舍入常數必須有多複雜才能抵抗滑動攻擊？

通過將輪常數與密鑰異或來生成輪密鑰的密鑰調度是線性的，並且可能容易受到相關密鑰攻擊，但現在讓我們忽略它。常量是避免滑動攻擊所必需的。這些常數需要有多複雜，它們必須相差多少？

例如，一個簡單的密鑰計劃是否由 $ r_i = k \oplus c_i $ 生成 $ i^\text{th} $ 圓鍵 $ r_i $ 使用圓形常數 $ c_i $ 和秘鑰 $ k $ 對任何形式的密碼分析都很弱，如果 $ c_i = i $ ?

它取決於實際的分組密碼，是一個相當開放的問題。例如，SCREAM、iSCREAM 和 Midori64 使用這種具有稀疏輪常數的密鑰調度（即它的缺失）。他們被對相當大的弱密鑰空間的實際攻擊打破了

$$ 1 $$. 不過，線性層有一些特殊的性質。 我要補充一點，重要的不是滑動攻擊，而是對稱性/不變數以及這些東西還沒有被很好地理解。

$$ 1 $$ https://eprint.iacr.org/2016/732

引用自：https://crypto.stackexchange.com/questions/66894