一种新的类CLEFIA密码结构抵抗差分分析的安全性评估

王念平; 倪亮

doi:10.3969/j.issn.1671-0673.2025.01.011

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (01) : 70 -75. DOI: 10.3969/j.issn.1671-0673.2025.01.011

网络空间安全

一种新的类CLEFIA密码结构抵抗差分分析的安全性评估

王念平 ¹ ,
倪亮 ²

作者信息 +

Security Evaluation Against Differential Cryptanalysis for A New CLEFIA-Like Cryptographic Structure

Nianping WANG ¹ ,
Liang NI ²

Author information +

文章历史 +

PDF (684K)

摘要

提出一种新的类 $C L E F I A$ 密码结构，并给出这种结构抵抗差分分析的安全性评估结果。在轮函数都是双射的条件下，当迭代轮数 $u = 6 k (k ≥ 1)$ 或 $6 k + 1 (k ≥ 3)$ 时，证明 $u$ 轮活动指标（活动轮函数个数）至少为 $u$ ；当迭代轮数 $u$ 为其他值时，证明 $u$ 轮活动指标至少为（ $u - 1$ ）。此外，给出的活动指标的下界是可达的。

Abstract

A new CLEFIA-like cryptographic structure is proposed, and its security evaluation results, particularly its resistance to differential analysis, are presented. It is proven that when all round functions are bijective, the u-round active index (the number of active round functions) is u for u = 6k (k ≥ 1) or 6k + 1 (k ≥ 3) while the u-round active index for the CLEFIA-like cryptographic structure is (u-1) in other cases. Furthermore, the lower bound of the active index established in this study is confirmed to be reachable.

Graphical abstract

关键词

类

C L E F I A

密码结构 / 差分分析 / 活动指标

Key words

CLEFIA-like cryptographic structure / differential cryptanalysis / active index

引用本文

引用格式 ▾

[Author(id=1210245294127764014, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=wwnnpp@126.com, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245294966624872, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, authorId=1210245294127764014, language=EN, stringName=Nianping WANG, firstName=Nianping, middleName=null, lastName=WANG, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245295314752121, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, authorId=1210245294127764014, language=CN, stringName=王念平, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.信息工程大学，河南郑州 450001, bio={"content":"

王念平（1973—），男，教授，博士，主要研究方向为信息安全与密码学。E-mail：wwnnpp@126.com

"}, bioImg=null, bioContent=

王念平（1973—），男，教授，博士，主要研究方向为信息安全与密码学。E-mail：wwnnpp@126.com

, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245293658001931, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, xref=1., ext=[AuthorCompanyExt(id=1210245293674779149, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, companyId=1210245293658001931, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245293691556367, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, companyId=1210245293658001931, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.信息工程大学，河南郑州 450001)])]), Author(id=1210245295503495810, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245295725793934, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, authorId=1210245295503495810, language=EN, stringName=Liang NI, firstName=Liang, middleName=null, lastName=NI, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.School of Computer Science, Zhongyuan University of Technology, Zhengzhou 450007, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245295927120539, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, authorId=1210245295503495810, language=CN, stringName=倪亮, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.中原工学院计算机学院，河南郑州 450007, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245293905465884, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, xref=2., ext=[AuthorCompanyExt(id=1210245293918048799, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, companyId=1210245293905465884, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.School of Computer Science, Zhongyuan University of Technology, Zhengzhou 450007, China), AuthorCompanyExt(id=1210245293934826017, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183241090195724, companyId=1210245293905465884, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.中原工学院计算机学院，河南郑州 450007)])])] 王念平,倪亮. 一种新的类CLEFIA密码结构抵抗差分分析的安全性评估[J]. 信息工程大学学报, 2025, 26(01): 70-75 DOI:10.3969/j.issn.1671-0673.2025.01.011

