Page 404 - 《软件学报》2025年第7期

P. 404

许垠松等: 分组密码结构的低数据量子密钥恢复攻击 3325

根据密钥注入的方式, 我们可以将 Misty L 结构分为 3 种方案, 分别为 Misty L-F、Misty L-KF 和 Misty L-FK,
如图 3 所示.

x i−1 y i−1 x i−1 y i−1 x i−1 y i−1 x i−1 y i−1 x i−1 y i−1
k i
F i k i F i k i F i k i F i F i
k i

x i y i x i y i x i y i x i y i x i y i
(a) Misty L (b) Misty R Misty L-F Misty L-KF Misty L-FK
图 2 Misty L 和 Misty R 结构图 3 3 种 Misty L 方案: Misty L-F、Misty L-KF 和
Misty L-FK

2.3 Type-1 型广义 Feistel 结构
本文中设 Type-1 型广义 Feistel 结构有 d 个分支, 整个分组长度为 n 比特且轮密钥 k i 的比特长度为 n/d. 设
i−1
i−1
i
i−1
i−1
i−1
i−1
i
其第 i 轮的输入为 (x , x ,..., x i−1 ), 则对应的输出状态为 (x , x ,..., x i d−1 ) ← (F i (x ,k i )⊕ x , x ,..., x i−1 , x ), 如图 4

d−1
0
0
1
1
0
0
d−1
2
1
所示.

i−1 i−1 i−1 i−1 i−1
x 0 x 1 x 2 x d−2 x d−2
F i
…
i i i i i
x 0 x 1 x d−3 x d−2 x d−1
图 4 第 i 轮 Type-1 型广义 Feistel 结构

2.4 类 SMS4 广义 Feistel 结构
本文中设类 SMS4 广义 Feistel 结构有 d 个分支, 分组长度为比特, 则轮密钥 k i 的比特长度为 n/d. 设其
n
i
i
i−1
(x , x ,..., x i−1 (x , x ,..., x i ) ← (x ,..., x i−1 ,F i (x i−1 ⊕...⊕ x i−1 ,k i )⊕ x ),
i−1
i−1
i−1
第 i 轮的输入为 0 1 d−1 ), 则对应的输出状态为 0 1 d−1 1 d−1 1 d−1 0
如图 5 所示.

i−1 i−1 i−1 i−1
x 0 x 1 x 2 x d −1
F i
…
…
i i i i
x 0 x 1 x d−2 x d−1
i 轮类 SMS4 广义 Feistel 结构
图 5 第

2.5 类 MARS 广义 Feistel 结构
本文中设类 MARS 广义 Feistel 结构有 d 个分支, 分组长度为 n 比特, 则轮密钥 k i 的比特长度为 n/d. 设其第 i
i−1
i−1
i−1
i−1
i
i
i−1
i−1

轮的输入为 (x , x ,..., x i−1 ), 则对应的输出状态为 (x , x ,..., x i ) ← (F i (x ,k i )⊕ x ,...,F i (x ,k i )⊕ x i−1 , x ), 如

0 1 d−1 0 1 d−1 0 1 0 d−1 0
图 6 所示.

399 400 401 402 403 404 405 406 407 408 409