ZUC算法-信息安全工程师知识点

ZUC算法，即祖冲之算法，是移动通信3GPP机密性算法EEA3和完整性算法EIA3的核心，是中国自主设计的加密算法。2009年5月ZUC算法获得3GPP安全算法组SA立项，正式申请参加3GPP LTE 第三套机密性和完整性算法标准的竞选工作。历时两年多的时间， ZUC 算法经过包括3GPP SAGE内部评估，两个邀请付费的学术团体的外部评估以及公开评估等在内的3个阶段的安全评估工作后，于2011年9月正式被3GPPSA全会通过，成为3GPPLTE 第三套加密标准核心算法。

ZUC算法的设计必须具有高安全、高效率以及新颖性等特点。其中高安全和高效率要求设计的新算法在安全和效率上不能比AES或SNOW3G低，而新颖性要求设计的密码算法在结构和部件上都有创新。然而密码算法设计发展到今天，许多经典结构和部件的设计都基本定型，要同时达到上述目标，无疑是一项非常艰巨的任务。

ZUC算法在逻辑上采用三层结构设计：

上层为定义在素域GF(231-1)上的线性反馈移位寄存器(LFSR) 。这是ZUC算法设计的一大创新。目前常见流密码体制的LFSR均采用二元域或二元域的某个扩域上的m 序列。这种序列具有明显的多重线性关系，这使得以其为序列源的密码算法容易受黠相关攻击。

ZUE算法中间层为比特重组。比特重组采用取半合并技术，实现LFSR数据单元到非线性函数F 和密钥输出的数据转换，其主要目的是破坏LFSR 在素域GF(231-1)上的线性结构。结合下层的非线性函数F，比特重组可使得一些在素域GF(231-1)上的密码攻击方法变得非常困难。

ZUE算法下层为非线性函数F。在非线性函数F 的设计上，ZUC算法设计充分借鉴了分组密码的设计技巧，采用S盒和高扩散特性的线性变换L， 非线性函数F 具有高的抵抗区分分析、快速相关攻击和猜测确定攻击等方法的能力。此外，非线性函数F的S盒采用结构化设计方法，在具有好的密码学性质的同时降低了硬件实现代价，具有实现面积小、功耗低等特点。

经过上述三层结构的综合运用，ZUC算法具有非常高的安全强度，能够抵抗目前常见的各种流密码攻击方法。其设计已得到国内外著名密码学家的认可，他们对其安全强度给予了很高的评价。