登录浏览全文

4963

注册一个新账户忘记密码

差分分析^[1-2]是一种常用的分组密码分析方法，其基本思想是利用分组密码差分分布的不平衡性，构造高概率差分特征，进而恢复密钥比特。差分分析能否取得成功，关键在于所构造的差分特征概率的大小。而活动轮函数（或活动S盒）的个数决定着差分特征概率的大小，因此，活动轮函数（或活动S盒）个数的下界就成了一个重要的指标。另一方面，CLEFIA密码结构^[3-5]是一种常见的密码结构，CLEFIA算法^[5]就采用了这样的结构。围绕CLEFIA算法、CLEFIA密码结构或其变形结构，研究者们进行了深入的研究。一是对CLEFIA算法本身进行研究，主要是对该算法抵抗常见密码分析方法的能力进行评估；二是对CLEFIA密码结构或其变形结构进行研究，主要包括可证明安全性分析、扩散环节的优化设计等。文献[6]基于CLEFIA密码结构提出一种

4 r + m (r ≥ 0,0 ≤ m ≤ 3)

轮类CLEFIA密码结构，并对这种结构进行了差分分析，该结构实际上是CLEFIA密码结构的一种变形。提出一种新的类CLEFIA密码结构，并详细分析了这种结构抵抗差分分析的能力。最后，将本文的结果与文献[6-7]中的结果进行了比较。

1 CLEFIA和类CLEFIA密码结构

首先介绍CLEFIA密码结构和一类变形密码结构。

CLEFIA密码结构和一类变形密码结构分别如图1和图2所示。变形密码结构的块移位变换与CLEFIA密码结构有所不同，并且在块移位变换之后加入1个异或运算“

⊕

”：

(a, b, c, d) → (a, b ⊕ d, c, d)

。

下面介绍类CLEFIA密码结构。

(6 r + m) (r ≥ 0,0 ≤ m ≤ 5)

轮类CLEFIA密码结构中，第

6 k (k ≥ 1)

轮是如图2所示的变形密码结构，其他轮都是如图1所示的CLEFIA密码结构。

定义1^[8] 设

(X, +)

和

(Y, +)

为有限交换群，

f : X → Y

，

α ∈ X

，

β ∈ Y

，差分概率

p f (α → β)

定义为

p f (α → β) = 1 X # {x ∈ X : f (x + α) - f (x) = β} 。

式中，“

| • |

”和“

# {•}

”都表示集合的基数。

定义2^[9] 输入差分不为零的轮函数为活动轮函数。

定义3

n轮差分特征中活动轮函数的个数称为(

n

轮)活动指标。

引理1^[7] 对轮函数都是双射的CLEFIA密码结构，

n (n ≥ 0)

轮活动指标

≥ n - (n m o d 6) / 6

。其中：

n m o d 6

表示

6

除

n

所得的余数；

x

表示不小于

x

的最小整数。

2 类CLEFIA密码结构抵抗差分分析的安全性

在本文中，假设轮函数

f 0

和

f 1

都是双射。

首先，对CLEFIA密码结构（见图1）的差分对应进行分析。为研究方便，用

Δ X i = (Δ x 4 i, Δ x 4 i + 1,

Δ x 4 i + 2, Δ x 4 i + 3) (i ≥ 0)

表示输入或输出差分，其中，差分块

Δ x 4 i + j = 0

或

1

，

i ≥ 0,0 ≤ j ≤ 3

。这里，“

0

”表示

Δ x 4 i + j

为零差分块，“

1

”表示

Δ x 4 i + j

为非零差分块。显然非零输入差分共有15种，即

(0,0, 0,1), (0,0, 1,0),

⋯, (1,1, 1,1)

，可分别用数字

1,

2, ⋯, 15

表示，且差分块之间的运算分别为：“

0 ⊕ 0 = 0

”, “

0 ⊕ 1 = 1

”, “

1 ⊕ 0 = 1

”, “

1 ⊕ 1 = 0 或 1

”。这里，“

1 ⊕ 1 = 0 或 1

”表示两个非零差分块的异或结果。事实上，两个非零差分块的值有可能相等（此时异或结果为零差分块，记为“

0

”），也有可能不相等（这时异或的结果就为非零差分块，记为“

1

”）。

例如，当输入差分为

3 = (0,0, 1,1)

