49、密码分析技术：不可能差分攻击与改进的线性壳攻击

密码分析技术：不可能差分攻击与改进的线性壳攻击

1. 不可能差分攻击相关

在密码分析领域，不可能差分攻击是一种重要的手段。有研究人员提供了一种工具，该工具以变量 $X$ 的方程组 $E$ 和子集 $Y \subseteq X$ 作为输入，输出在 $E$ 的约束下枚举 $Y$ 所有可能值的最优算法列表，且这些算法具有可预测的时间和内存复杂度。方程组需由以下形式的方程组成：
$\sum \alpha_i x_i \oplus \sum \beta_j S(x_j) \oplus \gamma = 0$
其中，$\alpha_i$、$\beta_j$ 和 $\gamma$ 是有限域 $GF(2^q)$ 中的常量，$S$ 是一个 $q$ 位的 S 盒。由于 TWINE 的密钥调度自然地由这样的方程描述，所以可以使用该工具。

在对 25 轮 TWINE - 128 的不可能差分攻击中，使用早期中止技术时，通过算法在个人计算机上大约 1 小时就能找到早期中止技术的最优排列。结果发现，对于所有排列 $\sigma$，有：
$\sum_{1\leq i\leq38} 2^{|k_{\sigma(1)}\cup…\cup k_{\sigma(i)}|}-\sum_{0\leq j < i} r_{\sigma}^j \cdot N_{\alpha} C_{E’} > 2^{54} \cdot N_{\alpha} C_{E’}$
因为 $N_{\alpha} = \alpha \cdot 2^{75.5}$，所以整个攻击的时间复杂度高于：
$C N_{\alpha} + \alpha \cdot 2^{127.6} + 2^{128 - \alpha}$