僅對具有常量的密鑰進行異或的密鑰調度的安全性

假設：

• $ MK \in {0, 1}^{n} $ 和分組密碼的主密鑰。
• $ RK_{r} \in {0, 1}^{n} $ 並且是 $ r $ th輪密鑰。
• $ RC_{r} \in {0, 1}^{n} $ 並且是 $ r $ th輪常數。
• $ RK_{r} = MK \oplus RC_{r} $

這個密鑰計劃的安全性是什麼。我想像它不是很強大。

這個關鍵時間表是完全線性的。如果兩個萬能鑰匙 $ MK $ 1和 $ MK $ 2的差異為d，所有輪密鑰的差異為d，機率為 1。這使得密碼容易受到相關密鑰攻擊。但是，如果不了解密碼描述，就很難鍛煉和評論這種密鑰計劃對密碼安全性的影響有多嚴重

PRINCE——一種用於普適計算應用的低延遲分組密碼具有非常簡單的密鑰調度，其設計者說

對於我們的密碼，它認為一個密鑰的解密對應於使用相關密鑰的加密。我們將此屬性稱為α反射

有關密鑰計劃要求的更多資訊，請參閱“密鑰計劃的要求是什麼？ ”

在 key-scheduling 中添加輪常量是為了消除自相似性。相關的密鑰攻擊（不是學術界以外的現實生活中的實際攻擊）將消除分析中輪常數的影響（兩個密鑰都與相同的輪常數異或）。

不變子空間攻擊利用了不斷添加主密鑰的弱點。這就是 Midori cipher 中發生的情況，這是通過這種方法發現的一類弱密鑰。

仔細選擇輪常數以提供密鑰和輪常數的安全密鑰調度非常重要。

有關更多詳細資訊，我建議閱讀證明抵抗不變攻擊的論文：如何選擇輪常數

引用自：https://crypto.stackexchange.com/questions/52278