13、双层Square与Square+密码分析及KKS方案高效攻击

双层Square与Square+密码分析及KKS方案高效攻击

1. 双层Square与Square+密码分析

在对双层Square与Square+的密码分析中，我们首先从关键的方程推导入手。将左侧的 $P$ 替换为 $1 ≤ k ≤ (n + ℓ + p)$ 的公钥矩阵 $P(k)$，代入 $C$、$A$ 的定义，并将矩阵 $T$ 移到左侧，得到：
[
(P(1), \ldots, P(n + \ell + p))T^{-1} = [(SM_{n + \ell}F(1)M_{n + \ell}^{\top}S^{\top}, \ldots, SM_{n + \ell}F(n + \ell)M_{n + \ell}^{\top}S^{\top})M_{n + \ell}^{-1} || (SA(1)S^{\top}, \ldots, SA(p)S^{\top})]
]
这里 “||” 表示向量的拼接。需要注意的是，整个方程是在基域 $F_q$ 上，而矩阵 $F(i)$ 是在扩域 $F_{q}^{n + \ell}$ 上。

有两个重要的点需要说明：
- 矩阵 $A(i)$ 在基域和扩域 $F_{q}^{n + \ell}$ 上以压倒性的概率具有高秩。
- 每列 $SM_{n + \ell}F(1)M_{n + \ell}^{\top}S^{\top}$ 在扩域 $F_{q}^{n + \ell}$ 上的秩至多为 1。嵌入修饰符不会改变后一种秩的性质，因为嵌入修饰符只会使秩减小，而不会增加。

我们只关注将右侧的前 $(n + \ell)$ 列与最后 $p$ 列分离。所以我们不寻求完整的矩阵 $T^{-1}$，而只关注其前 $(