40、具有扩展轮函数的广义Feistel网络的相关密钥分析

具有扩展轮函数的广义Feistel网络的相关密钥分析

1. 引言

广义Feistel网络是对经典Feistel分组密码结构的扩展。经典Feistel分组密码，如数据加密标准（DES），依赖于Feistel置换$\Psi_F (A, B) := (B, A \oplus F(B))$，其中$F : {0, 1}^n \to {0, 1}^n$是保持域不变的轮函数。

广义Feistel网络在多个方面进行了扩展，产生了不同的变体：
- 收缩Feistel网络（CFNs） ：采用收缩轮函数$G : {0, 1}^m \to {0, 1}^n$，其中$m > n$。
- 扩展Feistel网络（EFNs） ：采用扩展轮函数$F : {0, 1}^n \to {0, 1}^m$，$m > n$。
- 交替Feistel网络（AFNs） ：交替执行收缩和扩展轮函数。

一些知名的分组密码遵循这些Feistel变体，例如中国标准SMS4是收缩型，BEAR/LION/LIONESS是交替型。此外，CFNs支持全域安全加密方案，AFNs被提议作为格式保留加密（FPE）的分组密码操作模式，并被NIST格式保留加密标准FFX采用。

Feistel网络及其变体的可证明安全性由Luby和Rackoff发起，他们将轮函数建模为伪随机函数（PRFs），通过通用的标准到理想的归约，将方案转换为使用秘密随机轮函数的网络，证明了信息论上的不可区分性，即没有区分器能够区分Feistel网络和2n位字符串上的随机置换。后续工作对这一方向进行了扩展和细