18、块密码的线性故障分析与256位密钥HyRAL的等价密钥分析

块密码的线性故障分析与256位密钥HyRAL的等价密钥分析

1. 线性故障分析（LFA）概述

在块密码的研究领域，线性故障分析（LFA）是一种新型的故障攻击方法。与传统的差分故障分析（DFA）不同，LFA利用块密码连续几轮的线性特征，而非DFA中使用的S盒差分分布。这种新方法在一定条件下，能处理比DFA更早触发故障的情况，只要存在合适的线性近似，即使密码已针对DFA进行了保护，也可能通过LFA实施有效攻击。

2. LFA对SERPENT密码的攻击分析

为了验证LFA的有效性，研究人员将其应用于分析SERPENT块密码。通常，针对SERPENT的DFA攻击对策是保护密码的最后两轮，因为目前已知的DFA攻击无法在倒数第二轮之前诱导故障。然而，LFA成功地对受保护的SERPENT实现进行了有效攻击。

2.1 攻击复杂度分析

• 数据复杂度 ：在对SERPENT的密钥恢复攻击中，密文对可以进行复用。攻击成功概率约为1时，数据复杂度估计为$2×2^{22.14} = 2^{23.14}$个密文对或$2^{23.14}$个错误密文。
• 时间复杂度 ：攻击的时间复杂度主要由基于方程（1）的第7个区分器对活动半字节的解密操作决定。考虑恢复$K_{31}$的攻击，时间复杂度约为$2×2^{22.14}×2^{16}×\frac{6}{32×32} ≈ 2^{31.73}$次SERPENT加密。
• 内存复杂度 ：攻击的内存复杂度主要用于存储基于方程（1）的第7个区分器中的$|T_{K_g