摘要：SHACAL-2算法是欧洲NESSIE计划推荐的分组密码标准算法之一，选择函数和主函数是SHACAL-2算法中两类基本的非线性函数。该文分析了这两类非线性函数的差分特性，证明了当选择函数的第1个位置输入差分非零或者主函数的前两个位置中任意一个输入差分非零时（其它位置差分均为零），对应差分方程解的个数仅与输入差分的重量有关。将这一特性引入到SHACHL-2算法的差分故障攻击中，结果表明至少需要160个随机故障才能使该攻击以超过60%的成功概率恢复512 bit的种子密钥，至少需要240个随机故障才能以超过98%的成功概率恢复512 bit的种子密钥。

关键词：密码学 选择函数 主函数 差分特性 故障分析 

单位：国防科技大学理学院 长沙410073 国防科技大学电子科学与工程学院 长沙410073 国防科技大学计算机学院 长沙410073