42、模 2n - 1 加法的线性逼近研究

ff678634

于 2025-10-28 10:41:29 发布

阅读量28

点赞数

CC 4.0 BY-SA版权

分类专栏：快速软件加密前沿探析文章标签：模2n-1加法线性密码分析相关性

本文链接：https://blog.youkuaiyun.com/ff678/article/details/154278380

快速软件加密前沿探析专栏收录该内容

47 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

模 2n - 1 加法的线性逼近研究

1. 引言

线性密码分析是强大且通用的密码分析方法之一，主要任务是找出目标函数输入与输出间的线性关系。在分组密码中，常能发现密钥、明文和密文间以一定概率成立的线性关系，若已知一些明文 - 密文对，就能大概率恢复部分密钥位。在流密码里，线性密码分析常与区分密码分析结合，目标是建立线性区分器，将目标算法生成的密钥流与随机序列区分开。

对于分组密码和流密码，找到评估其抗线性密码分析能力的有效方法很重要。多数密码算法由精心选择的组件和操作构成，所以需计算这些组件或操作的线性逼近。模 2n 加法是常见操作，在密码算法设计中广泛应用，相关研究成果较多。而模 2n - 1 加法也是重要算术操作，但关于其线性逼近的公开研究成果较少。

新的流密码 ZUC 及其相关算法被提出作为 LTE 加密和完整性候选方案，其中模 231 - 1 加法是基本操作，因为 ZUC 的线性反馈移位寄存器（LFSR）定义在素域 F231 - 1 上。为评估 ZUC 抗线性密码分析的能力，有必要研究模 231 - 1 加法线性逼近的性质。本文借助模 2n 加法的已知结果，直接推导出模 2n - 1 加法两个输入时线性逼近相关性的表达式，对于多输入情况给出迭代表达式，还讨论了一类特殊线性逼近（所有掩码都为 1）相关性在 n 趋于无穷时的极限。

2. 预备知识

2.1 线性逼近及其相关性

设 n 为正整数，Z2n 表示满足 0 ≤ x ≤ 2n - 1 的整数集合。对于整数 x ∈ Z2n，其二进制表示为 (x = x_{(n - 1)}x_{(n - 2)} \cdots x_{(0)} = \sum_{i = 0}^{n - 1} x_{(i)}2^i)，其中 (x_{(i)} \in {0, 1})，称 (x_{(i)}) 为 x 的第 i 位。

对于任意两个整数 w, x ∈ Z2n，它们的内积定义为 (w \cdot x = \sum_{i = 0}^{n - 1} w_{(i)}x_{(i)})。

设 J 是 Z2n 的非空子集，k 为正整数，f 是从 Jk 到 J 的函数。给定 k + 1 个常数 u, w1, · · ·, wk ∈ Z2n，函数 f 与 u, w1, · · ·, wk 相关的线性逼近是形如 (u \cdot f(x_1, \cdots, x_k) = \sum_{i = 1}^{k} w_i \cdot x_i) 的近似关系，(u, w1, · · ·, wk) 被称为 f 的线性掩码。该线性逼近的效率由其相关性衡量，相关性定义为：
[cor_f(u; w_1, \cdots, w_k) = 2 Pr(u \cdot f(x_1, \cdots, x_k) = \sum_{i = 1}^{k} w_i \cdot x_i) - 1 = \frac{1}{|J|^k} \sum_{(x_1, \cdots, x_k) \in J^k} (-1)^{u \cdot f(x_1, \cdots, x_k) \oplus \sum_{i = 1}^{k} w_i \cdot x_i}]
其中概率是在 J 上均匀分布的 x1, · · ·, xk 上取值，|J| 表示集合 J 的基数。

