42、广义Feistel网络的相关密钥分析

广义Feistel网络的相关密钥分析

1. 交替Feistel网络的基本概念

设 $m$ 和 $n$ 为正整数，且 $m \geq n$。交替Feistel网络（AFN）使用收缩轮函数 $G_{m,n}$ 和扩展轮函数 $F_{n,m}$。对于 $X \in {0, 1}^{n + m}$：
- 当 $i$ 为奇数时，第 $i$ 轮使用密钥 $K_i$ 和 $G_{m,n}$，定义为 $\Psi_{G_{m,n}}^{K_i}(X) := G_{m,n}^{K_i}(X[n + 1, n + m]) \oplus X[1, n] \parallel X[n + 1, n + m]$。
- 当 $i$ 为偶数时，第 $i$ 轮使用密钥 $K_i$ 和 $F_{n,m}$，定义为 $\Psi_{F_{n,m}}^{K_i}(X) := X[1, n] \parallel F_{n,m}^{K_i}(X[1, n]) \oplus X[n + 1, n + m]$。

$t$ 轮AFN是这些轮的组合。4轮AFN在交替密钥分配 $Alter$ 下总是RKA安全的，具体定理如下：

定理2：对于任何向预言机 $RK[AFN_{G_{m,n},F_{n,m},4}^{Alter(K)}]$ 和 $RK[AFN_{G_{m,n},F_{n,m},4}^{Alter(K)}]^{-1}$ 总共最多进行 $q$ 次查询的区分器 $D$，有
$Adv_{\Phi - rka[1]}^{AFN_{G_{m,n},F_{n,m},4}^{Alter(K)}}(D) \leq Adv_{\Phi - rka[1]}^{G_{m,n}}(D) + Adv_{\Phi - rka[1