Pseudo-Random-Function

關於 CPA & KPA 的安全性⊞⊞boxplus-費斯特

  • July 15, 2020

我有興趣確定替換的效果 $ \oplus $ 和 $ \boxplus $ 關於基本平衡Feistel結構 $ r $ -回合。鑑於:

$ F_\boxplus[L,R]= [S,T] = [R,L \boxplus f(R)] $ 在哪裡 $ f $ 是一個 PRF

$ [L,R] \in \left{0,1\right} ^{n} $

**Q1。**在 CPA 和 KPA 安全性方面,是否 $ \boxplus $ 替換添加安全性超過 3 輪,有證據嗎?

**Q2。**如果 $ \boxplus $ -Feistel 結構的安全邊界比 $ \oplus $ -Feistel,為什麼不常用?

在 CPA 和 KPA 安全方面,是否 $ \boxplus $ 替換添加安全性超過 3 輪,有證據嗎?

不,沒什麼特別的 $ \oplus $ 在Feistel結構中。實際上任何組操作 $ \boxplus $ 超過 $ {0,1}^n $ 會做得很好。這些隨機函式的主要目的是“遮蔽”前幾輪的另一半,為此,組操作就足夠了。

事實上,Maurer 和 Pietrzak證明了 Feistel 構造的更一般的安全邊界,超過 4 輪,使用任意組操作 $ \oplus $ .

如果 $ \boxplus $ -Feistel 結構具有更好的安全邊界, $ \oplus $ -Feistel,為什麼我們不認為它很常見?

好吧,由於任何組操作都足夠了,我們通常選擇在大多數硬體上可以最快計算的操作。特別是,您可以在整個任意寬度的塊上評估 XOR,而不必考慮任何字長的進位等。此外,在硬體中建構 XOR 比建構我現在可以想像的任何其他組操作要容易得多。也很難在沒有位間依賴的情況下擊敗 1 個週期/字。

引用自:https://crypto.stackexchange.com/questions/63650