1、NETINFOSECURITY理论研究doi:10.3969/j.issn.1671-1122.2024.01.0102024年第1期基于量子 Simon算法对分组密码类EM结构的密钥恢复攻击张兴兰,郭艳琨,陈菲,张丰,(北京工业大学信息学部,北京10 0 0 2 0)摘要:文章基于量子Simon算法(一类经典量子周期寻找算法)的量子过程以及应用,对类EM结构进行基于量子Simon算法的密码分析,以类EM结构的加密算法为研究对象,运用量子Simon算法,构造适用于Simon算法的函数,对类EM加密结构的5轮加密过程进行密钥恢复攻击。结果显示,在密钥长度的多项式时间内,文章所提方法可以成功恢复出
2、第五轮加密密钥,且根据此密钥可以分析出其他轮密钥。研究结果表明,在密钥长度的多项式时间内,可以找到其中一个密钥,量子条件下密钥的可恢复性说明该结构的安全轮数应当高于5轮,为未来对称密码体制的研究和发展奠定了一定的基础。关键词:量子;分组密码;Simon算法;密钥恢复攻击中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 1-0 10 6-0 7中文引用格式:张兴兰,郭艳琨,陈菲,等.基于量子Simon算法对分组密码类EM结构的密钥恢复攻击.信息网络安全,2 0 2 4,2 4(1):10 6-112.英文引用格式:ZHANG Xinglan,GUO Ya
3、nkun,CHEN Fei,et al.Key Recovery Attacks on Block CipherEM-Like Structures Based on Quantum Simons AlgorithmJJ.Netinfo Security,2024,24(1):106-112.Key Recovery Attacks on Block Cipher EM-Like Structures Based onQuantum Simons AlgorithmZHANG Xinglan,GUO Yankun,CHEN Fei,ZHANG Feng(Faculty of Informati
4、on Technology,Beijing University of Technology,Beijing 100020,China)Abstract:This paper studied the quantum process of Quantum Simons algorithm(one of classical quantum cycle finding algorithms)as well as its applications,and conductscryptanalysis based on quantum Simon algorithm on EM-like structur
5、es,takes the encryptionalgorithm of EM-like structures as the object of research,applies quantum Simon algorithm,constructs the function applicable to Simon algorithm,and performs the key recovery收稿日期:2 0 2 3-0 6-2 5基金项目:北京市自然科学基金42 12 0 15作者简介:张兴兰(197 0 一),女,山西,教授,博士,主要研究方向为密码和量子计算;郭艳琨(1998 一),女,天津
6、,硕士研究生,主要研究方向为对称密码和量子计算;陈菲(1999一),女,北京,硕士研究生,主要研究方向为量子密码;张丰(1998 一),男,江西,硕士研究生,主要研究方向为量子机器学习。通信作者:郭艳琨dimple_106NETINFOSECURITY2024年第1期理论研究attack on the 5-round encryption process of the encrypted structure of EM-like structures.The results show that the fifth round of encryption key can be successfu
7、lly recovered inpolynomial time of the key length,and other keys can be analyzed based on this key.The keyrecovery indicates that the quantum version of the structure is insecure,i.e.,one of the keyscan be found at polynomial time of the key length.It provides some basis for future researchand devel
