Lai-Massey模型的密码学缺陷：仿射非正型σ变换分析

"基于仿射非正型σ变换的Lai-Massey模型的密码学缺陷" Lai-Massey模型是一种在密码学中用于构造块密码的结构，由Lai和Massey在1980年代提出。它通过一系列的线性变换和非线性变换相结合，旨在创建出具有高安全性的加密算法。然而，本文主要讨论的是当σ变换（在Lai-Massey模型中的非线性部分）设计为仿射变换但不是正型置换时，这种模型可能存在的安全隐患。 Vaudenay在1999年的工作中指出，σ变换应该被设计为正型置换或几乎正型置换，以确保算法的伪随机性。正型置换是指一个在其逆变换下保持群结构不变的置换，这样的变换对于抵抗特定类型的密码分析攻击至关重要。正型置换能够保证算法在不同输入下产生分布均匀的输出，从而提高安全性。 本文作者付立仕和金晨辉则从差分攻击和线性攻击两个方面重新审视了Lai-Massey模型中σ变换的选择问题。差分攻击是通过对大量加密数据进行统计分析，寻找加密函数在输入微小变化时输出变化的规律，以此来破解密码。线性攻击则是通过寻找加密函数输入和输出之间的线性关系来破解密码。 作者们证明了如果在有限交换群上选择仿射变换作为σ，而这个变换不是正型的，那么Lai-Massey模型将会存在一个概率为1的差分对应和线性逼近。这意味着攻击者可以利用这些特性，有效地进行密码分析，极大地降低算法的安全性。因此，仿射的几乎正型置换不推荐用于Lai-Massey模型的设计。 此外，论文还引入了有限群的特征标来探索新的线性逼近方法，这对于理解和刻画Lai-Massey模型在一般有限交换群上的输入和输出之间的线性关系具有重要意义。通过这种方法，作者能够更系统地收集和描述这些关系，从而帮助识别潜在的弱点。 总结起来，这篇研究论文揭示了基于仿射而非正型σ变换的Lai-Massey模型在密码学上的严重缺陷，强调了在设计加密算法时选择合适非线性变换的重要性。对于密码学社区来说，这项工作提供了一个重要的提醒，即在构建安全的块密码时，必须谨慎选择并设计非线性层，以防止差分和线性攻击。