时，1轮差分对应为：

3 → 11 4,6

。该差分对应是这样得到的：由轮函数

f 0

和

f 1

都是双射可知，输入差分块“

0

”和“

1

”分别经轮函数

f 0

和

f 1

作用后的输出差分块为“

0

”和“

1

”，输入差分

3 = (0,0, 1,1)

经过轮函数

f 0

和

f 1

作用后的输出差分为

(0,0 ⊕ 0,1, 1 ⊕ 1) = (0,0, 1,0)

或

(0,0, 1,1)

，再经过循环左移变换作用后的输出差分为

(0,1, 0,0)

或

(0,1, 1,0)

，故输入差分

3 = (0,0, 1,1)

经过1轮

C L E F I A

密码结构的输出差分为

(0,1, 0,0) = 4

或

(0,1, 1,0) = 6

，即

3 → 11 4

或6，其中轮函数

f 1

是活动的。这里，差分对应

a → u (v) b (1 ≤ a, b ≤ 15)

表示输入差分

a

经过

u (u ≥ 1)

轮迭代后输出差分为

b

，且活动指标为v。

类似地，可以给出1轮CLEFIA密码结构的所有差分对应如下所示。

1 → 1 (0) 2

；

2 → 1 (1) 6

；

3 → 1 (1) 4,6

；

4 → 1 (0) 8

；

5 → 1 (0) 10

；

6 → 1 (1) 14

；

7 → 1 (1) 12,14

；

8 → 1 (1) 9

；

9 → 1 (1) 11

；

10 → 1 (2) 15

；

11 → 1 (2) 13,15

；

12 → 1 (1) 1,9

；

13 → 1 (1) 3,11

；

14 → 1 (2) 7,15

；

15 → 1 (2) 5,7, 13,15

。

由以上可得如下结论。

引理2 对1轮CLEFIA密码结构（见图1），有：

1）活动指标

≥ 0

；

2）活动指标为0的情形只能为

1 → 1 (0) 2

;

4 → 1 (0) 8

;

5 → 1 (0) 10

;

3）活动指标为1的情形只能为

2 → 1 (1) 6

;

3 → 1 (1) 4,6

;

6 → 1 (1) 14

;

7 → 1 (1) 12,14

；

8 → 1 (1) 9

;

9 → 1 (1) 11

;

12 → 1 (1) 1,9

;

13 → 1 (1) 3,11

;

4）活动指标为2的情形只能为

10 → 1 (2) 15

；

11 → 1 (2) 13,15

;

14 → 1 (2) 7,15

；

15 → 1 (2) 5,7, 13,15

。

其次，对变形密码结构（如图2）的差分对应进行分析。

引理3 对变形密码结构

Q k (x 0, x 1, x 2, x 3) = (x 1 ⊕ f 0 (x 0

⊕ k 0), x 0 ⊕ x 2, x 3 ⊕ f 1 (x 2 ⊕ k 1), x 2)

1轮差分对应都具有形式

(α 0, α 1, α 2, α 3) → (α 1 ⊕ γ 0, α 0 ⊕ α 2, α 3 ⊕ γ 1, α 2)

，且轮函数

f 0

和

f 1

相应的差分对应分别为

α 0 → γ 0

和

α 1 → γ 1

。

证明令

γ 0 = f 0 (x 0 ⊕ α 0 ⊕ k 0) ⊕ f 0 (x 0 ⊕ k 0)

，

γ 1 = f 1

(x 2 ⊕ α 2 ⊕ k 1) ⊕ f 1 (x 2 ⊕ k 1)

，则

Q k (x 0 ⊕ α 0, x 1 ⊕ α 1, x 2 ⊕ α 2, x 3 ⊕ α 3) ⊕ Q k (x 0, x 1, x 2, x 3) = (x 1 ⊕ α 1 ⊕ f 0 (x 0 ⊕ α 0 ⊕ k 0), x 0 ⊕ α 0 ⊕ x 2 ⊕ α 2, x 3 ⊕ α 3 ⊕ f 1 (x 2 ⊕ α 2 ⊕ k 1), x 2 ⊕ α 2) ⊕ (x 1 ⊕ f 0 (x 0 ⊕ k 0), x 0 ⊕ x 2, x 3 ⊕ f 1 (x 2 ⊕ k 1), x 2) =

