29、对PRINTcipher的密码分析：不变子空间攻击

对PRINTcipher的密码分析：不变子空间攻击

1. 引言

在对称密码学领域，分组密码常被认为是研究较为透彻的主题之一。与流密码和哈希函数相比，设计一个安全的分组密码或许相对直接，但要同时实现高效性仍颇具挑战。

近年来，多数分组密码的设计聚焦于轻量级密码学领域。轻量级密码学为资源极度受限的设备提供了安全通信的基础组件，这些设备受成本因素制约，计算能力、芯片面积和电源供应都极为有限。为设计出适用于此类设备的高效分组密码，相关竞争不断，这也催生了越来越激进的设计方案，这些方案通常具有两个特点：一是采用创新技术改进现有密码，导致设计不够标准，理解难度增加；二是为优化密码性能，尽可能降低传统分组密码的安全裕度。

这种情况引发了针对这些新设计的一系列攻击。这些攻击不仅能破解轻量级密码，还能加深我们对分组密码的整体理解。接下来，我们将介绍一种名为不变子空间攻击的新方法，它可以破解2010年CHES会议上提出的分组密码PRINTcipher。目前对PRINTcipher最有效的分析是2011年FSE会议上提出的差分风格攻击，但该攻击只能应用于不到一半轮数的PRINTcipher。不变子空间攻击不仅能破解PRINTcipher，还为攻击分组密码提供了新工具，并且与其他成熟的攻击技术存在有趣的关联，有助于提升我们对分组密码密码分析的整体理解。

1.1 我们的贡献

我们提出了一种针对PRINTcipher的新攻击方法。该攻击基于这样的观察：对于PRINTcipher，存在$F_2^n$子空间的陪集，轮函数会将其映射到同一子空间的陪集，具体陪集由轮密钥决定。若轮密钥使陪集映射到自身，且PRINTcipher中所有轮密钥相同，那么对于某些（弱）密钥，一些仿