軽量ブロック暗号Shadow-32に対するBit-Based Division Propertyを用いたIntegral攻撃

Shadow-32 は 2021 年に Ying Guo らによって提案された Feistel 構造を持つブロック暗号である．ブロック長は 32 ビット，段数 16 段，鍵長は 64 ビットをサポートしている．Shadow-32 の提案者論文には，不能差分攻撃については定量的な安全性評価が記載されているが，Integral 特性については評価が行われていない．そこで，本稿では，Shadow-32 に対する Integral 特性について報告する．その結果，混合整数線形計画法 (Mixed Integer Linear Programming：MILP) を用いた Bit-Based Division Property の解析によって 31 階差分による 10 段の Integral 特性を報告する．そしてこの Integral 特性を利用することにより，暗号文側に 2 段追加した 12 段分の鍵回復において，鍵長 64 ビットの場合，必要な選択平文数が 2^31 および計算量が 2^29.53 となることを示す．

Shadow-32 is a block cipher with a Feistel structure proposed by Ying Guo, Lang Li, and Botao Liu in 2021. Its block length is 32 bits, the number of rounds is 16, and the key length is 64 bits. In their proposed paper, security analysis of impossible differentia is evaluated, but integral characteristics is not evaluated. Therefore, this paper reports on integral characteristics of Shadow-32. As a result, we report the 10-round integral characteristics of the 31st-order differential discovered by the analysis of Bit-Based Division Property using the Mixed Integer Linear Programming (MILP). And by using the integral characteristics, it is shown that the required number of chosen plain texts is 2^31 and the computational complexity is 2^29.53 encryptions when the key length is 64 bits in the key recovery for 12 rounds, which is added by 2 rounds on the cipher text side.