)(1,4,8),(4,7,0),(4,5,8),(0,1,2),(3,4,0),(6,15,1),(11,14,5),(4,7,8),(3,4,8),(4,5,0),(14

50、,15,1),(9,14,7),(1,4,0),(10,15,1),(13,14,3),(2,15,1),(2,7,8),(1,6,0),(5,6,8),(2,3,0)E 0.9,1.0)(1,6,8),(5,6,0),(2,3,8),(2,7,0),(1,6,6),(2,7,2),(5,6,6),(2,3,2),(2,7,7),(1,6,1),(1,14,1),(2,3,3),(2,9,2),(1,10,10),(4,7,7(2,5,2),(1,12,1),(1,2,2),(1,4,1),(4,5,5),(2,9,9),(1,10,1),(2,5,5),(1,2,1),(3,12,4),(1