25、对SOBER-t16和SOBER-t32的区分攻击及密钥加载线性特性分析

对SOBER-t16和SOBER-t32的区分攻击及密钥加载线性特性分析

对SOBER-t16的区分攻击

在对SOBER-t16进行区分攻击时，我们计算了Y与均匀分布之间的切尔诺夫信息，结果为 (C(P(Y ), P_U) \approx p_0^2C(P(W’), P_U))，其中 (P_U) 是均匀分布。通过相关讨论可知，为了区分带有卡顿的SOBER - t16输出与均匀源，最多需要 (N = 32 \cdot p_0^{-2} 295 \approx 2^{111}) 个密钥流符号，攻击复杂度与此相当。具体攻击步骤如下：

For t = 1 ... N do
    1. 计算 \(Z_n = z_{n + 8} \oplus \alpha z_{n + 7} \oplus z_{n + 2} \oplus \beta z_n\)。
    2. 令 \(\hat{f}_{Z_n} = \hat{f}_{Z_n} + 1\)。
end for.
计算 \(I = \sum_{x \in F_{2^{16}}} \hat{f}_x \log_2 \frac{P (Y = x)}{2^{-16}}\)。
如果 \(I > 0\)，则输出SOBER，否则输出随机

需要注意的是，(P(Y)) 依赖于Konst，完整的攻击需要对 (2^{16}) 种不同分布进行测试。

对无卡顿SOBER - t32的区分攻击

对SOBER - t16的攻击之所以可行，是因为可以通过模拟计算噪声分布 (F)，进而推导 (P(W))。但由于计算限制，在SOBER - t