8、opment of symmetric cryptosystems.Key words:quantum;block cipher;Simons algorithm;key recovery attack0引言Shor算法表明,如果可伸缩的量子计算机可用,那么许多广泛使用的非对称密码系统将被打破,如Rivest-ShamirA d l e m a n(RSA)公钥密码系统。这引发了后量子密码学研究热潮。为了应对量子计算的威胁,美国国家标准与技术研究院(National InstituteofStandards and Technology,NIST)启动了对后量子公钥算法的标准化过程2。目前量子
9、信息处理已深刻改变了经典密码学的模式,特别地,所有基于整数分解和离散对数的密码系统对于量子计算机来说都是不安全的。关于公钥密码学,后量子密码学正在研究许多不同的方法,如基于格问题、编码问题和椭圆曲线同源等问题的密码学。这些方法旨在在量子计算机也难以解决的问题上建立公钥加密机制。对称密码也面临量子攻击的威胁。量子计算机可以为某些信息处理任务加速,如穷举搜索和碰撞搜索,有助于对对称密码系统进行密码分析。使用Grover算法3,一般的穷举搜索攻击可以获得二次加速4。由于对称密码的安全性由轮数和密钥长度保证,因此,如果量子算法在穷举搜索密钥过程中进行二次加速,那么理论上在后量子世界中对称密码的密钥长度
10、需要加倍,才能获得等效的安全性。虽然Grover算法只提供二次加速,但量子算法已经可以有效攻击一些已被证明是安全的、可以对抗经典对手的对称系统。近年来,研究者们在量子计算对对称密码学在安全性方面的影响的研究取得了一些进展5-9,也有一些学者在前人研究的基础上进行了进一步的研究10-14。例如,KAPLAN5等人和XIE6等人分别提出了一种基于传统差分和线性密码分析的量子分析方案,促进了量子密码学分析领域的发展。MALVIYA!等人综合当前的研究进展进行了概述分析。Simon算法10 I 是量子算法理论的核心之一,同时,Simon算法也应用于对称密码学。例如,KUWAKADO8等人使用Simon
11、算法构造了Fesitel方案的三轮区分器,它已被证明是一种安全的伪随机排列。他们还使用Simon算法提取了Even-Mansour密码8 的私钥。后来,SANTOLI1I等人和MALVIYAI等人独立地扩展了他们的结果,并将Simon算法应用于其他对称原语,如GaloisGMAC和CLOC。D O NG 15等人基于文献8 提出的量子区分器对任意轮的Feistel方案进行量子密钥恢复攻击。除攻击特定的对称原语外,量子算法还被用于传统的密码分析工具中。KAPLAN16等人将Grover算法应用于线性密码分析和差分密码分析的几种变体。2 0 15年,LEVERRIER17等人在差分攻击中使用Gro
12、ver算法,得到二次加速度。XIE4等人研究了量子差分攻击,并利用BermsteinVazirani(BV)算法18 寻找高概率差分19。KAPLAN201先结合量子算法与传统的密码分析方法中间相遇攻击给出一个量化版本的中间相遇攻击,再证明它是较优使用广义对手的方法,表明结合量子攻击比传统的量子攻击有更好的结果。目前,对对称密码系统的量子攻击主要是基于Grover算法、Simon算法和BermsteinVazirani(BV)算法。大多数块密码都是迭代块密码,即通过轮函数和轮数共同保证迭代块密码的安全性。轮函数中常用一种替换置换设计结构(SubstitutionPermutation),在著名
13、的高级加密标准(Advanced Encryption Standard,A ES)密码设计中使用。其中较原始的密码方案是SHIMON21等人提出的Even-Mansour密码结构。Even-Mansour密码系统具有107NETINFOSECURITY理论研究2024年第1期简单的结构和防止破解和伪造攻击的安全下限证明。因此,这种结构经常被用作块密码设计的基本组成部分。Even-Mansour系统是近年来块密码的普遍研究热点,关键密码学会议上许多论文都与EM结构相关2 2。综上所述,利用量子算法对Even-Mansour结构进行分析已取得了一些结果,为未来的密码分析提供了基础。本文研究了通过
14、变换Even-Mansour结构得到的密码系统,即类似EM的结构,该结构具有软硬件实现简单、计算速度快、能抵抗差分攻击和线性攻击的优点。因此,对该结构的密码分析具有现实意义。本文通过Simon算法对类EM结构的5轮加密过程进行密钥恢复攻击:第一章介绍了Simon算法的原理和该算法所解决的问题;第二章介绍了类EM结构的加密方法,并使用Simon算法对该结构进行了攻击,给出了攻击所用的量子电路以及攻击效果和可行性;第三章进行了该密码攻击的复杂度分析。1 Simon 算法1.1Simon问题和算法Simon算法是一种量子算法,它可以用于求解经典计算难题“黑箱问题”,即给定一个函数,要求找出这个函数的
15、性质。Simon算法可以在多项式时间内解决这个问题,而经典计算机需要指数时间才能求解。KAPLAN16等人对Simon问题以及求解它的量子算法进行了描述,假设了解量子电路模型的基本知识,分别使用“”和“”表示一个具有2 个元素的域的加法和乘法。Simon问题的输入是函数f,可以通过查询得到。一个经典的oracle是函数xf(x),需要通过量子力学的方式查询函数f,来运行Simon算法。更准确地说,在后续计算中,可以假设该算法可以对)形式的量子叠加进行任意的查询。Simon问题的内容如下:对于一个布尔函数f:(0,1(0,1),该函数满足存在一个串se(0,,使得f(x)=f(y)-xy e 0
