44、HALFLOOP - 48的差分特性与攻击分析

HALFLOOP - 48的差分特性与攻击分析

1. 差分特性搜索模型

在研究可调节分组密码HALFLOOP - 48的差分特性时，将差分特征和差分的搜索建模为SAT问题。以下是一些相关的逻辑表达式：
[
\begin{cases}
u_0 \vee a_{0,0} = 1 \
a_{0,j} = 1, & 1 \leqslant j \leqslant w - 1 \
u_i \vee a_{i,0} = 1 \
a_{i - 1,0} \vee a_{i,0} = 1 \
u_i \vee a_{i - 1,j - 1} \vee a_{i,j} = 1 \
a_{i - 1,j} \vee a_{i,j} = 1, & 1 \leqslant j \leqslant w - 1 \
u_i \vee a_{i - 1,w - 1} = 1, & 1 \leqslant i \leqslant \ell - 2 \
u_{\ell} \vee a_{\ell - 1,w - 1} = 1
\end{cases}
]

为了提高差分概率评估的准确性，在自动模型中固定输入和输出差分，并尽可能多地找到其他差分特征。当SAT求解器返回一个解 (v \in F_2^{\omega}) 时，会生成两个索引集：
(v| 0 = {i|0 \leqslant i \leqslant \omega - 1 \text{ s.t. } v[i] = 0}) 和 (v|_1 = {i|0 \leqslant i \leqslant \omega - 1 \t