29、密码学中的Feistel方案攻击与Rijndael硬件架构优化

密码学中的Feistel方案攻击与Rijndael硬件架构优化

1. Feistel方案的通用攻击

在密码学领域，Feistel方案是一种常见的分组密码结构。以往，对Feistel方案的通用攻击主要集中在1 - 4轮。但现在发现，5轮Feistel方案也存在通用攻击方法。

1.1 6轮Feistel生成器的区分攻击

通过对值α的计数，当$\frac{\lambda m^4}{2^{8n}}$不可忽略时，例如$\lambda = O(1)$且$m = O(2^{2n})$，就能够区分6轮Feistel生成器和真正的随机置换生成器。具体来说，在大约$2^{32}$次计算和$2^{32}$个选择明文的情况下，可以区分从生成器中选取的几个6轮Feistel置换和一组真正的随机置换（或具有偶签名的随机置换集合），范围是从32位到32位。

1.2 对k轮Feistel生成器的攻击

这种攻击可以扩展到任意轮数k。假设k为偶数（k为奇数时证明类似），令$\lambda = \frac{k}{2} - 1$，考虑一个关于(L, R, S, T)的方程组攻击。这里有$\mu = \lambda^2 = (\frac{k}{2} - 1)^2$个索引，以及$4\lambda(\lambda - 1) = k^2 - 6k + 8$个关于L, R, S, T的方程。可以证明，对于k轮Feistel方案，图3中$4\lambda(\lambda - 1)$个方程存在的概率大约是真正随机置换的两倍。

在固定置换上，攻击成功的概率为$O(\frac{m^{(\frac{k}{2} - 1)^2}}{2^n \cdot 4\lambda(\la