13、双层Square和Square+密码分析及KKS方案高效攻击

双层Square和Square+密码分析及KKS方案高效攻击

1. 双层Square和Square+密码分析

在密码学领域，双层Square和Square+这两种方案的安全性一直备受关注。下面我们将详细探讨针对它们的密码分析方法。

1.1 方程推导与简化

首先，我们从一系列方程的推导开始。将等式左边的 $P$ 替换为 $1 ≤ k ≤ (n + ℓ + p)$ 的公钥矩阵 $P(k)$，代入 $C$、$A$ 的定义，并将矩阵 $T$ 移到左边，得到：
[
(P(1), \ldots, P(n + ℓ + p))T^{-1} = [(SM_{n + ℓ}F(1)M_{n + ℓ}^{\top}S^{\top}, \ldots, SM_{n + ℓ}F(n + ℓ)M_{n + ℓ}^{\top}S^{\top})M_{n + ℓ}^{-1} || (SA(1)S^{\top}, \ldots, SA(p)S^{\top})]
]
这里，“$||$” 表示向量的拼接。需要注意的是，整个等式是在基域 $F_q$ 上进行的，而矩阵 $F(i)$ 是在扩域 $F_{q}^{n + ℓ}$ 上的。

有两个重要的点需要说明：
- 矩阵 $A(i)$ 在基域和扩域 $F_{q}^{n + ℓ}$ 上都极有可能具有高秩。
- 每一列 $SM_{n + ℓ}F(1)M_{n + ℓ}^{\top}S^{\top}$ 在扩域 $F_{q}^{n + ℓ}$ 上的秩最多为 1。并且，嵌入修改器不会改变后一种秩的性质，因为嵌入修改器只会使秩减小，而不会增大。

我们只关注将等式右边的前 $(n + ℓ)$