16、 ,s)对于任意(x,)e0,1)成立,目标是找到s。这个问题通常可以通过搜索碰撞来解决,传统算法解决它的最佳时间是(2 /2),而Simon算法用量子复杂度O(n)解决了这个问题。该算法重复以下5个量子步骤:1)准备2 n个量子位的状态0 0 ,对第一个寄存器应用Hadamard变换Hn得到量子叠加Zx)0);2)将函数f的量子查询映V2 xe(0,1射到上一步得到的状态上,得到在计算基础中测量第二个寄存器会产生一个f(2),并将第一个寄存器塌缩到以下状态-(Iz)+zs);4)V2再次将Hadamard变换H应用到第一个寄存器得到11=(-1)(1+(-1)y ;5)使y-s=l 的向量J
17、,振幅为0,因此,在计算基上测量状态得到一个使yS=O随机向量y。通过重复这个子程序O(n)次,得到n个与s正交的独立向量,s可以用基本线性代数来恢复。1.2处理不必要的碰撞在密码分析过程中,Simon问题的承诺并不总是能够得到完全的满足。更准确地说,通过构造,总是存在一个s,对于任何输人x,满足f(x)=f(xs),但可能存在比这种形式更多的碰撞。如果这种不必要的碰撞数量太多,在O(n)次查询后,人们可能无法从Simon的子例程中得到一个完整的秩线性方程组。对于f:0,1)0,1)对所有 x满足f(xs)=(x),考这个参数量化了该函数离满足Simon的承诺有多远,对于一个随机函数,本文期望
18、c(f,s)=(n2)。KAPLANl6等人给出了定理,显示不必要的碰撞对Simon算法成功概率的影响。前提是f对于某些t0,s没有太多f(x)=f(xt)形式的碰撞。2使用Simon算法对类EM结构的密钥恢复攻击量子Simon算法可以在线性时间内,对于给定函数f(x)=f(xs)求出周期s,给对称密码的后续研究提供了思路和基础。本章将针对5轮类EM结构,基于已知明文攻击构造适用于量子Simon算法的周期函Z.Ix)/f(x);3)V2xe(0,1)108NETINFOSECURITY2024年第1期理论研究数,并使用该算法进行密钥恢复攻击。同时,介绍类EM结构、攻击策略需要使用的经典攻击和具
19、体的攻击策略。2.1已知明文攻击研究密码算法的理论安全性往往基于Kerckhoffs假设,即密码分析中,除了密钥以外,密码分析者知道密码算法的每一个设计细节。根据Kerckhoffs假设可知,密码算法的安全性依赖于密钥的保密性,而不是算法本身的保密性。在密码体制的基本模型中,密码分析者的任务就是获取适量的明文及其相应的密文,分析这些明文和密文得到密钥消息。本文使用的攻击方法为已知明文攻击,即攻击者掌握了某段明文和对应的密文。而已知明文攻击也假设攻击者能够获取部分明文和相应密文,如截取信息前段,该类型攻击获取加密的方式更有助于破解后段密文。由于本次基于量子Simon算法的密钥恢复攻击,只需知道明
20、文以及对应的密文,不依赖特定的、具有特殊结构的明密文对,因此已知明文攻击可以满足本次攻击的要求。本次攻击没有使用对明密文要求更高的选择明文攻击和选择密文攻击,说明量子计算对密码分析提供了更快更好的方法。2.2类EM结构Even-Mansour结构是AES的主要构成结构,类EM结构是基于该结构进行变形得到的,具有软硬件实现简单、计算速度快、能抵抗差分攻击和线性攻击的优点。该结构的加密流程是将明文分为4组,进行32 轮加密后,再通过一次反序变换得到最终密文。轮函数借鉴了AES加密算法中的S盒(Substitution-Box),并加人线性变换,有较好的抵御经典攻击的效果,具体如下。128bit的明
21、文被分为4个32 bit的字,记为(Xo,X1,X2,X),密文也被分为4个字,记为(Yo,Y,Y,Y),假设32bit的中间变量为X,4i35,则加密流程如下:1)Xi+4=F(Xi,Xi+1,Xi+2,Xi+3,rk)=X,T(Xi+I Xi+2 Xi+3 rk),i=0,1,31;2)(Yo,Y,Y2,Y)=R(X32,X33,X34,X3s)=(X35,X34,X33,X32)。其中,F是轮函数,T是合成置换(包括由S盒组成的非线性变换以及线性变换L),r k;是第i+1轮轮密钥,R是反序变换。2.3攻击策略本节将对5轮类EM密码结构进行密钥恢复攻击,首先构造适用于Simon算法的Si
22、mon函数,并给出该函数的量子电路以及用来攻击的主要电路,然后分析攻击效果以及攻击成功的可能性。2.3.1构造Simon函数本文使用Simon算法进行攻击的一般策略是从加密oracle Ex:0,1)(0,1)开始,同时构造一个函数f,满足Simon算法承诺的两个属性:如果对手有量子oracle访问Ex,应该能够查询f叠加;字符串是s的知识应该足以打破密码方案。在后文中,这个函数f被称为Simon函数。使用量子Simon算法进行密钥恢复攻击,关键是构造出Simon函数f,且求出的隐藏串包含与密钥相关的信息。该Simon函数的要求是敌手应该能够查询f叠加,且字符串是s的知识应该足以打破密码方案。