2.2 模 2n 加法的线性逼近

用 ⊞ 表示模 2n 加法，即对于任意 x1, x2 ∈ Z2n，有 (x_1 \oplus x_2 = (x_1 + x_2) \bmod 2^n)。设 (u, w1, w2) 是加法 ⊞ 的线性掩码，cor⊞(u; w1, w2) 表示线性逼近 (u \cdot (x_1 \oplus x_2) = w_1 \cdot x_1 \oplus w_2 \cdot x_2) 的相关性。从线性掩码 (u, w1, w2) 可导出序列 (z = z_{n - 1} \cdots z_0)：
[z_i = u_{(i)}2^2 + w_{(i)} 2 2 + w {(i)} 1, i = 0, 1, \cdots, n - 1]
显然 0 ≤ zi ≤ 7。定义 (M_n(u, w_1, w_2) = \prod {i = 0}^{n - 1} A_{z_i})，其中 Aj（j = 0, 1, · · ·, 7）是 2 × 2 的常数矩阵，定义如下：
[A_0 = \frac{1}{4} \begin{bmatrix} 3 & 1 \ 1 & 3 \end{bmatrix}, A_1 = A_2 = -A_4 = \frac{1}{4} \begin{bmatrix} 1 & 1 \ -1 & -1 \end{bmatrix}, -A_3 = A_5 = A_6 = \frac{1}{4} \begin{bmatrix} 1 & -1 \ -1 & 1 \end{bmatrix}, A_7 = \frac{1}{4} \begin{bmatrix} 3 & -1 \ 1 & -3 \end{bmatrix}]

有如下定理：
定理 1 ：对于任意给定的线性掩码 (u, w1, w2)，设 (M_n(u, w_1, w_2) = (M_{i, j}) {0 \leq i, j \leq 1})，则有：
[M {i, j} = Pr(u \cdot (x_1 \oplus x_2) = w_1 \cdot x_1 \oplus w_2 \cdot x_2 \land c_n = i \land c_0 = j) - Pr(u \cdot (x_1 \oplus x_2) \neq w_1 \cdot x_1 \oplus w_2 \cdot x_2 \land c_n = i \land c_0 = j)]
其中 c0 是初始进位位，cn 是 x1 和 x2 相加（初始进位位为 c0）的第 n 位进位位。通常 c0 = 0，且 (cor_{\oplus}(u; w_1, w_2) = M_{0, 0} + M_{1, 0})。

推论 1 ：设 (x_1\overline{\oplus}x_2 = x_1 \oplus x_2 \oplus 1)，(u, w1, w2) 是 (\overline{\oplus}) 的线性掩码，cor(\overline{\oplus})(u; w1, w2) 表示线性逼近 (u \cdot (x_1\overline{\oplus}x_2) = w_1 \cdot x_1 \oplus w_2 \cdot x_2) 的相关性，则 (cor_{\overline{\oplus}}(u; w_1, w_2) = M_{0, 1} + M_{1, 1})。

3. 模 2n - 1 加法线性逼近的一些性质

3.1 基本性质

设 n ≥ 2 且 k ≥ 2，为与 ZUC 中素域 F2n - 1 加法定义一致，规定模 2n - 1 剩余类的代表集为 {1, 2, · · ·, 2n - 1} 而非 {0, 1, · · ·, 2n - 2}。

设 J = {1, 2, · · ·, 2n - 1}，用 (\hat{\oplus}) 表示模 2n - 1 加法，即对于任意 x1, x2 ∈ J，有：
[x_1 \hat{\oplus} x_2 = \begin{cases} x_1 + x_2, & \text{if } x_1 + x_2 < 2^n \ (x_1 + x_2 + 1) \bmod 2^n, & \text{if } x_1 + x_2 \geq 2^n \end{cases}]
例如，当 n = 3 时，J = {1, 2, · · ·, 7}，2 (\hat{\oplus}) 6 = 1，3 (\hat{\oplus}) 4 = 7。

对于任意给定的线性掩码 (u, w1, · · ·, wk)，用 (cor_{\hat{\oplus}}(u; w_1, · · ·, w_k)) 表示线性逼近 (u \cdot (x_1 \hat{\oplus} \cdots \hat{\oplus} x_k) = \sum_{i = 1}^{k} w_i \cdot x_i) 的相关性，为简便记为 (cor(u; w_1, · · ·, w_k))。

有以下两个定理：
- 定理 2 ：对于任意给定的线性掩码 (u, w1, · · ·, wk) 和 (1, · · ·, k) 的任意排列 (i1, · · ·, ik)，有 (cor(u; w_1, · · ·, w_k) = cor(u; w_{i_1}, · · ·, w_{i_k}))。
- 定理 3 ：对于任意给定的线性掩码 (u, w1, · · ·, wk) 和整数 ℓ（1 ≤ ℓ ≤ n - 1），有 (cor(u; w_1, · · ·, w_k) = cor(u \ll \ell; w_1 \ll \ell, · · ·, w_k \ll \ell))，其中 (x \ll \ell) 表示 x 向左循环移位 ℓ 位。

