MIBS算法是一种Feistel结构的轻量级分组密码算法，采用Feistel结构，MIBS密码的分组长度为64 bit，支持64 bit和80 bit的密钥长度，分别记为MIBS-64和MIBS-80，迭代轮数为32轮。MIBS中所有迭代操作都是基于半字节的，即一个字有4 bit。MIBS的轮函数F是SPN结构的，包括异或子密钥，S盒(4×4)层和一个线性层P(分枝数为5)，此处线性层是设计文档中线性混淆和字节置换的复合。一轮MIBS及轮函数如图 1、图 2及表 1所示。

图  1  MIBS算法结构图

图  2  MIBS算法的轮函数

由图 1可知，MIBS加密轮函数为：${L_i} = {R_{i - 1}} \oplus $ $F(M(S({k_{i - 1}} \oplus {L_{i - 1}})))$，${R_i} = {L_{i - 1}}$，轮函数$F({L_{i - 1}},{K_i})$包括轮密钥加、S盒变换、线性层P(包括线性混淆和字节置换)。其中S是4×4的非线性S盒，混合层P可以描述为如下线性变换：

由于密钥长度不同，MIBS-64和MIBS-80的密钥扩展方案略有不同，关于MIBS算法的详细加解密过程参见文献[1]，本文不再赘述。

MIBS的差分S盒如表 2所示。差分S盒体现S盒的差分分布全局特性，但对具体参数未有直观刻画。

目前分组密码算法普遍采用查找S盒来提高算法非线性度，但正是S盒的差分特性，导致其面临严重的故障攻击威胁。假设S盒输入值a未知，若在分组密码查表时导入随机故障值f，得到故障差分(密文差分)$f'$，则$a,f,f'$三者之间满足差分关系：

通过分析可以获得最后一轮S盒的输入值a，主要思路是通过故障分析降低f的搜索空间，代入式(1)恢复a和S[a]。输入值a与扩张密钥紧密相关，结合密文可以获取相关扩展密钥，再根据需要多次注入故障或者进行迭代分析直至获取主密钥。

本文在文献[10]基础上，分析分组密码算法S盒的差分传播特性，发现当S盒($n \times n$)输入差分f一定的情况下，对于每一个可能的输出差分$f'$，其对应的输入a可看成一个集合${\rm{\{ }}{a_1},{a_2}, \cdots ,{a_n}\} $。记为：

由式(2)易知，$\{ f,f'\} $有如下性质：

性质 1  对分组密码算法S盒注入故障值f，对于不同的输出差分${f'_1},{\rm{ }}{f'_2}$，对应输入值可能不交，即${\rm{\{ }}f,{f'_1}{\rm{\} }} \cap {\rm{\{ }}f,{f'_2}{\rm{\} }} = \mathit{\Phi} $。

性质 2  在输入a一定的情况下，对于两个特定不同的输入差分${f_1},{f_2}$，一定存在${f'_1},{\rm{ }}{f'_2}$，使得$a \in \{ {f_1},{f'_1}\} \cap \{ {f_2},{f'_2}\} $。

证明：令S是一个($n \times n$)的S盒，对S盒注入故障${f_1}$，对应的故障差分空间为${F'_1} = \{ f'|\exists a \in F_2^n$，${\rm{sat}}.\;S(a) + S(a + {f_1}) = f'\} $。由S盒差分不均匀性可知$F'$是输入空间$F_2^n$的一个真子空间，记${F'_1} = \{ {f'_1},{f'_2}, \cdots ,{f'_k}\} ,\;k < {2^n}$，则由定义和性质1可知${\rm{\{ }}{f_1},{f'_1}\} ,$${\rm{\{ }}{f_1},{f'_2}\} ,$…, ${\rm{\{ }}{f_1},{f'_k}\} $是$F_2^n$的一个分割，满足$\bigcup\limits_{i = 1}^k {\{ {f_1},{{f'}_i}} \} = F_2^n$且$\{ {f_1},{f'_i}\} \cap \{ {f_1},{f'_j}\} = \varphi $，$i \ne j$。

故对任意的输入值a，存在唯一一个集合$\{ {f_1},{f_i}'\} $，使得$a \in \{ {f_1},{f_i}'\} $，不失一般性，记$a \in {\rm{\{ }}{f_1},{f_2}'{\rm{\} }}$；同理，对于故障值${f_2}$，存在唯一的集合${\rm{\{ }}{f_2},{f_2}'{\rm{\} }}$，满足$a \in {\rm{\{ }}{f_2},{f_2}'{\rm{\} }}$。从而有$a \in {\rm{\{ }}{f_1},{f_2}'{\rm{\} }} \cap $ ${\rm{\{ }}{f_2},{f_2}'{\rm{\} }}$。#

