2、高级加密标准Rijndael的性能、安全性与硬件实现

高级加密标准Rijndael的性能、安全性与硬件实现

1 传播概率边界的动机

在密码学中，差异传播概率是一个重要的概念。对于给定的密钥值，差异传播概率为 (y) 意味着存在恰好 (y2^{n_b - 1}) 对具有给定输入差异模式和给定输出差异模式的文本。对于设计良好的密码，所有轨迹的概率都较低，并且可以假设这些对根据泊松分布分布在各个轨迹上。

在泊松分布中，遵循传播概率为 (2^{-z}) 的差分轨迹的对的预期数量为 (2^{n_b - 1 - z})。如果轨迹的概率低于 (2^{1 - n_b})，则意味着该轨迹仅会被一部分可能的密钥的对所遵循。在泊松假设下，对于给定的密钥值，该轨迹被多于一对遵循的概率近似等于 (2^{n_b - 1 - z} \ll 1)。

因此，如果没有传播概率高于 (2^{1 - n_b}) 的差分轨迹，那么具有正确输入差异模式和输出差异模式的 (y2^{n_b - 1}) 对预计会遵循几乎 (y2^{n_b - 1}) 条不同的差分轨迹。这使得预测具有大差异传播概率的输入差异模式和输出差异模式变得困难。

2 已证明的边界

对于高级加密标准（AES），可以证明四轮差分轨迹中活动S盒的数量下限为25。由于活动S盒上的差异传播概率最多为 (2^{-6})，因此八轮差分轨迹的概率低于 (2^{-300})。

在线性密码分析的情况下，同样可以证明线性八轮轨迹的相关贡献幅度低于 (2^{-150})。

3 Rijndael的性能

Rijndael可以在广泛的平台上高效运行，以下是一些实现高效性能的关键因素：
1. 32位处理器