针对改进的Type-III型Feistel结构的量子密码分析方法

本发明涉及量子密码学领域，具体涉及针对改进的type-iii型feistel结构的量子密码分析方法。

背景技术：

1、针对改进的type-iii型feistel结构是yanagihara等人所采用的变体feistel结构，该结构使用的块移位比循环移位具有更好扩散性，可以用来提高type-iii型feistel结构对某些密码分析的抵抗力，如差分密码分析、不可能差分密码分析等。

2、随着量子计算机及量子算法的发展，分组密码算法面临着前所未有的安全挑战。例如，著名的shor算法可以在多项式时间内分解大整数和求解离散对数问题。simon算法能加速求解隐藏周期问题。grover算法在无序数据库搜索和密码破解等问题上具有指数级的加速能力。此外，grover meets simon算法，也常被用于对分组密码的量子密码分析。

3、日本学者kuwakado等人首次提出了3轮feistel结构周期函数的构造方法，并可将其作为量子区分器。dong等人利用了grover meets simon对r轮的feistel结构进行量子密钥恢复攻击。ito等人构造了4轮feistel结构的量子区分器。dong等人还对d分支的type-i型广义feistel结构及d分支type-ii型广义feistel进行了量子区分攻击，其中d为广义feistel结构的分支数。倪博煜等人针对type-i型广义feistel结构进行了量子密码分析。李艳俊等人对明文输入为8个子块的改进type-ii型广义feistel结构进行了量子密码分析。yi zhang等人对针对改进的type-iii型feistel结构进行了经典的不可能差分密码分析。但是，目前并未出现针对改进的type-iii型feistel结构的量子密码分析方法，对这一类分组密码结构的抗量子安全性问题还存在着较多的缺失。而且，目前多采用经典计算机对分组密码进行密码分析，相对量子计算机来说，经典计算机的计算能力有限。

技术实现思路

1、为解决上述问题，本发明对针对改进的type-iii型feistel结构提供了量子密码分析方法，该方法采用量子密码分析q2模型，能有效地克服经典计算机计算能力有限这一问题。该方法允许敌手a对预言机o执行量子叠加态查询，从而取得指数级攻击加速。

2、为实现上述目的，本发明采用以下方法：

3、s1：针对改进的type-iii型feistel结构，构造其周期函数f；

4、s2：基于周期函数f，构造具有多项式时间的x轮量子区分器；

5、s3：在x轮基础上向下扩展y轮，可得到x+y＝z轮的加密预言机o；

6、s4：敌手a，使用量子叠加态方式询问预言机o若干次；

7、s5：敌手a，利用grover meets simon算法，对d分支z轮改进的type-iii型feistel结构，进行量子选择明文密钥恢复攻击。

8、进一步地，所述s1中，构造的周期函数f为：

9、

10、其中，是基于针对改进的type-iii型feistel结构构造的一个具有周期s的函数，b为0或1的常数，可以得出，函数f的周期为(1，s)。

11、进一步地，所述s2中，构造的x轮量子区分器可确定一个黑盒可访问的函数是具有改进的type-iii型广义feistel结构的伪随机函数，还是一个真正的随机函数。

12、进一步地，所述s4中，敌手a可以选择明文作为加密预言机o的输入，并且能够以量子叠加态方式询问加密预言机o，并获得相应的密文c。

13、进一步地，所述s5中，simon算法可并行地加速查找周期s，能用于改进的type-iii型广义feistel结构的量子区分攻击，从而区分出该密码结构的伪随机性和随机性。

14、进一步地，所述s5中，进行密钥恢复攻击的总体思路是：先利用grover算法对密钥进行搜索，将搜索得到的密钥固定并返回给量子区分器，再利用simon算法进行判定：若猜测的密钥是正确的，则可以求解得到一个非平凡周期s；若猜测的密钥是错误的，则以很大的概率不能得到一个周期函数。