3.2 两个输入的加法

对于任意线性掩码 (u, w1, w2)，推导 (cor(u; w_1, w_2)) 的显式表达式。当 (x_1 + x_2 < 2^n) 时，(x_1 \hat{\oplus} x_2 = x_1 \oplus x_2)；当 (x_1 + x_2 \geq 2^n) 时，(x_1 \hat{\oplus} x_2 = x_1 \oplus x_2 \oplus 1)。

定理 4 ：设 (u, w1, w2) 是模 2n - 1 加法 (\hat{\oplus}) 的线性掩码，(M_n(u, w_1, w_2) = (M_{i, j}) {0 \leq i, j \leq 1})，则有：
[cor(u; w_1, w_2) = \frac{2^{2n}(M {0, 0} + M_{1, 1}) + 2^n \cdot c + 1}{(2^n - 1)^2}]
其中：
[c = \begin{cases} -3, & \text{if } u = w_1 = w_2 \text{ and } w_H(w_2) \text{ is even} \ 1, & \text{if } u \neq w_1 = w_2 \text{ and } w_H(w_2) \text{ is odd} \ 0, & \text{if } u, w_1 \text{ and } w_2 \text{ are pairwise different} \ -1, & \text{otherwise} \end{cases}]
(w_H(w_2)) 表示 w2 二进制表示的汉明重量。

3.3 多输入的加法

将 k 个输入 x1, · · ·, xk 的加法看作 (x_1 \hat{\oplus} \cdots \hat{\oplus} x_{k - 1}) 和 xk 的加法。

定理 5 ：对于任意给定的线性掩码 (u, w1, · · ·, wk) 和整数 k > 2，有：
[cor(u; w_1, · · ·, w_k) = \frac{2^n - 1}{2^n} \sum_{w = 0}^{2^{n - 1}} cor(w; w_1, · · ·, w_{k - 1})cor(u; w, w_k)]

4. 两个输入的模 2n - 1 加法线性逼近的更多性质

4.1 相关定义和引理

设 Q 为有理数域，定义：
[I = \left{\begin{bmatrix} a & b \ b & a \end{bmatrix} | a, b \in Q \right}, II = \left{\begin{bmatrix} a & -b \ b & -a \end{bmatrix} | a, b \in Q \right}]
称集合 I（或 II）中的矩阵为 I 型（或 II 型）矩阵。易知 (A_0, A_3, A_5, A_6 \in I) 且 (A_1, A_2, A_4, A_7 \in II)。

有以下引理：
- 引理 1 ：任意两个 I 型（或 II 型）矩阵的乘积是 I 型矩阵。
- 引理 2 ：I 型矩阵和 II 型矩阵的乘积是 II 型矩阵。
- 引理 3 ：对于任意给定的线性掩码 (u, w1, w2)，(M_n(u, w_1, w_2)) 要么是 I 型要么是 II 型。

对于任意方阵 M，用 Tr(M) 表示矩阵 M 的迹，即主对角线元素之和。由于任意 II 型矩阵的迹为 0，有以下推论：
- 推论 2 ：对于任意给定的线性掩码 (u, w1, w2)，若由 (u, w1, w2) 通过公式 (3) 导出的序列 (z = z_{n - 1} \cdots z_0) 中，满足 (z_i \in {1, 2, 4, 7}) 的元素个数为奇数（i = 0, 1, · · ·, n - 1），则 (Tr(M_n(u, w_1, w_2)) = 0)。
- 推论 3 ：设 (u \in Z_{2^n}) 且 (w_H(u)) 为奇数，则 (Tr(M_n(u, u, u)) = 0)，(cor(u; u, u) = -\frac{1}{2^n - 1})，且 (\lim_{n \to \infty} cor(u; u, u) = 0)。
- 推论 4 ：设 (u \in Z_{2^n}) 且 (w_H(u)) 为偶数，则 (M_n(u, u, u)) 是 I 型，即 (M_{0, 0} = M_{1, 1})，(cor(u; u, u) = \frac{2^{2n} \cdot 2M_{0, 0} - 3 \cdot 2^n + 1}{(2^n - 1)^2})。若 u 二进制表示中所有 1 相邻，则 (cor(u; u, u) = \frac{2^{2n} \cdot (2^{\frac{w_H(u)}{2}} - n + 2^{-\frac{w_H(u)}{2}}) - 3 \cdot 2^n + 1}{(2^n - 1)^2})，且 (\lim_{n \to \infty} cor(u; u, u) = 2^{-\frac{w_H(u)}{2}})。