根据性质1和性质2，本文通过对MIBS算法建立$a,f,f'$的对应关系如表 3所示，可以快速直观缩小输入值取值空间，进而快速确定对应扩展密钥。对于不同故障值(输入差分)，对应的输出差分和可能输入值均不相同，根据表 3可以得到二元关系集合，根据式(2)和表 3对应关系得$\# (1,4) = \{ c,d\} $，$\# (a,6) = \{ 7,d\} $。如果分别注入故障值1和a，则通过查表，对可能输入值取交集即可快速确定唯一可能输入值为d。(${\rm{\# (}}1,4{\rm{)}} \cap {\rm{\# (}}a,6{\rm{)}} = \{ d\} $)。同时对于任意两个输入差分，其对应的输出差分不完全相同，这样通过观察输出差分可以很大概率确定输入差分的值。攻击流程如图 3所示。

图  3  改进的差分故障攻击流程

由MIBS算法的差分S盒可知，在理想情况下，只需在算法最后一轮注入两次不同故障，即可快速获得S盒输入$a$，从而高效准确地恢复出轮密钥，最后通过密钥扩展算法恢复主密钥。将此方法扩展到不同SP结构分组密码算法和部分Feistel结构的轻量级分组密码算法，均取得了良好的攻击效果。

本节选取明文：01 23 45 67 89 ab cd ef，密钥：01 23 45 67 89 ab cd ef。

1) 首先进行一次正确加密，得密文：a7 00 60 37 bf 97 81 07。

2) 在最后一轮${{\rm{L}}^{31}}$引入差分故障11 11 11 11，得到故障密文：4e 7d 29 e9 ae 86 90 16。将故障密文同正确密文异或得到：e9 7d 49 de 11 11 11 11。

3) 将密文差分e9 7d 49 de通过逆P置换、逆列混淆后得到S盒的输出差分：e4 9e 49 79。

4) 改变故障值为aa aa aa aa，得到另一组故障密文：a9 e8 03 b7 15 3d 2b ad。相应的可以得到差分密文：0e e8 63 80 aa aa aa aa。将左半部分密文差分0e e8 63 80通过逆P置换、逆列混淆后得到S盒的另一组输出差分：d6 3d 63 33。

5) 结合表确定出S盒未加故障时的输入：每一个未知的输入候选值均只有一个交集，这样就唯一确定出S盒的输入为：9d a9 da 5a。

6) 将S盒输入：9d a9 da 5a与密文右半部分：bf 97 81 07异或得到最后一轮轮密钥${k^{31}}$：22 3e 5b 5d。从而得到31轮加密后的输出：bf 97 81 07 78 29 07 aa。

利用31轮加密后输出值，在第30轮注入两次故障，可以得到K³⁰，具体流程如下：

1) 在${{\rm{L}}^{30}}$引入差分故障11 11 11 11，得到故障密文：c7 89 c4 9c 10 2d 3f d6。通过${k^{31}}$得到31轮加密后的密文：10 2d 3f d6 69 38 16 bb。将故障密文同正确密文异或得到：af ba be d1 11 11 11 11。将密文差分af ba be d1通过逆P置换、逆列混淆后得到S盒的输出差分：77 ec 9b 87。

2) 在${{\rm{L}}^{30}}$引入差分故障aa aa aa aa，得到故障密文：f0 3c 68 d4 c1 2a 77 ab。通过${k^{31}}$得到31轮加密后的密文：c1 2a 77 ab d2 83 ad 00。将故障密文同正确密文异或得到：7e bd f6 ac aa aa aa aa。将密文差分7e bd f6 ac通过逆P置换、逆列混淆后得到S盒的输出差分：33 86 11 33。

3) 结合表确定出S盒未加故障时的输入：每一个未知的输入候选值均只有一个交集，这样就唯一确定出S盒的输入为：55 87 b1 f5。

4) 将S盒输入：55 87 b1 f5与31轮后密文右半部分：78 29 07 aa异或得到${k^{30}}$：2d ae b6 5f。从而得到30轮加密后的密文：78 29 07 aa 66 95 d0 da。

综上可得${k^{30}}$：2d ae b6 5f，${k^{31}}$：22 3e 5b 5d。再由密钥扩展方案可知，所得${k^{30}}$为K³⁰的高位32 bit，经过一次密钥扩展算法，得到最后一轮轮密钥K³¹为：

实验中得到k³¹是K³⁰的高位32 bit，去掉重复比特，经过两次密钥扩展，可得到K³⁰的15+32= 47 bit，剩余17 bit可以通过遍历求取，数据复杂度为2¹⁷。

本文分析轻量级分组密码算法S盒差分传播特性，通过建立<输入差分、输出差分、可能输入值>的对应关系表，利用不同故障条件下故障差分对应的输入值集合交集唯一的特性，针对基于Feistel结构的MIBS算法，分别在第30轮和31轮注入两次故障，可以恢复47 bit轮密钥，进而通过穷举恢复其余密钥比特，时间复杂度为2¹⁷。