30、HADES结构的可证明安全性解读

HADES结构的可证明安全性解读

1. 背景与相关研究

在密码学领域，块密码和置换的设计一直是研究的重点。2013年，Gerard等人提出了部分SPN（PSPN）构造，该构造在每一轮中仅将S盒层应用于部分状态，以此换取增加轮数。这种方法在多种场景下具有明显的性能优势，被应用于块密码Zorro和LowMC中。然而，这种方法的一个缺点是，像宽轨迹策略这样“清晰”的安全论证不适用于PSPN，因此这些设计的安全性只能通过更临时的方法来论证。事实证明，这些方法是不够的，Zorro在实际中被破解，LowMC的初始版本的安全性也被证明远低于设计者声称的水平。

2020年在Eurocrypt会议上，Grassi等人提出了HADES设计策略，该策略将经典的SPN构造与PSPN构造相结合。在HADES设计中，中间的PSPN轮层被两层SPN轮层包围。这种方案结合了两者的优点，既具有PSPN构造的效率，又能应用SPN构造的清晰安全论证。HADES设计中的线性层由MDS矩阵实现，这保证了如果任何完整轮中的S盒数量为t，那么任意两轮完整轮上的差分或线性特征至少会激活t + 1个S盒。由于PSPN轮在针对统计攻击的安全论证中未被使用，HADES设计者对方案中使用的MDS没有施加任何限制。

HADES的设计者展示了他们的策略在使用安全多方计算（MPC）保护分布式数据库数据传输方面的应用。随后，Grassi等人提出了Starkad和Poseidon哈希函数，它们的底层置换是HADES方法的实例，旨在应用于实际证明系统。

2021年在EUROCRYPT会议上，Keller等人表明，当正确选择MDS时，PSPN轮可以在针对差分和线性攻击的安全论证中被考虑，而较弱的MDS矩阵选择可能导致整个中间层存