9、分析GIFT - COFB和Photon - Beetle的可证明安全边界

分析GIFT - COFB和Photon - Beetle的可证明安全边界

1. 引言

NIST轻量级密码学旨在为资源受限设备标准化认证加密（AE）方案。2021年3月，NIST从32个第二轮候选方案中选出了10个决赛方案，其中包括GIFT - COFB和Photon - Beetle。GIFT - COFB是一种基于分组密码的AE方案，它结合了COFB模式的变体和轻量级128位分组密码GIFT；Photon - Beetle是一种基于置换的AE方案，它结合了Beetle模式和轻量级密码置换Photon。本文研究了这两种方案的可证明安全边界，并展示了一些攻击，这些攻击的成功概率与NIST轻量级密码学最终轮规范文档中给出的安全边界不一致。

2. 预备知识

2.1 符号说明

以下是一些常用的符号说明：
- $[i] := {1, \ldots, i}$ 和 ${i} := {0, 1, \ldots, i}$。
- ${0, 1}^ $ 表示所有位串的集合。
- 长度是 $n$ 的倍数的位串集合表示为 $({0, 1}^n)^ $。
- 对于 $X \in {0, 1}^*$，$|X|$ 表示其位长。
- 空字符串 $\varepsilon$ 的长度为0。
- $X$ 在 $n$ 位块中的块长度表示为 $|X|_n := \lceil|X|/n\rceil$。
- 两个位串 $X$ 和 $Y$ 的连接写作 $X \parallel Y$ 或简单地写作 $XY$。
- $Trunc_t(X)$ 表示 $X$ 的前 $t$ 位。
- 对于两个整数 $