(α 1 ⊕ f 0 (x 0 ⊕ α 0 ⊕ k 0) ⊕ f 0 (x 0 ⊕ k 0), α 0 ⊕ α 2, α 3 ⊕ f 1 (x 2 ⊕ α 2 ⊕ k 1) ⊕ f 1 (x 2 ⊕ k 1), α 2) = (α 1 ⊕ γ 0, α 0 ⊕ α 2, α 3 ⊕ γ 1, α 2)

其中，轮函数

f 0

和

f 1

相应的差分对应分别为

α 0 → γ 0

和

α 2 → γ 1

。证毕。

由引理3知，对变形密码结构，当输入差分

3 = (0,0, 1,1)

时，1轮差分对应为：

3 → 11 5 或 7

。该差分对应是这样得到的：输入差分

3 = (0,0, 1,1),

经过轮函数

f 0

和

f 1

作用后的输出差分为

(0,0, 1,1 ⊕ 1) = (0,0, 1,0)

或

(0,0, 1,1)

，然后经过块移位变换作用后的输出差分为

(0,0, 0,1)

或

(0,0, 1,1)

，再经过“

⊕

”运算后，输出差分为

(0,1, 0,1)

或

(0,1, 1,1)

，故输入差分

3 = (0,0, 1,1)

经过1轮变形密码结构后的输出差分为

(0,1, 0,1) = 5

或

(0,1, 1,1) = 7

，即

3 → 11 5 或 7

，其中轮函数

f 1

是活动的。

类似地，可以给出1轮变形密码结构的所有差分对应，如下所示。

1 → 1 (0) 2

；

2 → 1 (1) 7

；

3 → 1 (1) 5,7

；

4 → 1 (0) 8

；

5 → 1 (0) 10

6 → 1 (1) 15

；

7 → 1 (1) 13,15

；

8 → 1 (1) 12

；

9 → 1 (1) 14

；

10 → 1 (2) 11,15

；

11 → 1 (2) 9,11,13,15

；

12 → 1 (1) 4,12

；

13 → 1 (1) 6,14

；

14 → 1 (2) 3,7, 11,15;

15 → 1 (2) 1,3, 5,7, 9,11,13,15

。

引理4 对1轮变形密码结构（如图2），有：

1）活动指标

≥ 0

；

2）活动指标为0的情形只能为

1 → 1 (0) 2

;

4 → 1 (0) 8

;

5 → 1 (0) 10

;

3）活动指标为1的情形只能为

2 → 1 (1) 7

;

3 → 1 (1) 5,7

;

6 → 1 (1) 15

;

7 → 1 (1) 13,15

；

8 → 1 (1) 12

;

9 → 1 (1) 14

;

12 → 1 (1) 4,12

;

13 → 1 (1) 6,14

;

4）活动指标为2的情形只能为

10 → 1 (2) 11,15

;

11 → 1 (2) 9,11,13,15

;

14 → 1 (2) 3,7, 11,15

；

15 → 1 (2) 1,3, 5,7, 9,11,13,15

。

然后，对6轮类CLEFIA密码结构的差分对应进行分析。

与引理2之前的分析方法类似，并结合引理2和引理4，可以得到6轮类CLEFIA密码结构的所有差分对应，如下所示。

1 → 6 (6) 4,10,12 → 6 (7) 3,6, 7,11,13,14,15 → 6 (8) 1,3, 5,7, 9,11,13,15

2 → 6 (6) 2 → 6 (7) 14 → 6 (8) 4,5, 7,10,11,12,13,15 → 6 (9) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (10) 1,3, 5,7, 9,11,13,15

