迭代希爾密碼的安全性
我可以理解基本的希爾密碼容易受到已知的明文攻擊,但假設希爾密碼被修改為迭代希爾密碼。對於明文 $ x_0=m_0 $ 和一個初始化向量 $ x_{-1}=u_0 $ 我們有,
$$ x_{i+1}=Ax_{i}-x_{i-1} $$ 為了 $ 0\leq i< k $ . 所以我們的私鑰由三元組組成 $ (A,,u_0,,k) $ 在哪裡 $ A $ 是一個可逆矩陣。密文將是元組, $ c=(x_{k},,x_{k-1}) $ . 這是用於加密數據處理的對稱密鑰同態加密(付費牆)中給出的迭代希爾密碼背後的想法。
然後有很多研究論文試圖使用拉丁方和魔方 $ A $ . 這裡有一些:
所以我的問題是:為什麼人們嘗試使用準群(拉丁方)和幻方來作為希爾密碼?它提高了安全性嗎?
更新的答案
問題已更改,因此這是我的更新答案。
該方案對已知明文攻擊不安全。它並不比普通的希爾密碼好。
如果你迭代你列出的遞歸關係,我們發現
$$ x_k = Bx_0 - Cx_{-1} $$ 和
$$ x_{k-1} = Cx_0 - Dx_{-1} $$ 在哪裡 $ B,C,D $ 是由給出的矩陣 $ B=f(A) $ , $ C=g(A) $ , $ D=h(A) $ , 和 $ f(\cdot),g(\cdot),h(\cdot) $ 是公知的多項式,僅依賴於 $ k $ . (例如,對於 $ k=4 $ , 我們有 $ B=f(A)=A^4 - 3A^2 + \text{Id} $ , $ C=g(A) = A^3 - 2A $ , $ D = h(A) = A^2 - \text{Id} $ .)
緊接著,該方案對已知明文攻擊是不安全的。每個已知的明文對都為您提供 $ m_0 $ (消息), $ u_0 $ (初始化向量), $ x_k $ , 和 $ x_{k-1} $ (從密文中),所以我們知道 $ x_{-1},x_0,x_{k-1},x_k $ .
因此,每個已知的明文都給了我們兩個線性方程,未知數是 $ B,C,D $ . 如果矩陣是 $ n\times n $ , 然後 $ 1.5n $ 已知明文對,我們有足夠的資訊可以恢復所有 $ B,C,D $ ,然後方案被打破。
事實上,我希望這個方案甚至可以通過純密文攻擊來破解。我想我們總是有 $ C^2 = BD + \text{Id} $ . 所以,
$$ Cx_k = BCx_0 - C^2 x_{-1} $$ $$ Bx_{k-1} = BCx_0 - BD x_{-1} $$ 所以
$$ Bx_{k-1} - Cx_k = x_{-1}. $$ 請注意,在純密文攻擊中, $ x_{-1},x_{k-1},x_k $ 都是已知的(從初始化向量和密文)。因此,每個密文都為我們提供了一個關於未知數的線性方程 $ B,C $ . 觀察後 $ 2n $ 密文,我們應該能夠解出矩陣 $ B,C $ . 然後推導 $ D $ 很容易,我們將能夠解密。
因此,看起來這個方案甚至存在純密文攻擊。警告:我沒有仔細驗證這種純密文攻擊,所以請自己檢查詳細資訊。我可能在某個地方犯了錯誤。
那麼為什麼這三篇論文仍然研究希爾密碼呢?我不知道,對於那些論文的作者來說,這將是一個很好的問題!只有他們會知道他們的想法。我無法閱讀前兩篇論文(由於付費牆),但我快速瀏覽了第三篇論文,我認為沒有充分的理由研究這些密碼。
請記住,那裡有很多論文,質量差異很大。僅僅因為一篇論文已經發表並不意味著它有任何好處。堅持參加有聲望的會議和期刊,你會做得更好;一旦你開始徘徊在密碼學家不喜歡的不起眼的會議和期刊上,質量可能會有很大的不同。同樣,如果您發現在非密碼學會議上發表的密碼論文,您可能還想保持謹慎或懷疑。我的懷疑是,你找到的三篇論文都不是很好,所以沒有更多可說的。
原始答案
您提出的方案不安全。
如果 $ A $ 是公開的,給定的 $ x_{i+1},x_i $ 你可以計算 $ x_{i-1} $ 通過方程
$$ x_{i-1} = Ax_i - x_{i+1}. $$ 右手邊的一切都是已知的。因此,竊聽者可以從 $ x_k,x_{k-1} $ 並迭代計算 $ x_{k-2},x_{k-3},\dots,x_1,x_0 $ . 一旦竊聽者計算 $ x_0 $ ,他知道消息 $ m_0 $ .
另一種查看您提出的方案不安全的方法是沒有密鑰。竊聽者不知道接收者不知道的秘密。因此,如果接收者可以解密,那麼竊聽者當然也可以。
因此,您的方案在純密文攻擊下被輕易破解。它甚至比普通的希爾密碼還要糟糕。攻擊者甚至不需要已知的明文。