31、HADES结构的可证明安全性分析与攻击策略

HADES结构的可证明安全性分析与攻击策略

1. 不良扩展转录本概率分析

在理想世界中，我们需要对得到不良扩展转录本的概率进行上界分析。以下是几种不良情况的定义：
- (B - 1) ：存在((x, y) \in QC)，((u_1, v_1) \in U^{(0)}_1)和索引(i \in {1, \ldots, w})，使得((x \oplus k_0) [i] = u_1)或((y \oplus k_4) [j] = v_4)。
- (B - 2) ：存在((x, y) \in QC)和不同的索引(i, j \in {1, \ldots, w})，使得((x \oplus k_0)[i] = (x \oplus k_0)[j])，或((y \oplus k_4)[i] = (y \oplus k_4)[j])。
- (B - 3) ：存在((x, y), (x’, y’) \in QC)和不同的索引(i, j \in {1, \ldots, w})，使得((x \oplus k_0)[i] = (x’ \oplus k_0)[j])，或((y \oplus k_4)[i] = (y’ \oplus k_4)[j])。

任何不属于不良情况的扩展转录本都称为良好转录本。对于这些不良情况的概率分析如下：
|情况|概率上界|
| ---- | ---- |
|(B - 1)| (\frac{wqp}{2^n}) |
|(B - 2)| (\frac{w^2q}{2^n}) |
|(B - 3)| (\frac{