Cryptanalysis
舍入常數必須有多複雜才能抵抗滑動攻擊?
通過將輪常數與密鑰異或來生成輪密鑰的密鑰調度是線性的,並且可能容易受到相關密鑰攻擊,但現在讓我們忽略它。常量是避免滑動攻擊所必需的。這些常數需要有多複雜,它們必須相差多少?
例如,一個簡單的密鑰計劃是否由 $ r_i = k \oplus c_i $ 生成 $ i^\text{th} $ 圓鍵 $ r_i $ 使用圓形常數 $ c_i $ 和秘鑰 $ k $ 對任何形式的密碼分析都很弱,如果 $ c_i = i $ ?
它取決於實際的分組密碼,是一個相當開放的問題。例如,SCREAM、iSCREAM 和 Midori64 使用這種具有稀疏輪常數的密鑰調度(即它的缺失)。他們被對相當大的弱密鑰空間的實際攻擊打破了
$$ 1 $$. 不過,線性層有一些特殊的性質。 我要補充一點,重要的不是滑動攻擊,而是對稱性/不變數以及這些東西還沒有被很好地理解。
$$ 1 $$ https://eprint.iacr.org/2016/732