52、通用类白盒实现的密码分析及CAST系列密码的线性分析

通用类白盒实现的密码分析及CAST系列密码的线性分析

白盒实现密码分析

在白盒密码实现的密码分析中，我们有如下重要结论：$\epsilon \circ Q(\tilde{x}) = e \oplus E \circ Q(\tilde{x}) = \sum_{j=1}^{s} v_j \oplus \sum_{j=1}^{s} E_jQ_j(\tilde{x} j) = \sum {j=1}^{s} T_j(\tilde{x}_j) = GSLT(\tilde{x})$，由此可知 $GSLT = \epsilon \circ Q$ 是 $GSLT$ 作为 $SAT$ 密码的一种表示，其中仿射映射 $\epsilon$ 和对角映射 $Q$ 攻击者均可明确知晓。

接下来进入提取密钥的阶段。我们采用的策略是，先推导白盒化 $SLT$ 密码的 $S$ 盒 $S^{(r)} i$ 与通用 $SAT$ 密码的 $S$ 盒 $Q^{(r)}_i$ 之间的关系，其形式为 $Q^{(r)}_i = \gamma^{(r)}_i \circ S^{(r)}_i \circ \delta^{(r)}_i$，这里 $\gamma^{(r)}_i$ 和 $\delta^{(r)}_i$ 为仿射函数。对角映射 $\delta^{(r)} = (\delta^{(r)}_1, \delta^{(r)}_2, \ldots, \delta^{(r)}_s)$ 依赖于 $F^{(r)} {SLT}$ 的轮密钥 $k^{(r)}$ 以及 $G^{(r)} {SLT}$ 对 $F^{(r)} {SLT}$ 输入施加的仿射编码 $\alpha^{(r)}$；函数 $\gamm