如何使用 Gimli 等前向排列建構磁碟加密系統？

首先，這純粹是一個思想實驗。Gimli的寬度甚至不是 2 的冪（384 位），而且二級儲存匯流排速度甚至不值得使用像 Gimli 這樣的高性能排列。所以從實際的角度來看，這是完全沒有意義的。

但它仍然是一個有趣的。從中，我有三個可以考慮的具體問題：

1. 我們能否僅從偽隨機前向排列建構可調整的雙射鍵控排列？
2. 是否有僅使用前向排列的實用磁碟加密系統？
3. 我們如何解釋“排列是比分組密碼更好的統一原語”的“新傳統智慧”？

Gimli 紙可以在這裡。

免責聲明：我是上述排列的作者之一。

1. Gimli 的目標不是用作分組密碼（在傳統意義上： $ x \to (\sigma \circ K_{\mathit{add}})^{\mathit{nb}_{\mathit{rounds}}} $ 塊大小為 384 位或類似結構）；最好將其與海綿結構如Monkey-Duplex/Monkey-Wrap或Farfalle一起使用。Ketje Sr

的設計就是這種結構的一個例子。 2. 不是想法。 3. >

想像一下沒有密碼，如果你嘗試一下就很容易:-)

---

Joan Daemen 在 FSE 2017$$ abstract $$ $$ slides $$

（我真的建議你看看幻燈片。）

這裡的想法是有一個獨特的排列（Gimli？：D），您可以在其上推導出其餘的（散列函式、CPRNG等）。當然，您可以使用 Davies-Mayer 或 Even-Mansour 和 Merkle-Damgård 構造從塊密碼建構散列函式。但是使用海綿結構更加優雅和高效：您只有一個排列程式碼，並且設計更易於閱讀（從而理解和驗證）。

引用自：https://crypto.stackexchange.com/questions/50962