28、简化版AES-192和AES-256的相关密钥矩形攻击及XSL攻击分析

简化版AES-192和AES-256的相关密钥矩形攻击及XSL攻击分析

1. 相关密钥矩形攻击

1.1 减少相关密钥数量

在攻击中，若采用更精细的相关密钥，可将相关密钥数量从256个减少到64个。以下是这64个相关密钥的具体情况：
- 16个密钥候选Ki（i = 0, 1, …, 15） ：对于密钥K，16个Ki的每个字节位置的值都相同，除了每个Ki的字节3与字节11相同，记为si，且s0, s1, …, s15两两不同。
- 16个密钥候选K∗i ：对于密钥K∗，Ki ⊕ K∗i的字节1和9都为a，其他字节都为0。
- 16个密钥候选K′j（j = 0, 1, …, 15） ：对于密钥K′，16个K′j的字节与某个Ki的字节相同，除了每个K′j的字节3与字节11相同，记为tj，且t0, t1, …, t15两两不同，并且K′j ⊕ Ki的字节8和12都为a。
- 16个密钥候选K′∗j ：对于密钥K′∗，K′∗j ⊕ K′j的字节1和9都为a，其他字节都为0。

利用这些精心选择的密钥关系，可构成256个密钥四重奏 (Ki, K∗i, K′j, K′∗j)，预计其中一个满足所需的密钥条件：Ki ⊕ K∗i = K′j ⊕ K′∗j = ΔK 且 Ki ⊕ K′j = K∗i ⊕ K′∗j = ΔK′ （注意，Ki ⊕ K′j 和 K∗i ⊕ K′∗j 的字节3和11都为 si ⊕ tj，预计其中一个为b）。

若在攻击算法中使用这64个相关密钥，攻击的数据复杂度为2¹²