Block-Cipher

是否計算了諸如不同版本的 AES 或 DES 之類的分組密碼的自同構組?

  • February 19, 2022

假設 $ F:K\times X\rightarrow X $ 是一個函式。如果 $ k\in K $ ,然後讓 $ F_{k}:X\rightarrow X $ 是通過讓定義的映射 $ F_{k}(x)=F(k,x) $ 對於每個 $ x\in X $ . 然後我們將呼叫 $ F $ 如果是分組密碼輪函式 $ F_{k} $ 是每個的雙射 $ k\in K $ .

群組 $ \text{Aut}(F) $ 是所有對的集合 $ (\phi,\psi) $ 這樣 $ \phi\in\text{Sym}(K) $ , $ \psi\in\text{Sym}(X) $ , 和 $ \psi(F(k,x))=F(\phi(k),\psi(x)) $ 每當 $ k\in K,x\in X $ . 說的不一樣, $ (\phi,\psi) $ 恰好是一個自同構 $ \psi\circ F_{k}=F_{\phi(k)}\circ\psi $ 對於每個 $ k\in K $ .

是否計算了不同版本的 AES 或 DES 或任何其他眾所周知的分組密碼的輪函式的自同構群?這些著名的分組密碼的自同構群是微不足道的嗎?

計算分組密碼輪函式的自同構群以幾種不同的方式提供了有關分組密碼的有價值的資訊。

如果 $ (1_{K},\psi)\in\text{Aut}(F) $ 和 $ \psi $ 不是恆等函式,則 $ {F_{k}\mid k\in K} $ 是集中器的子集 $ C_{\text{Sym}(X)}(\psi) $ . 因此,任何加密排列 $ E_{k}:X\rightarrow X $ 從輪函式獲得 $ F $ 也必須包含在 $ C_{\text{Sym}(X)}(\psi) $ , 所以 $ E_{k}\phi=\phi E_{k} $ (這是部分同態加密的一個實例)。

如果 $ (\phi,1_{X})\in\text{Aut}(F) $ , 和 $ \phi $ 不是恆等函式,則 $ F_{k}=F_{\phi(k)} $ 對於每個 $ k\in K $ . 因此,由於 $ \phi $ 不是身份功能,有一些 $ k $ 在哪裡 $ k\neq\phi(k) $ 但是哪裡 $ F_{k}=F_{\phi(k)} $ , 所以 $ |{F_{k}|k\in K}|<|K| $ ,所以在這種情況下,有效地小於 $ |K| $ 許多圓鍵。

現在,在一般情況下 $ (\phi,\psi)\in\text{Aut}(F) $ 但兩者都不是 $ \phi $ 也不 $ \psi $ 是恆等函式,我們有 $$ \psi\circ F_{k_{1}}\circ\cdots\circ F_{k_{r}}=F_{\phi(k_{1})}\circ\cdots\circ F_{\phi(k_{r})}\circ\psi $$ 對於每個輪密鑰序列 $ k_{1},\dots,k_{r} $ . 在這種情況下,應該選擇一個好的密鑰調度算法來阻止相關的密鑰攻擊。

在這種情況下 $ \text{Aut}(F) $ 是微不足道的,任何函式或關係 $ (K,X) $ 實際上在模型理論意義上是可以定義的。

現代密碼試圖避免任何結構(不包括某些特殊情況,例如 PRINCE 密碼),即使在機率級別也是如此。擁有這樣一個機率為 1 的非平凡自同構可能是一個很大的弱點。

只需查看任何一個鍵 $ k_0 $ 及其圖像 $ k_1=\phi(k_0) \ne k_0 $ , 要求排列 $ F_{k_0} $ 和 $ F_{k_1} $ 具有相同的循環結構。對於大多數真正的密碼(包括 AES)來說,這已經是非常出乎意料的了。但是,具體證明這一點可能非常困難。

對於DES,存在弱鍵和互補屬性,但我不知道它們是否可以用來形成完全自同構。

Crypto'92,坎貝爾和維納

DES 不是一個組

https://link.springer.com/chapter/10.1007/3-540-48071-4_36

我們證明了 DES 置換集(每個 DES 密鑰的加密和解密)在函式組合下不是封閉的。這意味著,一般來說,多重 DES 加密並不等同於單一 DES 加密,並且 DES 不易受到特定的已知明文攻擊,平均而言,這種攻擊需要: $ 2^{28} $ 腳步。我們還表明,由 DES 排列集生成的子群的大小大於 $ 10^{2499} $ ,對於可能利用小子組的 DES 攻擊來說太大了。

引用自:https://crypto.stackexchange.com/questions/95231