3 → 6 (6) 2,6, 14 → 6 (7) 1,3, 5,7, 9,11,13,14,15 → 6 (8) 4,5, 7,10,11,12,13,15 → 6 (9) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (10) 1,3, 5,7, 9,11,13,15

4 → 6 (6) 5,7, 10 → 6 (7) 6,9, 11,13,14,15 → 6 (8) 1,3, 5,7, 9,11,13,15

5 → 6 (6) 2,8 → 6 (7) 14,15 → 6 (8) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (9) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (10) 1,3, 5,7, 9,11,13,15

6 → 6 (6) 7 → 6 (7) 2,8 → 6 (8) 4,9, 10,11,12,13,14,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (11) 1,3, 5,7, 9,11,13,15

7 → 6 (6) 3,7, 11,15 → 6 (7) 2,5, 7,8, 10 → 6 (8) 4,6, 9,10,11,12,13,14,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (11) 1,3, 5,7, 9,11,13,15

8 → 6 (6) 8 → 6 (7) 15 → 6 (8) 4,5, 6,7, 10,11,12,14,15 → 6 (9) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (10) 1,3, 5,7, 9,11,13,15

9 → 6 (6) 12 → 6 (7) 2,8 → 6 (8) 3,5, 7,10,11,14,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 5,6, 7,9, 11,13,14,15, → 6 (11) 1,3, 5,7, 9,11,13,15

10 → 6 (7) 7,12 → 6 (8) 2,8, 10 → 6 (9) 3,4, 5,6, 7,9, 10,11,12,13,14,15 → 6 (10) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (11) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (12) 1,3, 5,7, 9,11,13,15

11 → 6 (6) 14 → 6 (7) 7,8, 12 → 6 (8) 2,8, 10,13,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (11) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (12) 1,3, 5,7, 9,11,13,15

12 → 6 (6) 8,13,15 → 6 (7) 1,3, 5,7, 9,11,13,15 → 6 (8) 4,5, 6,7, 10,11,12,14,15 → 6 (9) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (10) 1,3, 5,7, 9,11,13,15

13 → 6 (6) 9,11,12,13,15 → 6 (7) 2,4, 8,10,12 → 6 (8) 3,5, 6,7, 10,11,13,14,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (11) 1,3, 5,7, 9,11,13,15

14 → 6 (6) 15 → 6 (7) 2,7, 12 → 6 (8) 2,6, 8,10,14 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (11) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (12) 1,3, 5,7, 9,11,13,15

15 → 6 (6) 14,15 → 6 (7) 2,7, 8,12 → 6 (8) 2,4, 5,6, 7,8, 10,11,12,13,14,15 → 6 (9) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (10) 1,3, 4,5, 6,7, 9,10,11,12,13,14,15 → 6 (11) 1,3, 5,6, 7,9, 11,13,14,15 → 6 (12) 1,3, 5,7, 9,11,13,15

由以上讨论，可得如下结论。

引理4 对6轮类CLEFIA密码结构，有：

1）活动指标

≥ 6

；

2）活动指标为6的情形只能为

1 → 6 (6) 4,10,12

;

2 → 6 (6) 2

;

3 → 6 (6) 2,6, 14

;

4 → 6 (6) 5,7, 10

;

5 → 6 (6) 2,8

;

6 → 6 (6) 7

;

7 → 6 (6) 3,7, 11,15

;

8 → 6 (6) 8

;

9 → 6 (6) 12

;

11 → 6 (6) 14

;

12 → 6 (6) 8,13,15

;

13 → 6 (6) 9,11,12,13,15

;

14 → 6 (6) 15

;

15 → 6 (6) 14,15

。

引理5 对类CLEFIA密码结构，设最后一轮的输出差分

α (3) = 1,4, 5

，则18轮差分特征

α (0) → 6 (v 1) α (1)

→ 6 (v 2) α (2) → 6 (v 3) α (3) (1 ≤ α (i - 1) ≤ 15,1 ≤ i ≤ 3)

的活动指标

≥ 19

，即

v 1 + v 2 + v 3 ≥ 19

。

证明由引理4中的 1)知，6轮差分特征的活动，指标

≥ 6

，从而

v i ≥ 6 (1 ≤ i ≤ 3)

