Key-Derivation

一輪強度的正式分析是如何實現的?

  • August 23, 2018

我一直在試圖了解如何為密碼選擇輪數。似乎有最少輪數被分析為“強度”,然後添加了一些安全邊際。

M. Luby 和 C. Rackoff 表明,如果您有足夠的隨機密鑰,Feistel 網路只需要三輪;然而,這在現實中是不切實際的,這就是我們有關鍵擴展的原因。這引出了我的問題:

如何正式分析關鍵時間表的強度?

我們有隨機數套件,例如diehard,但我還沒有找到關於如何規範化關鍵調度強度的參考資料。人們可以通過頑固分子查看一系列回合,但關鍵顯然是相關的。此外,在文獻中,通常似乎密鑰表是每個密碼中最可笑的部分。我攻讀博士學位。論文,但我沒有找到任何東西。任何建議將不勝感激。

僅解決關鍵擴展問題:

向量布爾函式有一個很好的組合特性

$$ f:\mathbb{F}_2^k \rightarrow \mathbb{F}_2^n $$ 在哪裡 $ k<n, $ 由於毛雷爾和梅西。 這樣的功能是 $ (k,n,e)- $ 如果滿足以下條件,則完美的局部隨機化器 (PLR):

讓 $ y=(y_1,\ldots, y_n)=f(x_1,\ldots,x_k)=f(x). $ 那麼如果輸入 $ x $ 是 iid 均勻二進制隨機變數的向量,因此每個可能的子集合 $ e $ 輸出座標,即

$$ (y_{i_1},\ldots, y_{i_e}), $$ 和 $ 1\leq i_1<\cdots<i_e\leq n. $ 因此,如果您想要洩漏最少資訊並由原始密鑰的實際位組成的子密鑰,這可能會有所幫助。

引用自:https://crypto.stackexchange.com/questions/61667