最小化密钥材料：偶数曼苏尔密码及其在轻量级认证加密中的应用

抽象

偶数曼苏尔密码已被广泛应用于分组密码，并由于其结构简单和严格的证明安全的轻量级对称密钥密码。它的研究一直是密码学的热门话题。本文重点介绍的问题，同时它的安全性约束基本保持相同，以尽量减少偶数曼苏尔密码的关键材料。我们引入偶曼苏尔密码的短键的四个结构和Patarin的H-系数法推导出其安全性。这四个结构已被证明安全达 对抗性的查询，其中，ķ关键材料的钻头长度是多少μ是最大的多重性。然后，我们将它们应用于轻量级认证加密模式，并证明它们的安全性 -位对抗性的查询，其中，b是排列的大小C是置换的容量。最后，我们把它作为一个开放的问题，解决的安全性Ť-round迭代偶数-使用短密钥的曼苏尔密码。

1.介绍

近年来，随着智能家居、物联网、智能交通和5G/B5G网络的提出，轻量级密码技术受到越来越多的关注。这些新技术给我们的生活带来了便利，但也带来了强大的安全威胁，例如我们的智能手机中的私人数据泄露。轻量级密码学是一种有效的对抗安全威胁的方法，以实现对敏感数据的隐私和完整性的保护。轻量级密码主要用于资源受限的设备。分组密码以其快速、易实现、易标准化等优点，已成为一种非常重要的轻量级对称密钥加密技术。在信息安全和网络通信安全领域，它经常被用来实现敏感数据加密、数字签名、消息认证和密钥封装方案。

该Ť-round迭代即使曼苏尔密码被简单地描述为纯基于置换-块密码： 哪里 是的序列ñ位其通常由一些主密钥导出循环密钥和 是的序列Ť公众随机排列。这种迭代即使曼苏尔密码，也被称为键交替密码，具有十分重要的意义在分组密码的设计，也有利于在轻量级密码术的设计。的安全迭代即使曼苏尔密码是基于随机置换模型（RPM）。在RPM，所有排列建模为公众随机排列预言，换句话说，任何人都可以查询这些排列，并获得相应的响应。相关研究包括[1-9]。

这篇论文的重点是这个案子 。偶数和曼苏尔[10个]1997年做过开拓性的工作，证明是生日安全的。这就是“偶人密码”这个名字的由来。偶数-曼苏尔密码具有一些非常好的性质，例如最简单的结构和严格的可证明安全性。尽管对偶数人密码的研究多年来无人注意，但黄金总会发光的。幸运的是，它一直是密码学中一个非常热门的话题。2012年，Dunkelman等人。[11个]指出偶数曼苏尔密码是最小的，即，任何组分（无论是键或排列中的一个）被去除;偶数曼苏尔密码变得平凡易碎。在2015年，Cogliati等。[德意志北方银行]引入了tweakable偶曼苏尔（TEM）密码由偶曼苏尔密码和一个调整相结合，并证明了其安全性。同时，Mouha和Luykx [13个]再访偶数曼苏尔密码并分析了多键的安全性。多纳西门托和Xexeo [14个]施加的偶曼苏尔密码事物噪声比（IoT）环境互联网和在2017年提出了一个灵活的轻量级认证加密模式由此可见，Cho等人。[15个提出了一种基于偶数- mansour密码WEM的白盒块密码新系列，实现了性能与安全性的平衡。Farshim等人[16个]分析了偶曼苏尔密码的下变密钥消息安全性。在2018中，我们描述一个广义tweakable即使曼苏尔密码并将其应用到认证和认证加密模式[17岁]。

在轻量级设备中，存储资源是有限的。因此，一个重要的问题是轻量级密码设计的极简主义和关键材料的灵活性。在本文中，我们重温即使曼苏尔密码及考虑问题，我们是否可以用最少的关键材料实现绑定到的安全性。偶数曼苏尔密码被证明安全性高达约对抗性的查询，其中，ķ是关键材料的比特长度。我们可以减少的关键材料，实现绑定到的安全性（这必然要超越生日绑定）？