4.2 特殊线性掩码的性质

对于一类特殊线性掩码 (u, 1, w)，设 (z = z_{n - 1} \cdots z_0) 是由 (u, 1, w) 导出的序列，易知 (z_0 \in {1, 3, 5, 7}) 且 (z_i \in {0, 2, 4, 6})（1 ≤ i ≤ n - 1），简记 (M = M_n(u, 1, w))。

引理 5 ：对于任意整数 (u, w \in Z_{2^n})，若 (Tr(M) \neq 0)，则序列 z 的形式要么是 ({0, 6}^{n - 1}{3, 5}) 要么是 ({0, 6}^ {2, 4}0^ 7)。

定理 6 ：对于任意整数 (u, w \in Z_{2^n})，(Tr(M) \neq 0) 当且仅当 (u = w \oplus 2^i)，其中 (0 \leq i \leq LNB(w \oplus 1))，LNB(x) 表示 x 二进制表示中 1 出现的最小索引（若 x = 0，则 LNB(0) = n - 1）。

推论 5 ：对于任意整数 (u, w \in Z_{2^n}) 且 (u = w \oplus 2^i)（(0 \leq i \leq LNB(w \oplus 1))），有 (Tr(M) = (-1)^s2^{-(n - i)})，其中：
[s = \begin{cases} 0, & \text{if } i = 0 \text{ and } w(0) = 0 \text{ or } i > 0 \text{ and } w(i) = 1 \ 1, & \text{otherwise} \end{cases}]

推论 6 ：对于形式为 (w, 1, 1) 的掩码，线性逼近的相关性为：
[cor(w; 1, 1) = \begin{cases} \frac{1}{(2^n - 1)^2}, & \text{if } w = 0 \ -\frac{1}{2^n - 1}, & \text{if } w = 1 \ -\frac{2^n + i + 2^{n + 1}}{(2^n - 1)^2}, & \text{if } w = 2^i + 1, 1 \leq i \leq n - 1 \ \frac{2^{n + 1}}{(2^n - 1)^2}, & \text{otherwise} \end{cases}]
对于形式为 (1, w, 1) 的掩码，线性逼近的相关性为：
[cor(1; w, 1) = \begin{cases} \frac{1}{(2^n - 1)^2}, & \text{if } w = 0 \ \frac{2^n + i - 2^{n + 1}}{(2^n - 1)^2}, & \text{if } w = 2^i + 1, 1 \leq i \leq n - 1 \ -\frac{1}{2^n - 1}, & \text{otherwise} \end{cases}]

4.3 流程图展示

graph TD;
    A[开始] --> B[输入线性掩码(u, w1, w2)];
    B --> C[计算序列z];
    C --> D{Tr(Mn(u, w1, w2))是否为0};
    D -- 是 --> E[根据推论处理];
    D -- 否 --> F[判断z的形式];
    F --> G[根据z的形式计算相关性];
    G --> H[输出相关性结果];
    E --> H;
    H --> I[结束];

4.4 总结表格

条件	结论
(u = w_1 = w_2) 且 (w_H(w_2)) 为偶数	(cor(u; w_1, w_2)) 按定理 4 中 (c = -3) 计算
(u \neq w_1 = w_2) 且 (w_H(w_2)) 为奇数	(cor(u; w_1, w_2)) 按定理 4 中 (c = 1) 计算
(u, w_1, w_2) 两两不同	(cor(u; w_1, w_2)) 按定理 4 中 (c = 0) 计算
其他情况	(cor(u; w_1, w_2)) 按定理 4 中 (c = -1) 计算
(u \in Z_{2^n}) 且 (w_H(u)) 为奇数	(cor(u; u, u) = -\frac{1}{2^n - 1}) 且 (\lim_{n \to \infty} cor(u; u, u) = 0)
(u \in Z_{2^n}) 且 (w_H(u)) 为偶数且 1 相邻	(cor(u; u, u) = \frac{2^{2n} \cdot (2^{\frac{w_H(u)}{2}} - n + 2^{-\frac{w_H(u)}{2}}) - 3 \cdot 2^n + 1}{(2^n - 1)^2}) 且 (\lim_{n \to \infty} cor(u; u, u) = 2^{-\frac{w_H(u)}{2}})
特殊线性掩码 (u, 1, w) 且 (Tr(M) \neq 0)	(u = w \oplus 2^i)，(0 \leq i \leq LNB(w \oplus 1))

