@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214462,
 author = {堀部, 佳吾 and Liu, Fukang and 五十部, 孝典 and Keigo, Horibe and Liu, Fukang and Takanori, Isobe},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {ZUC-256 は 5G アプリケーションのために設計されたストリーム暗号で，現在，5G モバイル通信における標準的なアルゴリズムの評価が進められている．ZUC-256 では，LFSR (Linear Feedback Shift Register) は GF (2^{31}-1) 上で，FSM (Finite State Machine) は GF (2^{32}) 上で定義されている．既存の解析結果では，BabbageとMaximov により初期化フェーズの 28 段に対する XOR 差分を用いた識別攻撃が提案されている．本論文では，初期化フェーズに対して，Modular 差分を用いることで，この攻撃が改良できることを示す．ZUC-256 内部には Modular 加算があるため，Modular 差分で解析することで，差分の広がりを XOR 差分と比較して抑えることが可能である．また，差分を入れる位置を適切に選ぶことで，確率的に差分のキャンセルイベントを発生させ，差分の伝搬を制限する．その結果，28 ラウンドの ZUC-256 に対して Babbage と Maximov の 2^{-10.46} よりも大きな 2^{-4.39} のバイアスを得ることができた．, ZUC-256 is a stream cipher designed for 5G applications and is currently being under evaluation for standardized algorithms in 5G mobile telecommunications. A feature of ZUC-256 is that the LFSR (Linear Feedback Shift Register) is defined in GF(2^{31}-1), while the FSM (Finite State Machine) is defined in GF(2^{32}). Recently, Babbage and Maximov proposed a distinguishing attack on 28-round ZUC-256 with the XOR difference. We show that Babbage-Maximov's attack can be improved with modular differences. This is because in the round update function of ZUC-256, many additions modulo 2^{31}-1 are involved and the modular difference linearly propagates through the modular addition. Moreover, by properly selecting the input modular difference, we can slow down the propagation of the difference. Consequently, we obtain a linear relation with a bias of 2^{-4.39}, which is in terms of the state word in LFSR after 28 rounds. This improves the bias 2^{-10.46} in Babbage-Maximov's attack.},
 pages = {455--461},
 publisher = {情報処理学会},
 title = {Modular差分を用いたストリーム暗号ZUC-256の解析},
 year = {2021}
}