我们肯定地回答了本文中的问题。本文介绍了具有短密钥的偶数人密码的四种结构，并给出了可证明的安全性结果。更具体地说，他们的安全性取决于 使用Patarin的H系数技术的对抗性查询，其中ķ是变径键材料和μ是最大的多重性。具有短密钥的偶数人密码具有实时计算、避免密钥调度、密钥材料最小化等优点。因此，它可以广泛应用于资源受限的轻量级设备。然后，我们将其四种结构应用于轻量级认证加密（AE）模式，并证明了它们的安全性 -位对抗性的查询，其中，是排列的大小C（分别。[R）是置换的容量（相应的速率）。最后，我们把它作为一个开放的问题，解决的安全性Ť-round迭代偶数-使用短密钥的曼苏尔密码。

本文的其余部分安排如下。分段2，我们介绍一些准备工作。中科3，证明了即使曼苏尔密码与短键的安全性。部分4描述了基于四种短密钥偶数人密码结构的轻量级AE模式。剖面图五与本文结束。

2.预赛

让是一组长度为b和 。对于两个字符串X和ÿ，让或是的级联X和ÿ. 给定一个字符串X，我们利用表示以位为单位的长度X。给定一个非空集X，让表示一个元素X从图纸X均匀随机和是X. 让代表该组排列 。让成为对手的事件与oracle交互后输出1Ø。在这里,从不进行响应明显已知的查询。让是事件发生的概率发生。

2.1。多重

让一套ñ置换的评估P，其中 ， 。我们引进的总最大多样性为启发[18岁]，其中

2.2。H-系数法

Patarin引入的H系数技术[19个]是对称密钥密码学中一种非常重要的分析方法。我们将此技术简要总结如下。考虑一个信息论对手 ，其目标是区分一个真实的世界X一个理想的世界ÿ并指出如

不失一般性，我们可以假设是一个确定性的对手。与任何两个世界之间的相互作用X或ÿ总结在一份成绩单上τ. 用表示与转录本相互作用时的概率分布X，同样，在与ÿ。解说词τ是可以实现的 ，这意味着可以用交互期间发生这ÿ. 让是一套可获得的成绩单。我们表示作为一套好的成绩单时与互动X（ÿ）。让是一组糟糕的成绩单使得几率获得任何的在理想世界中是小的吗 。

引理1（H-系数引理[19个]).修正了一个确定性的对手 。让是集合达到的转录物的一个分区。假设存在对于任何 ，一个人 存在着这样

然后，对手的优势是

3.即使曼苏尔密码用快捷键

修正了一个公共置换和整数 ，这样和 。让 。偶数曼苏尔密码的短键，称为短，在图中描述1。需要一个统一的随机密钥并明文作为密文的输入和输出 。让和 。EM的四种结构分别为:

我们考虑了具有短密钥的偶数-曼苏尔密码的安全性，并得到了以下定理。

定理1。对于同和 ，我们有

定理的证明1利用H系数技术。我们认为是对手它可以与 在现实世界中 在理想的世界里，是均匀的随机和独立的排列和ķ是一个（伪）密钥。我们假设对手使得在最施工查询和最多基本查询。成绩单可以用这种形式表达 ，哪里和 。我们通过定义糟糕的成绩单开始。

定义1。我们定义了一个可实现的转录本 如果满足以下两个条件中的一个，情况就很糟糕。 ：  和 ，这样 ：  和 ，这样 否则我们会说τ是好的。我们表示 ，RESP。这一套很好，resp。糟糕的成绩单, 。
在现实世界中X，一个糟糕的成绩单意味着两个调用到P直接从查询原始预言一个：以相同的输入存在P另一个是通过查询构造神谕间接得到的 ，而所有元组 唯一确定P为了一份好的成绩单。在理想世界里ÿ，上述结果显然是建立了一个糟糕的成绩单，而这是不是一个很好的成绩单。
我们首先给出理想世界中不良记录的概率上限ÿ由下面的引理。