23、类EM加密结构将对5轮的加密过程进行Simon函数f的构造,如图1所示,定义函数g:0,10,1如公式(1)所示。X F(x,Xs,X6,Xr,k4)T(x)=xT(X,X,X,k 4)128bit PlaintextXolXX2RoundIXXXRound2rkiXRound i+1RoundskXX6XX图15轮类EM结构加密过程定义函数H(x)=g(x)g(x k 4)T(x)=k T(x k 4),如公式(2)所示。(1)X4Xi2Xi+3rkoXT(Xi2Xi+4109NETINFOSECURITY理论研究2024年第1期G(x)=H(x)T(x)=k 4 T(x k 4)T(x)则
24、 G(x k 4)=k 4 T(x)T(x k 4)。将上述公式重新代人,如公式(3)和公式(4)所示。G(x)=g(x)g(x ka)T(x)(3)G(x k 4)=H(x k 4)T(x k 4)(4)=g(x k 4)(x)田 T(x k 4)通过上述推算可知,因为 G(x)=G(xk 4),所以T(x)=T(xk 4),可以得到 T(x)是关于s=ka的周期函数。T()可以作为Simon算法的输人函数f,进行后续研究。因为使用已知明文攻击,攻击者了解对应的明密文对,所以对于5轮类EM结构而言,XsX可以作为已知内容参与运算。2.3.2使用量子Simon函数求解密钥上文构造了适用于量子S
25、imon算法的函数f=T(x),下面根据Simon算法的计算过程,首先,把f=T(x)的量子查询映射到制备的叠加态上,得到Z Ix)T(x);2xe(0,1)然后,在计算基中测量第二个寄存器,产生一个f(z),则第一个寄存器塌缩到-(z)+zk 4)以下状态;其次,将Hadamard变换H应用到第一个寄存器,得到11Z(-1)(1+(-1)y k 4l y);最后,使y.k4=l,其中向量,振幅为0。因此,本文通过在计算基上测量状态得到了一个使yk4=0随机向量y,通过重复这个子程序O(n)次,在得到n个与k4正交的独立向量后,k可以用基本线性代数来恢复。根据以上计算方法,本文将给出适用于本次
26、攻击的量子电路。其中,Simon函数f=T(x),后续的攻击使用该Simon函数作为算法的输人,Simon函数f=T的量子线路如图2 所示。1o)图2 Simon函数f=T的量子线路构造=T(x)电路时会使用一些基本构建块,如CNOT门等。此外,任何么正变换U都可以由一个比(2)10)T-1T(x)特位b控制。其中,b=1表示为Ub将x映射到U(x);否则,保持x不变,如图3所示。在量子环境中,量子位|b,)可以是0 和1的叠加,从而导致x)和U(x)的叠加。只有在攻击者知道要控制的单元化的经典描述时才使用此过程。需要特别注意的是,当计算Simon函数时,即应用Simon算法的函数f时,包含值
27、的寄存器必须与任何其他工作寄存器解除纠缠。这些寄存器,可能会阻碍函数的周期性,因此必须在算法中考虑此问题,否则整个过程可能会失败。16U图3控制单元U第1章提出,对量子Simon算法而言,假设该算法可以对x)形式的查询进行任意的量子叠加,本文使用f=T()作为量子Simon算法中的Simon函数,将上文中f=T的量子电路控件加人Simon算法电路的构造中,根据计算过程构造了用来实现本次研究的量子电路,其中,输人串的比特个数为密钥长度32 位,如图4所示。10)H:10)10)1o)2.4攻击效果及攻击的可行性构造出的Simon函数f=T(x),T(x)=T(x k 4),HHHT图4使用f=T
28、的Simon算法量子电路110NETINFOSECURITY2024年第1期理论研究根据Simon算法解决的问题可知,上述流程可以成功恢复计算出s,即第五轮的加密密钥k4。类EM密码结构与EM结构类似,使用单独的密钥生成算法进行加密密钥的构造。密钥生成算法是公开的,如果可以得到最后一轮的加密密钥k4,那么可以使用密钥生成算法的逆运算求得其他密钥,如ksk o。本文的关键是通过构造一个周期函数,应用量子Simon算法求解周期的方法来求解密钥。其中,要求周期函数能够查询叠加,并且周期的知识足以打破密码方案。作为中间步骤,G(x)为后续构造周期函数作铺垫。根据公式反代,最终得到G(x)=k4。一般情
29、况下,可以使用测量的方法来求得该公式,但G(x)是难以构造的,即无法查询的叠加,因此需要G(x)的支撑来构造新的周期函数,以达到预期效果。攻击的目的是找到Simon函数f中的隐藏比特串,即第五轮加密密钥k4。经典情况下,找到n位的隐藏比特串需要输入2 -1+1种不同的比特串,这是因为长度为n的比特串一共拥有2 种不同的情况,即在2-1+1种不同的输入中一定存在着xi、x 2 两个比特串使得f(x)=f(x2)。与经典算法相比,使用量子Simon算法只需要输人n位0 比特串,极大地减少了比特串数量。由第2 章分析可知,T满足T(x)=T(xk 4),可以作为密码分析的Simon函数进行后续计算。
