8、线性密码分析中的偏差估计

线性密码分析中的偏差估计

在密码学领域，线性密码分析是一种重要的攻击方法，而偏差估计则是其中的关键环节。本文将深入探讨线性密码分析中的偏差估计问题，介绍相关理论和方法，并分析它们的优缺点。

1. Feistel 密码偏差现象

对于 Feistel 密码，实际偏差值和估计偏差值在达到 $2^{-\frac{n}{2}}$ 阈值之前非常接近，但之后会出现明显分歧。这种现象难以简单地用多轮依赖效应的累积来解释，因为低偏差和高偏差近似的测试结果对比表明，实际值和估计值的分歧点主要由与 $2^{-\frac{n}{2}}$ 阈值的接近程度决定，而非轮数。

2. 偏差的稳定化

有两个与偏差在 $2^{-\frac{n}{2}-1}$ 附近稳定化相关的定理：
- 定理 1 ：$\exists a, b \in {0, 1}^n$，使得 $|p_{a,b} - \frac{1}{2}| \geq 2^{-\frac{n + 1}{2}}$。该定理给出了最佳近似偏差的下限。
- 定理 2 ：$\sum_{a,b\in{0,1}^n} |p_{a,b} - \frac{1}{2}|^2 = 2^{n - 2}$。此定理表明当最佳近似偏差接近理论下限时，密码的几乎所有线性近似偏差应在 $2^{-\frac{n}{2}-1}$ 左右。

3. 偏差估计的替代方法

为了更准确地估计偏差，我们分析了几种替代方法，包括相关矩阵、线性壳和统计抽样。

3.1 相关矩阵

对于函数 $f : {0, 1}^m \t