引理2。

证明。在理想世界中ÿ， 是一个虚拟统一的随机密钥可以实现的成绩单 。
在这里，我们假设一个对手使得在最施工查询和最多原始查询。对于每一个 每一个 ，我们最多只能得到（分别。 ）元组 这样为结构（a）和（b）或对于结构（c）和（d）（相应。对于结构(a)和(d)或用于从多个的属性结构（b）和（c）项）。
它遵循和 。因此，理想世界中出现不良记录的可能性ÿ最多 ，哪里 。
然后，我们分析好成绩单和下限的比值 。

引理3。任何好的成绩单τ，其中一个

证明。考虑一个很好的成绩单 。让成为现实世界中所有可能的神谕的非空集合X和是一个非空集的所有可能的神谕中的理想世界ÿ。因此，套的基数和分别是，和 。让和是与抄本兼容的两套神谕τ。引理中出现的概率1可以如下进行评估： 首先，我们计算 。如由组成查询元组和中的任何查询元组τ修复恰好一个输入 - 输出对的基本置换预言的，可能预言的在真实世界中的数X等于 。
其次，我们计算 。理想世界中可能的神谕数量ÿ等于 ，如P和Q是均匀随机和独立排列。
它遵循 因此，我们有 。
结合引理1-3，我们可以得到定理的结果1。

四。轻量级认证加密的应用

随着智能家居、物联网和5G/B5G网络的兴起，轻量级认证加密（AE）模式受到越来越多的关注[20个-22个]。轻量级AE模式是一种轻质对称密钥密码，它支持的隐私，并在设备上的敏感数据的真实性的服务。

带有短密钥的偶数人密码可以直接应用于轻量级AE模式，如图所示2。它由一个加密算法Ë和解密算法d。加密算法Ë采用明文中号和一键ķ作为输入并返回密文C和认证标签Ť即 。解密算法d采用一键ķ，密文C和认证标签Ť作为输入，并返回明文中号或拒绝符号 ，即， 。如果最后C所述EM解密位是0，则解密算法d回报中号. 否则，解密算法d回报 。

让 代表我们的轻量级AE模式。我们将介绍如下的AE-security模型。

定义2。（AE安全）。设P是一个公共随机排列。让 是一个P基于AE方案。让成为与 在现实世界中 在理想的世界里。让 。随后，的AE-安全 定义如下： 哪里q是查询到加密oracle数Ë或者解密oracled，p是查询到随机排列的号码P或相反 ， 是它总是返回为每个查询一个新的和随机的响应的随机函数，并且代表解密失败的符号。

定理2。让和 。那么，

素描的证据。让成为能够访问加密甲骨文的对手Ë，解密oracled，以及随机排列P或相反 。 可以被表示为一个EM方案。我们更换EM模块化结构的随机排列Q. 根据定理1， 我们有

它遵循 哪里由PRP-PRF开关引理[获得23个]和对手获胜的概率是多少每一次伪造的尝试。

结合方程（19个）和（20个），很容易得出定理的结果2。

根据定理2我们可以发现，这些轻量级的AE模式可确保有关 -位AE-安全。

5个。结论

密钥材料对于密码体制的安全实现至关重要。在智能家居、智能交通和物联网（IoT）环境中广泛使用的大多数设备都受到资源限制。因此，在轻量级密码的设计中，关键材料的极简性和灵活性是一个至关重要的问题。