30、然而,在T(x)中,具有随机差异的输人之间可能存在额外的碰撞。根据1.2 节可知,若(T,k4)1/2 时,p=PrT(x)T(x k 4)T(x t)田T(xk 4t)=0 1/2。对应于概率为1/2 的P的高阶不同,这对于随机选择P的概率可以忽略不计。此外,这将意味着对该方案存在一个简单的经典攻击:查询y=E(x),y =E(x t),因此,至少有1/2 的概率yy =T(x k a)T(x k 4t)。综上所述,对于任何具有固定T的类EM结构,可以使用Simon算法成功地恢复k4。3复杂度分析本文使用了已知明文攻击的经典算法,即需要使用加密算法得到相互对应的明密文对,该过程的复杂度依赖于
31、类EM结构的加密算法。由于类EM结构的加密速度优于AES和数据加密标准(Data EncryptionStandard,DES),该部分可以忽略。研究表明,调用量子Simon算法时,可以在O(n)的量子复杂度下解决当前问题。在本文的研究中,当有符合当前方法的概率要求时,调用Simon算法进行求解,所需的量子复杂度也是O(n),即能够在线性时间内解决本文研究问题,具有较好的效果。4结束语量子算法对对称密码体制的研究一直被大家所关注,特别是对Feistel结构和Even-Mansour结构的破译取得了一定的进展和成果。本文研究的类EM结构,是对原有的Even-Mansour结构进行变形改造得到的结
32、构,由于该结构有使用经典攻击难以破译的优点,因此对该结构进行密码分析有很大的现实意义。本文使用量子Simon算法对该类EM结构进行密钥恢复攻击,给出了攻击使用的量子电路,成功恢复出5轮结构中的第五轮加密密钥k4,并使用密钥生成算法的逆过程恢复出前4轮的加密密钥kok 3。对以后使用量子算法对分组密码结构进行密码分析的研究提供了思路。类EM结构加密由32 轮加密构成,对于对称密码结构来说,加密轮数和轮密钥长度保证了其安全性。本文给出的攻击方法针对5轮结构,说明了破译对称密码的可能性,但想要真正威胁该密码结构还需要对更多轮数的加密进行研究,给出适用于更多轮加密结构的破译方法。在后续的研究中,将加人
33、对类EM结构的研究,例如与Grover算法、BV算法结合,或对类EM结构本身能有更好的理解与分析,使其使用与量子分析方法时,能够达到更好的破译效果。参考文献:1 SHOR P.Algorithms for Quantum Computation:Discrete Logarithms111NETINFOSECURITY理论研究2024年第1期and FactoringC/IEEE.35th Annual Symposium on the Foundations ofComputer Science.New York:IEEE,1994:124-134.2 National Institute
34、of Standards and Technology.Submission Requirements and Evaluation Criteria for the Post-Quantum Cryptography StandardizationProcessEB/OL.2023-06-18.https:/csrc.nist.gov/CSRC/media/Projects/Post-Quantum-Cryptography/documents/call-for-proposals-final-dec-2016.pdf.3 Grover L K.A Fast Quantum Mechanic
35、al Algorithm for DatabaseSearchEB/OL.(1996-11-19)2023-06-18.https:/doi.org/10.48550/arXiv.quant-ph/9605043.4 XIE Huiqin,YANG Li.A Quantum Related-Key Attack Based onthe Bernstein-Vazirani AlgorithmEB/OL.(2020-07-14)2023-06-18.https:/ KAPLAN M,LEURENT G,LEVERRIER A,et al.QuantumDifferential and Linea
36、r CryptanalysisEB/OL.(2017-05-07)2023-06-18.https:/doi.org/10.48550/arXiv.1510.05836.6 XIE Huiqin,YANG Li.Quantum Impossible Differential and TruncatedDifferential CryptanalysisEB/OL.(2018-07-23)2023-06-18.https:/doi.0rg/10.48550/arXiv.1712.06997.7 VAZIRANI U.On the Power of Quantum ComputationJ.Phi
37、losophical Transactions Mathematical Physical&Engineering Sciences,1998,356(1743):1759-1768.8 KUWAKADO H,MORII M.Quantum Distinguisher between the3-Round Feistel Cipher and the Random PermutationC/IEEE.IEEEIntemational Symposium on Information Theory.New York:IEEE,2010:2682-2685.9 KUWAKADO H,MORII M