5. 所有掩码为 1 的线性逼近的极限分析

5.1 问题提出

对于模 (2^n - 1) 加法，考虑一类特殊的线性逼近，即所有掩码都为 1 的情况。设 (k) 为模 (2^n - 1) 加法的输入个数，研究当 (n) 趋于无穷时，这类线性逼近相关性的极限情况。

5.2 奇偶性对极限的影响

当 (k) 为偶数时，经过一系列推导和分析可以证明，这类线性逼近相关性的极限等于零。这是因为在偶数输入的情况下，随着 (n) 的增大，各种可能的组合使得线性逼近的相关性逐渐趋于平衡，最终导致极限为零。

当 (k) 为奇数时，其极限是一个依赖于 (k) 的常数。具体来说，这个常数是由 (k) 的取值以及模 (2^n - 1) 加法的特性共同决定的。在分析过程中，需要考虑输入的各种组合以及进位情况等因素。

5.3 极限分析的流程图

graph TD;
    A[开始] --> B[确定输入个数k];
    B --> C{k是否为偶数};
    C -- 是 --> D[计算偶数情况极限为0];
    C -- 否 --> E[根据k值计算奇数情况极限];
    D --> F[输出极限结果];
    E --> F;
    F --> G[结束];

5.4 极限分析总结表格

(k) 的奇偶性	极限情况
偶数	极限等于 0
奇数	极限为依赖于 (k) 的常数

6. 总结与展望

6.1 研究成果总结

表达式推导 ：借助模 (2^n) 加法的已知结果，成功推导出模 (2^n - 1) 加法两个输入时线性逼近相关性的显式表达式，对于多输入情况给出了迭代表达式。
特殊情况分析 ：对于所有掩码都为 1 的特殊线性逼近，分析了其相关性在 (n) 趋于无穷时的极限情况，得出当 (k) 为偶数时极限为 0，当 (k) 为奇数时极限为依赖于 (k) 的常数的结论。
性质研究 ：深入研究了两个输入的模 (2^n - 1) 加法线性逼近的更多性质，包括矩阵类型、迹的性质以及特殊线性掩码下的相关性等。

6.2 实际应用意义

这些研究成果对于评估流密码 ZUC 抗线性密码分析的能力具有重要意义。由于 ZUC 中模 (2^{31} - 1) 加法是基本操作，通过对其线性逼近性质的研究，可以更准确地了解 ZUC 在面对线性密码分析时的安全性。同时，对于其他使用模 (2^n - 1) 加法的密码算法，这些成果也可以作为参考，用于评估其抗线性密码分析的能力。

6.3 未来研究方向

更复杂情况研究 ：可以进一步研究模 (2^n - 1) 加法在更多特殊情况下的线性逼近性质，例如不同输入分布、不同掩码组合等。
与其他密码分析方法结合 ：考虑将线性密码分析与其他密码分析方法相结合，以更全面地评估密码算法的安全性。
实际应用优化 ：探索如何将这些理论研究成果应用到实际的密码算法设计和优化中，提高密码算法的安全性和性能。

6.4 研究流程总结表格

研究阶段	主要内容
基础理论准备	介绍线性逼近及其相关性的定义，回顾模 (2^n) 加法的线性逼近性质
模 (2^n - 1) 加法性质研究	推导模 (2^n - 1) 加法线性逼近的基本性质、两个输入和多输入的相关性表达式
特殊情况分析	研究两个输入的更多性质，分析所有掩码为 1 时的极限情况
总结与展望	总结研究成果，探讨实际应用意义和未来研究方向