Feistel-SP結(jié)構(gòu)的已知密鑰區(qū)分器.pdf

1、在ASIACRYPT2013上，Isobe和Shibutani將Feistel結(jié)構(gòu)的分組密碼算法分成了三類，即Feistel-1/2/3。在這篇文章中，研究Feistel-3結(jié)構(gòu)，它采用SPN結(jié)構(gòu)的輪函數(shù)，即輪函數(shù)包含密鑰異或?qū)?、非線性S盒層以及線性擴(kuò)散層。把Feistel-3表示為Feistel-SP，該結(jié)構(gòu)的算法通常采用128比特或者64比特的分組長(zhǎng)度，并使用8比特或4比特的S盒。
　　目前，對(duì)于Feistel-SP結(jié)構(gòu)在公開(kāi)

2、密鑰場(chǎng)景下已經(jīng)有許多的分析結(jié)果。在FSE2011上，Sasaki和Yasuda對(duì)Feistel-SP結(jié)構(gòu)給出了11輪的已知密鑰區(qū)分器。隨后Sasaki等人在2012年進(jìn)行了改進(jìn)，但是Feistel-SP結(jié)構(gòu)的已知密鑰區(qū)分器的輪數(shù)仍為11，對(duì)于分組長(zhǎng)度為128比特，S盒為8比特的情況，區(qū)分攻擊的時(shí)間復(fù)雜度為219，存儲(chǔ)復(fù)雜度為219。在FSE2017上，Dong等人在選擇密鑰模型下對(duì)Feistel-SP結(jié)構(gòu)給出了12輪的選擇密鑰區(qū)分器，并

3、且對(duì)于分組長(zhǎng)度為128比特，S盒為8比特的Feistel-SP，區(qū)分攻擊的時(shí)間復(fù)雜度為240，存儲(chǔ)復(fù)雜度為235。
　　以上對(duì)于Feistel-SP結(jié)構(gòu)的研究結(jié)果都是基于反彈攻擊(Rebound Attack)方法，其構(gòu)造區(qū)分器的實(shí)質(zhì)是利用差分的思想。在2014年，Dong等人利用代數(shù)次數(shù)的思想，構(gòu)造了Feistel-SP結(jié)構(gòu)的已知密鑰高階差分區(qū)分器，改進(jìn)了Feistel-SP結(jié)構(gòu)在4比特S盒情況下的輪數(shù)，對(duì)于分組長(zhǎng)度為64比特和

4、128比特的Feistel-SP結(jié)構(gòu)，輪數(shù)分別達(dá)到了15輪和17輪。在分組密碼領(lǐng)域，零相關(guān)以及積分的思想也是構(gòu)造區(qū)分器的有效手段。在ASIACRYPT2014上，Gilbert重新給出了已知密鑰區(qū)分器的定義，并且在這個(gè)定義下進(jìn)行了10輪AES的已知密鑰積分區(qū)分攻擊。受此啟發(fā)，利用積分的思想，改進(jìn)了Feistel-SP結(jié)構(gòu)的已知密鑰區(qū)分攻擊的結(jié)果。
　　首先利用Feistel-SP結(jié)構(gòu)的一個(gè)5輪的零相關(guān)線性殼和一個(gè)4輪的零相關(guān)線性殼

5、，在已知密鑰場(chǎng)景下構(gòu)造了一個(gè)9輪的零相關(guān)區(qū)分器。然后利用Sun等人在CRYPTO2015上給出的零相關(guān)區(qū)分器與積分區(qū)分器之間的轉(zhuǎn)化關(guān)系，將9輪的零相關(guān)區(qū)分器轉(zhuǎn)化為9輪的積分區(qū)分器?；贕ilbert提出的已知密鑰區(qū)分器的思想，在Feistel-SP結(jié)構(gòu)的9輪已知密鑰積分區(qū)分器的頭和尾分別擴(kuò)展一輪，構(gòu)造了11輪的已知密鑰區(qū)分器，對(duì)于分組長(zhǎng)度為128比特，S盒為8比特的Feistel-SP結(jié)構(gòu)，區(qū)分攻擊的時(shí)間復(fù)雜度為2120，存儲(chǔ)復(fù)雜度為2