38、.Security on the Quantum-Type Even-Mansour CipherC/IEEE.Information Theory and Its Applications(ISITA),2012 Intermational Symposium on.New York:IEEE,2012:312-316.10 SANTOLI T,SCHAFFNER C.Using Simons Algorithm to AttackSymmetric-Key Cryptographic PrimitivesEB/OL.(2017-01-31)2023-06-18.https:/doi.org
39、/10.48550/arXiv.1603.07856.11 MALVIYA A K,TIWARI N,CHAWLA M.Quantum CryptanalyticAttacks of Symmetric Ciphers:A Review.Computers and ElectricalEngineering,2022:101-109.12 GUO Jian,JEAN J,NIKOLI I,et al.Extended Meet-in-the-MiddleAtacks on Some Feistel Constructions.Designs Codes and Cryptography,201
40、6,80(3):587-618.13 PATARIN J.Generic Attacks on Feistel SchemesC/Springer:International Conference on the Theory and Application of Cryptology andInformation Security.Heidelberg:Springer,2001:222-238.14 KIM P,HAN D,JEONG K C.Time-Space Complexity of QuantumSearch Algorithms in Symmetric Cryptanalysi
41、s:Applying to AES and SHA-20J.Quantum Information Processing,2018,17(12):1-39.15 DONG Xiaoyang,DONG Bingyou,WANG Xiaoyun,QuantumAttacks on Some Feistel Block Ciphersl.Designs,Codes and Cryptography.2020(88):11791203.16 KAPLAN M,LEURENT G,LEVERRIER A,et al.BreakingSymmetric Cryptosystems Using Quantu
42、m Period FindingC/Springer:Annual International Cryptology Conference.Heidelberg:Springer,2016:207237.17 LEVERRIER A.Quantum Differential CryptanalysisEB/OL.(2015-02-12)2023-06-18.http:/www.dagstuhl.de/en/program/calendar/semhp/?semnr=15371.18 BERNSTEIN E,VAZIRANI U.Quantum Complexity Theoryl.Siam J
43、ourmal on Computing,1997,26(5):1411-1473.19 DAEMEN J,RJMEN V.Probability Distributions of Correlation andDifferentials in Block Ciphersl.Jourmal of Mathematical Cryptology,2007,1(3):221-242.20 KAPLAN M.Quantum Attacks Against Iterated Block Ciphers.Matematicheskie Voprosy Kriptografi,2014,34:71-90.21 SHIMON E,YISHAY M.A Construction of a Cipher from a SinglePseudorandom Permutation.Journal of Cryptology,1997,10(3):151-161.22 KATZ J,LINDELL Y.Introduction to Modern CryptographyM.Boca Raton:Chapman&Hall/CRC,2007.112
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100