29、基于线性特征分析的Trivium流密码设计与安全分析

基于线性特征分析的Trivium流密码设计与安全分析

在密码学领域，流密码的设计与安全分析至关重要。本文将围绕一种流密码的设计与分析展开，深入探讨其构造、线性特征、相关性以及安全性等方面。

1. 基本构造

从分组密码构造密钥流生成器的常见方法是使用输出反馈（OFB）模式。在这种模式下，输入一个初始数据块（初始值或IV），将其通过分组密码处理，然后将结果反馈到输入。这个过程不断迭代，数据块的连续值被用作密钥流。分组密码通常由一系列轮组成，每一轮包含一层S盒和一个线性扩散变换。

采用类似的方法，但使用特定的流密码组件，可得到一个简单的密钥流生成器，如图4(a)所示。该生成器由两轮组成，每一轮包含一个S盒和一个非常简单的线性滤波器。数据字按顺时针方向遍历结构，第二轮的输出作为密钥流，并反馈到第一轮的输入。

与OFB模式下的分组密码相比，此方案虽有结构上的相似性，但也存在重要差异。最根本的区别在于，线性滤波器与扩散矩阵不同，它有内部状态。如果算法能将这个状态（或至少部分状态）保密，就无需单独的密钥加法层。

2. 线性特征分析

本章的主要目标是构造一个生成看似不相关比特流的方案。具体而言，希望攻击者无法检测到密钥流中不同位置比特的线性组合之间的相关性。对线性特征的研究为设计方案组件以降低这些相关性的幅度提供了指导。

将相关工具应用于图4(a)的构造，可得出关于低权重线性特征存在性的一些结果。“低权重”指的是激活的S盒数量较少。为了构造可被攻击者检测到的相关性特征，从第一轮输入的选择多项式γu开始，分析其在密码中的传播方式。

特征首先需要穿过一个S盒，S盒会保留γu非零系数的位置，但可能会