輪函式生成的群會生成交替群嗎?
讓 $ K,X $ 設置並讓 $ F:K\times X\rightarrow X $ 成為一個函式。對於每個 $ k\in K $ , 讓 $ f_{k}:X\rightarrow X $ 成為函式 $ f_{k}(x)=F(k,x) $ 每當 $ k\in K,x\in X $ . 假設每個 $ f_{k} $ 是雙射。
假設 $ F $ 是某些加密函式(例如 AES-128)或某些加密函式的輪函式。
如果 $ F $ 是一個密碼函式,那麼我不期望 $ {f_{k}\mid k\in K} $ 生成全對稱群 $ S_{X} $ ,但我希望 $ {f_{k}\mid k\in K} $ 生成交替組 $ A_{X} $ (讓我知道是否有任何現實世界的例子 $ f_{k} $ 是奇排列)。密碼學中有沒有被嚴格證明的案例 $ {f_{k}\mid k\in K} $ 產生或不產生交替組 $ A_{X} $ ? 例如,如果 $ F $ 是 AES-128 或 DES 的輪函式,那麼 $ {f_{k}|k\in K} $ 生成交替組 $ A_{X} $ ?
我主要對函式的情況感興趣 $ f_{k} $ 是輪函式,因為這種情況可能更容易分析,並且如果函式 $ f_{k} $ 是輪函式,那麼更有可能是 $ {f_{k}\mid k\in K} $ 生成交替組。
在大多數情況下,這個問題可能很難解決,但在某些情況下,可以證明 $ {f_{k}\mid k\in K} $ 生成交替組 $ A_{X} $ 例如過時或不安全的密碼學,或者當密碼學具有更易於分析的特殊形式時(例如 Feistel 密碼),甚至是為測試而設計的密碼算法。
我們說一個子群 $ G $ 置換群的 $ S_{X} $ 是 $ n $ - 傳遞如果無論何時 $ x_{1},\dots,x_{n} $ 是不同的元素 $ X $ 和 $ y_{1},\dots,y_{n} $ 是不同的元素 $ X $ , 那麼有一些 $ g\in G $ 和 $ g(x_{i})=y_{i} $ 每當 $ 1\leq i\leq n $ .
定理:假設 $ X $ 是有限的並且 $ |X|>24 $ . 如果 $ G $ 是一個 $ 4 $ -傳遞子群 $ S_{X} $ ,那麼要麼 $ G=S_{X} $ 或者 $ G=A_{X} $ .
上述定理可能更容易證明 $ G=A_{X} $ .
如果 $ {f_{k}\mid k\in K} $ 不生成交替組 $ A_{X} $ ,那麼我會拒絕任何具有輪函式的分組密碼 $ F $ 非常不安全,因為 $ |X|\leq 24 $ 這對於任何分組密碼或由 $ {f_{k}\mid k\in K} $ 不是4-傳遞的。
但是,如果很容易或易於證明 $ {f_{k}\mid k\in K} $ 生成交替組 $ A_{X} $ , 那麼函式 $ F $ 出於加密目的,可能表現得太好了。
例如,如果 $ F $ 是 AES-128 或 DES 的輪函式,那麼 $ {f_k | k \in K } $ 生成交替組 $ A_X $ ?
那麼,在 DES 的情況下,是的,眾所周知,輪函式確實會生成交替群,如本文所示(Ralph Wernsdorf 的“DES 的單輪函式生成交替群”)。
我不相信 AES 有任何類似的結果。