15、进一步地，所述s5中，进行密钥恢复攻击的具体步骤为：

16、s51：实现一个量子电路ε

17、s511：该量子电路ε的前(r-x)轮的输出中间状态值，与对应的子密钥(rk1，rk2，...，rkd-1)作为输入，注意这里的子密钥就是敌手a所猜测的子密钥。

18、s512：解密前(r-x)轮，计算得到相应的明文

19、s513：将计算得到的明文m，作为加密预言机o的输入并进行量子查询；

20、s514：敌手a返回得到加密预言机的输出结果，即密文注意，该量子电路ε的输入相当于是后x轮加密/x轮区分器的输入，该量子电路ε的输出相当于是x轮量子区分器的输出结果；

21、s52：敌手a猜测前(r-x)轮的子密钥(rk1，rk2，..，rkd-1)

22、s53：对于每种猜测(rk′1，rk′2，...，rk′d-1)，还需按照以下s检查其正确性

23、s531：将x轮量子区分器应用于量子电路ε，用于检查猜测密钥的正确性；

24、s532：若量子区分器返回“这是一个随机函数”，说明与不是后x轮加密的一对输入与输出，敌手a所猜测的子密钥错误；

25、s533：若量子区分器返回“这不是一个随机函数”，说明与是后x轮加密的一对输入与输出，则敌手a所猜测的子密钥正确。

26、与现有技术相比，本发明具有的有益效果：

27、本发明首先针对改进的type-iii型feistel结构，构造相应的周期函数f；其次基于周期函数f，构造具有多项式时间的x轮量子区分器；然后在x轮基础上向下扩展y轮，可得到x+y＝z轮的加密预言机o；最后敌手a，使用量子叠加态方式询问预言机o若干次，并利用grover meets simon算法，对d分支z轮改进的type-iii型feistel结构，进行量子选择明文密钥恢复攻击。本发明可以更高效地对分组密码进行量子密码分析，并有效地克服了经典计算机计算能力有限这一问题，加速实现了对针对改进的type-iii型feistel结构的量子密码分析。

技术特征：

1.针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，方法包括以下步骤：

2.根据权利要求1所述的针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，所述s1中，构造的周期函数f为：

3.根据权利要求1所述的针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，所述s2中，构造的x轮量子区分器可确定一个预言机可访问的函数是具有改进的type-iii型广义feistel结构的伪随机函数，还是一个真正的随机函数。

4.根据权利要求1所述的针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，所述s4中，敌手a可以选择明文作为加密预言机o的输入，并且能够以量子叠加态方式询问加密预言机o，并获得相应的密文c。

5.根据权利要求1所述的针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，所述s5中，进行量子选择明文的密钥恢复攻击的总体思路是：先利用grover算法对密钥进行搜索，将搜索得到的密钥固定并返回给量子区分器，再利用simon算法进行判定：若猜测的密钥是正确的，则可以求解得到一个非平凡周期s；若猜测的密钥是错误的，则以很大的概率不能得到一个周期函数。

6.根据权利要求1所述的针对改进的type-iii型feistel结构的量子密码分析方法，其特征在于，所述s5中，进行密钥恢复攻击的具体步骤为：

技术总结
本发明涉及量子密码学领域，具体涉及针对改进的Type‑III型Feistel结构的量子密码分析方法，包括：针对改进的Type‑III型Feistel结构，构造其周期函数f；基于周期函数f，构造具有多项式时间的x轮量子区分器；在x轮基础上向下扩展y轮，可得到x+y＝z轮的加密预言机O；敌手A，使用量子叠加态方式询问预言机O若干次；敌手A，利用Grover meets Simon算法，对d分支z轮改进的Type‑III型Feistel结构，进行量子选择明文密钥恢复攻击。本发明可加速搜索密钥的效率，更加高效的对现有的分组密码结构进行量子安全性分析。

技术研发人员：宋秀丽,陈茜
受保护的技术使用者：重庆邮电大学
技术研发日：
技术公布日：2024/3/27