10、简化版SHAvite - 3 - 256 v2的分析

简化版SHAvite - 3 - 256 v2的分析

1. 7轮区分器（2⁷次计算）

1.1 区分器目标

7轮区分器的目标是为SHAvite - 3 - 256的内部块密码找到一对明文/密文值，使得明文的右半部分和密文的左半部分没有差异。对于随机置换，找到这样的结构的复杂度为2⁶⁴次计算。而这里介绍的方法能以2⁷的时间和内存复杂度找到验证该路径的一对输入。

1.2 构建区分器的步骤

为了构建这个区分器，需要找到子密钥的值和差异，使得SHAvite - 3 - 256第5轮和第6轮中的3次AES轮的差异自动消除。以下是具体步骤：
| 时刻 | 固定内容 | 推导内容 | 类型 | 代价 |
| ---- | ---- | ---- | ---- | ---- |
| (type a) begin | Δk₀⁴ = Δ₂
Δk₁⁴ = Δ₂ | - | b | 1 |
| | Δk₂⁴ = Δ₃
Δk₀⁵ = Δ₃ | - | b | 1 |
| | Δk₁⁵ = Δ₂ ⊕ ((Δ₃ ∧ (2⁹⁶ - 1)) || ((Δ₃ >> 96) ⊕ Δ₂) ∧ (2³² - 1)) | - | b | 1 |
| | Δk₂⁵ = Δ₂ ⊕ ((Δk₁⁵ ∧ (2⁹⁶ - 1)) || ((Δk₁⁵ >> 96) ⊕ Δ₂) ∧ (2³² - 1)) | - | b | 1 |
| | Δk₀⁶ = Δ₃ ⊕ ((Δk₂⁵ ∧ (2⁹⁶ - 1)) || ((Δk₂⁵ >> 96) ⊕ Δ₃) ∧ (2³² - 1)) | - | b |