，故只需证明

v 1 、 v 2 、 v 3

中至少有1个大于6即可。以下分3种情形进行讨论。

1）

α (3) = 1

时，由引理4中的 2）知，6轮差分特征

α (2) → 6 (v 3) α (3)

的活动指标不可能恰好为6，故由

v i ≥ 6 (1 ≤ i ≤ 3)

知

v 3 ≥ 7

。

2）

α (3) = 4

且

v 3 = 6

时，由引理4中的 2）知，6轮差分特征

α (2) → 6 (v 3) α (3)

只能为

1 → 6 (6) 4

，从而

α (2) = 1

，再由情形1）的证明过程知，6轮差分特征

α (1) → 6 (v 2) α (2)

的活动指标不可能恰好为6，故由

v i ≥ 6 (1 ≤ i ≤ 3)

知

v 2 ≥ 7

。

3）

α (3) = 5

且

v 2 = v 3 = 6

时，由引理4中的 2）知，6轮差分特征

α (2) → 6 (v 3) α (3)

只能为

4 → 6 (6) 5

，6轮差分特征

α (1) → 6 (v 2) α (2)

只能为

1 → 6 (6) 4

，从而

α (1) = 1

，再由情形1）的证明过程知，6轮差分特征

α (0) → 6 (v 1) α (1)

的活动指标不可能恰好为6，故由

v i ≥ 6 (1 ≤ i ≤ 3)

知

v 1 ≥ 7

。

由情形1）~情形3）知，

v 1 、 v 2 、 v 3

中至少有1个大于6。本引理结论成立。证毕

定理1 对

(6 r + m) (r ≥ 0,0 ≤ m ≤ 5)

轮类CLEFIA密码结构，

u (1 ≤ u ≤ 6 r + m)

轮活动指标

≥ N (u)

。其中，

N (u) = u, u = 6 k (k ≥ 1) 或 6 k + 1 (k ≥ 3); u - 1, 其他 。

证明分以下3种情形进行讨论。

1）

u = 6 k (k ≥ 1)

。这时候，由引理4中的 1）知，6轮活动指标

≥ 6

，因此

6 k

轮活动指标

≥ 6 k

，即

u

轮活动指标

≥ u

，本情形下定理结论成立。

2）

u = 6 k + 1 (k ≥ 3)

。设类CLEFIA密码结构的

(6 k + 1)

轮差分特征为

α (0) → 6 (v 1) α (1) → 6 (v 2) ⋯ → 6 (v k) α (k)

→ 1 (v k + 1) α (k + 1) (1 ≤ α (i - 1) ≤ 15,1 ≤ i ≤ k + 2)

，其中，

α (i - 1)

→ 6 (v i) α (i) (1 ≤ i ≤ k)

表示第

i (1 ≤ i ≤ k)

个6轮差分特征，

α (k) → 1 (v k + 1) α (k + 1)

表示最后1轮差分特征，

v i (1 ≤ i ≤ k + 1)

表示相应的活动指标。显然，上述

(6 k + 1)

轮活动指标为

(v 1 + v 2 + ⋯ + v k + v k + 1)

，且由引理4中的 1）知

v i ≥ 6 (1 ≤ i ≤ k)

。若

v k + 1 ≥ 1

，则由

v i ≥ 6 (1 ≤ i ≤ k)

知

v 1 + v 2 + ⋯ + v k + v k + 1 ≥ 6 k + 1

。若

v k + 1 = 0

，则由引理2中的 2）知

α (k) = 1,4, 15

，再由引理5知

v k - 2 + v k - 1 + v k ≥ 19

，故由

v i ≥ 6 (1 ≤ i ≤ k)

知

v 1 + v 2 + ⋯ + v k + v k + 1 = (v 1 + v 2 + ⋯ + v k - 3) + (v k - 2 + v k - 1 + v k) + v k + 1 ≥ 6 (k - 3) + 19 = 6 k + 1

