一輪強度的正式分析是如何實現的？

我一直在試圖了解如何為密碼選擇輪數。似乎有最少輪數被分析為“強度”，然後添加了一些安全邊際。

M. Luby 和 C. Rackoff 表明，如果您有足夠的隨機密鑰，Feistel 網路只需要三輪；然而，這在現實中是不切實際的，這就是我們有關鍵擴展的原因。這引出了我的問題：

如何正式分析關鍵時間表的強度？

我們有隨機數套件，例如diehard，但我還沒有找到關於如何規範化關鍵調度強度的參考資料。人們可以通過頑固分子查看一系列回合，但關鍵顯然是相關的。此外，在文獻中，通常似乎密鑰表是每個密碼中最可笑的部分。我攻讀博士學位。論文，但我沒有找到任何東西。任何建議將不勝感激。

僅解決關鍵擴展問題：

向量布爾函式有一個很好的組合特性

$$ f:\mathbb{F}_2^k \rightarrow \mathbb{F}_2^n $$ 在哪裡 $ k<n, $ 由於毛雷爾和梅西。 這樣的功能是 $ (k,n,e)- $ 如果滿足以下條件，則完美的局部隨機化器 (PLR)：

讓 $ y=(y_1,\ldots, y_n)=f(x_1,\ldots,x_k)=f(x). $ 那麼如果輸入 $ x $ 是 iid 均勻二進制隨機變數的向量，因此每個可能的子集合 $ e $ 輸出座標，即

$$ (y_{i_1},\ldots, y_{i_e}), $$ 和 $ 1\leq i_1<\cdots<i_e\leq n. $ 因此，如果您想要洩漏最少資訊並由原始密鑰的實際位組成的子密鑰，這可能會有所幫助。

引用自：https://crypto.stackexchange.com/questions/61667