15、密码学中的流密码与指数加密

密码学中的流密码与指数加密

1. 流密码相关进展

1.1 预计算攻击与新密码的引入

在2003年，出现了一种预计算攻击方法。这种攻击需要140台个人计算机运行1年时间来生成预计算表，还需要22个200GB的硬盘来存储这些表。尽管预计算的工作量巨大，但使用这些表的单台个人计算机可以在拦截手机通信的同时快速对其进行解密。有项目尝试创建这些表以证明攻击的可行性，并取得了部分密码分析的成功。

GSM协会淡化了这些攻击的重要性，但指出一种全新的、完全不涉及线性反馈移位寄存器（LFSRs）的密码“A5/3”正在逐步取代“A5/1”。A5/3在3G和4G网络中已成为标准，但旧网络的改造进展缓慢，直到2013年，爱德华·斯诺登获取的美国国家安全局（NSA）内部文件显示，NSA能够在没有密钥的情况下“处理”加密的A5/1信息，这促使许多主要无线运营商宣布将旧的GSM网络迁移到A5/3密码系统，或者直接升级到3G及以上技术。

1.2 LFSR密码的现状

虽然LFSRs本身存在安全隐患，且GSM协会似乎已放弃使用LFSRs来保障手机通信安全，但密码设计者仍在其方案中使用LFSRs。美国尚无流密码标准，而2004年，欧洲密码学卓越网络（ECRYPT）发起了eSTREAM项目，旨在“确定适合广泛采用的新流密码”。在提交的34种密码中，最终有7种被认为足够安全、高效且实用，其中3种以某种方式使用了LFSRs。关键在于，在基于LFSR的密码中添加非线性元素时必须格外谨慎。

1.3 流密码与分组密码操作模式的研究现状

新流密码的开发和分组密码新操作模式的研究仍是活跃的研究领域。美国国家标准与技术研究院（NIST）网站目前