4、相关密钥差分与不可能差分攻击技术解析

相关密钥差分与不可能差分攻击技术解析

1. 相关密钥差分与不可能差分的构建

在构建相关密钥差分和不可能差分时，我们利用了密钥调度中的差分特征。

1.1 截断差分

我们在数据随机化部分搜索了相关密钥下的截断差分特征，要求活动 S 盒的数量不超过 10 个。这是因为当活动 S 盒数量超过 10 个时，相应的概率小于 $2^{-64}$。结果发现，最长的截断差分特征位于 $I(2)s2(64)$ 和 $I(5)K2(64)$ 之间的中间 5 个 S 函数层，有 9 个活动 S 盒，使用了特定的相关密钥。从 $I(2)s2(64)$ 到 $I(3)K2(64)$ 以及从 $X(4)(64)$ 到 $I(5)K2(64)$，没有活动 S 盒，相应的差分概率为 1。

对于方程 (1) 中的每个 $\Delta_1$，我们研究了图 3 中的截断差分特征是否可能。结果表明，当且仅当方程 (1) 中的 $\Delta_1$ 是集合 ${06, 13, 34, 3f, 65, 66, 68, 7f, 9a, a6, ac, b2, bd, c6, dc, f0}$ 中的元素时，该特征是可能的。

以 $\Delta_1 = 9a$ 为例：
- $\Delta I(3)K2(64)$ 除第 4 个字节外所有字节为 0，所以 $\Delta I(4)s1(64)$ 的第 1、3、6 和 8 个字节为 0，$\Delta I(3)s2(64)$、$\Delta X(3)(64)$ 和 $\Delta I(4)K1(64)$ 如表 5 第 2 至 4 行所示。
- $\Delta I(4)s2(64)$ 的第 3、4、5 和 7 个字节为 0，所