，即

v 1 + v 2 + ⋯ + v k + v k + 1 ≥ 6 k + 1

。

3）

u = 6 k + j (k ≥ 1, j ≠ 0,1)

或

u = 6 k + 1 (k = 0,1, 2)

。这时候，由引理4中的 1）知，6轮活动指标

≥ 6

，因此

6 k

轮活动指标

≥ 6 k

，再由引理2.1知，CLEFIA密码结构

j (j ≥ 1)

轮活动指标

≥ j - 1

，因此

(6 k + j) (k ≥ 1, j ≠ 0,1)

轮活动指标

≥ 6 k + j - 1

，

(6 k + 1) (k = 0,1, 2)

轮活动指标

≥ 6 k

，即

u

轮活动指标

≥ u - 1

，本情形下定理结论成立。

由情形1）~情形3）知，本定理成立。证毕。

由定理1可立得定理2。

定理2 对

(6 r + m) r ≥ 0,0 ≤ m ≤ 5

轮类CLEFIA密码结构，设轮函数的最大差分概率为

p m a x

，则

u (1 ≤ u ≤ 6 r + m)

轮差分特征概率

≤ P m a x N (u)

。其中，

N (u) = u, u = 6 k (k ≥ 1) 或 6 k + 1 (k ≥ 3); u - 1, 其他 。

事实上，对

(6 r + m) r ≥ 0,0 ≤ m ≤ 5

轮类CLEFIA密码结构，定理1给出的活动指标下界是可达的，即确实存在这样的差分特征，其活动指标达到了定理1给出的下界，换句话说，

u

轮活动指标恰好为

N (u)

。

具体地，下述差分特征的活动指标达到了定理1给出的下界。

1）

u = 6 k (k ≥ 1)

时，

6 k

轮差分特征（共有

(k + 1) 个 7

）

7 → 6 (6) 7 → 6 (6) ⋯ → 6 (6) 7

的活动指标为

6 k

。

2）

u = 6 k + 1 (k ≥ 3)

时，

(6 k + 1)

轮差分特征（共有

(k + 1) 个 2

）

2 → 6 (6) 2 → 6 (6) ⋯ → 6 (6) 2 → 1 (1) 6

的活动指标为(

6 k + 1

)。

3）

u = 6 k + 1 (0 ≤ k ≤ 2)

时。若

k = 0

，则

u = 6 k + 1 = 1

，1轮差分特征

5 → 1 (0) 10

的活动指标为0；若

k = 1

，则

u = 6 k + 1 = 7

，7轮差分特征

4 → 6 (6) 5 → 1 (0) 10

的活动指标为6；若

k = 2

，则

u = 6 k + 1 = 13

，13轮差分特征

1 → 6 (6) 4 → 6 (6) 5 → 1 (0) 10

的活动指标为12。

3）

u = 6 k + 2 (k ≥ 0)

时。若

k = 0

，则

u = 6 k + 2 = 2

，2轮差分特征

3 → 1 (1) 4 → 1 (0) 8

的活动指标为1；若

k ≥ 1

，则

(6 k + 2)

轮差分特征（共有

k 个 7

）

7 → 6 (6) 7 → 6 (6) ⋯ → 6 (6) 7 → 6 (6) 3 → 1 (1) 4 → 1 (0) 8

的活动指标为

(6 k + 1)

。

4）

u = 6 k + 3 (k ≥ 0)

时。若

k = 0

，则

u = 6 k + 3 = 3

，3轮差分特征

3 → 1 (1) 4 → 1 (0) 8 → 1 (1) 9

的活动指标为2；若

k ≥ 1

，则

(6 k + 3)

轮差分特征（共有

k 个 7

）

7 → 6 (6) 7 → 6 (6) ⋯ → 6 (6) 7 → 6 (6) 3 → 1 (1) 4 → 1 (0) 8 → 1 (1) 9

的活动指标为

(6 k + 2)

。

5）

u = 6 k + 4 (k ≥ 0)

