44、四轮密钥交替Feistel密码的密钥相关消息安全性

四轮密钥交替Feistel密码的密钥相关消息安全性

1. 四轮KAF密码概述

研究的四轮KAF（Key - Alternating Feistel）密码使用单个轮函数 $F: {0, 1}^n \to {0, 1}^n$，密钥 $k = (k_1, k_2, k_3, k_4) \in ({0, 1}^n)^4$，其中 $k_1$ 和 $k_4$ 是均匀随机的，对 $k_2$ 和 $k_3$ 的分布无特定假设。

对于范围为 ${0, 1}^{2n}$ 的KDM（Key - Dependent Message）函数 $\varphi$，定义 $\varphi_L$ 和 $\varphi_R$ 分别返回 $\varphi$ 的最左边 $n$ 位和最右边 $n$ 位。对于消息空间 $M = {0, 1}^{2n}$ 的KDM集合 $\Phi$，定义 $\Phi_L := {\varphi_L : \varphi \in \Phi}$ 和 $\Phi_R := {\varphi_R : \varphi \in \Phi}$。

2. 四轮KAF的KDM - CCA安全性定理

定理表明，当使用相同的轮函数且轮密钥 $k_1$ 和 $k_4$ 均匀随机时，若密钥相关函数集合 $\Phi$ 的无爪性（claw - freeness）可忽略，且 $\Phi_R$ 的无偏移性（offset - freeness）和无偏移异或性（offset - xor - freeness）可忽略，则四轮KAF是KDM - CCA安全的。

定理4.1 ：设 $KAFF_k$ 是基于单个轮函数 $F: {0, 1}^n \to {0,