时。若

k = 0

，则

u = 6 k + 4 = 4

，4轮差分特征

3 → 1 (1) 4 → 1 (0) 8 → 1 (1) 9 → 1 (1) 11

的活动指标为3；若

k ≥ 1

，则

(6 k + 4)

轮差分特征（共有

k 个 7

）

7 → 6 (6) 7 → 6 (6) ⋯ → 6 (6) 7 → 6 (6) 3 → 1 (1) 4 → 1 (0) 8 → 1 (1) 9 → 1 (1) 11

的活动指标为

(6 k + 3)

。

6）

u = 6 k + 5 (k ≥ 0)

时，

(6 k + 5)

轮差分特征（共有

k 个 7

）

7 → 6 (6) 7 → 6 (6) ⋯ → 6 (6) 7 → 1 (1) 12 → 1 (1) 1 → 1 (0)

2 → 1 (1) 6 → 1 (1) 14

的活动指标为

(6 k + 4)

。最后，将本文结果与文献[6-7]中密码结构的相应结果进行比较，如表1所示。

由表1知，对于本文提出的类CLEFIA密码结构，当迭代轮数

u = 6 k (k ≥ 1)

或

6 k + 1 (k ≥ 3)

时，

u (u ≥ 1)

轮活动指标至少为

u

；当迭代轮数

u

取其他值时，

u (u ≥ 1)

轮活动指标至少为

(u - 1)

。与文献[6-7]中的密码结构相比，

(6 k + 1) (k ≥ 3)

轮活动指标的下界比文献[6-7]中的相应结果增加了1。另外，进一步分析表明，所提结构抵抗线性分析^[10]的安全性评估结果为：在轮函数都是双射的条件下，当迭代轮数

u = 6 k (k ≥ 1)

或

6 k + 5 (k ≥ 2)

时，

u (u ≥ 1)

轮活动指标至少为

u

；当迭代轮数

u

取其他值时，

u (u ≥ 1)

轮活动指标至少为

(u - 1)

。对线性分析而言，这里的活动指标是指输出线性逼近不为零的轮函数的个数。

3 结束语

提出一种新的类CLEFIA密码结构，并详细分析了这种结构抵抗差分分析的能力。具体地，当迭代轮数

u = 6 k (k ≥ 1)

或

6 k + 1 (k ≥ 3)

时，

u

轮活动指标至少为

u

；当轮数

u

取其他值时，

u

轮活动指标至少为

(u - 1)

；此外，本文给出的活动指标的下界是可达的。下一步需要考虑的是这种结构抵抗其他密码分析方法的能力。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	BIHAM E， SHAMIR A. Differential cryptanalysis of DES-like cryptosystems［J］. Journal of Cryptology，1991，4（1）：3-72.

[2]	KNUDSEN L R.Practically secure Feistel ciphers［C］∥Fast Software Encryption. Berlin， Germany：Springer，1994：211-221.

[3]	ZHENG Y L， MATSUMOTO T， IMAI H. On the construction of block ciphers provable secure and not relying on any unproven hypotheses［C］∥Advances in Cryptology-CRYPTO’ 89 Proceedings. New York， USA： Springer， 1990：461-480.

[4]	吴文玲，冯登国，张文涛.分组密码的设计与分析［M］.北京：清华大学出版社，2009：221.

[5]	SHIRAI T， SHIBUTANI K， AKISHITA T，et al. The 128-bit blockcipher CLEFIA［C］∥Proceedings of the 14th International Conference on Fast Software Encryption. Berlin， Germany： Springer，2007：181-195.

[6]	杨继林，王念平.类CLEFIA密码结构抵抗差分分析能力评估［J］.密码与信息安全学报，2018，30（5）：7-11.

[7]	王健康.几类分组密码模型的安全性分析［D］.郑州：信息工程大学，2013.

[8]	金晨辉，郑浩然，张少武，密码学［M］.北京：高等教育出版社，2009.

[9]	SCHNEIER B， KELSEY J. Unbalanced Feistel networks and block cipher design［C］∥Fast Software Encryption. Berlin，Germany： Springer，1996：121-144.