在本文中，我们重新讨论偶数-曼苏尔密码，并讨论是否可以使用最少的密钥材料来实现偶数-曼苏尔密码中相同（甚至超出常规）的安全界限。我们介绍了四种具有短密钥的偶数人密码结构，并推导出了高达 对抗性的查询，其中，ķ关键材料和μ是最大多重性，使用Patarin的H-系数的技术。然后，我们把它们应用到轻量级验证的加密方式和证明其安全性最高约 -位对抗性的查询，其中，是排列的大小C是置换的容量。最后，我们把它作为一个开放的问题，解决的安全性Ť-round迭代偶数-使用短密钥的曼苏尔密码。用短键偶数曼苏尔密码被证实 -一些安全。考虑我们的结果是否可以推广到…是很自然的Ť-Round迭代即使曼苏尔密码。但是的情况Ť-Round迭代即使曼苏尔密码短键是比较复杂的。因此，它被认为是一个开放的问题，吸引学者讨论和分析得很详细。偶数曼苏尔密码的短键有很多好的优点，如计算上即时，避免了关键的时间表，并最大限度地减少了硬件实现和关键材料的面积。因此，它可广泛应用于智能家居的数据安全，物联网，以及一些简单的设备。

数据可用性

文章中提供了支持研究结果的数据。

的利益冲突

作者声明他们没有利益冲突。

致谢

这项工作得到了国际青年科学家研究基金（批准号61902195）、江苏省高校自然科学基金（普通项目，批准号19KJB520045）和国家自然科学基金（批准号NY219131）的资助。

参考文献

1. E、 Andreeva，A.Bogdanov，Y.Dodis，B.Mennink和J.P.Steinberger，“关于密钥交替密码的不可微性”，in密码学进展——2013年密码学，计算机科学课堂讲稿，R.Canetti和J.A.Garay编辑，第8042卷，第531-550页，斯普林格，柏林，德国，2013年。查看位置：发布者网站|谷歌学术
2. A、 博格达诺夫，L.R.克努森，G.利安德，外汇。Standaert，J.Steinberger和E.Tischhauser，“可证明设置中的密钥交替密码：使用少量公共置换的加密”，in密码学进展-欧洲地窖2012，计算机科学讲义，D.Pointcheval和T.Johansson编辑，第7237卷，第45-62页，斯普林格，柏林，德国，2012年。查看位置：发布者网站|谷歌学术
3. S、 Chen，R.Lampe，J.Lee，Y.Seurin和J.Steinberger，“最小化两个偶数人密码”《密码学，第31卷第1期4、2018年第1064-1119页。查看位置：发布者网站|谷歌学术
4. S、 Chen和J.Steinberger，“密钥交替密码的严格安全界限”，in在密码学的EUROCRYPT 2014年，在计算机科学讲义进展， P. Q. Nguyen和E. Oswald合编。卷。8441, pp. 327–350, Springer, Berlin, Germany, 2014.查看位置：发布者网站|谷歌学术
5. B. Cogliati和Y. Seurin，“论可证明安全迭代对相关密钥，并选择密钥攻击甚至曼苏尔密码”，在密码学进展——欧洲密码2015，计算机科学讲座笔记， E. Oswald和M. Fischlin编。卷。90五6，pp。五84–613, Springer, Berlin, Germany, 2015.查看位置：发布者网站|谷歌学术
6. P. Farshim和G.宝洁公司，在“迭代的相关密钥的安全，即使曼苏尔密码”快速的软件加密-FSE 2015年，计算机科学讲义， G. Leander, Ed.， vol. 9054, pp. 342-363，施普林格，德国柏林，2015。查看位置：发布者网站|谷歌学术
7. A. Hosoyamada和K.青木，“关于迭代即使曼苏尔量子密码相关密钥攻击，”电子，通讯和计算机科学的基本原理，第E102.A卷，第1期，第27-34页，2019年。查看位置：发布者网站|谷歌学术
8. T. Isobe和K. Shibutani， " Meet-in-the-middle key recovery attack on a single-key two-round Even-Mansour cipher， "电子，通讯和计算机科学的基本原理，第E102.A卷，第1期，第17-26页，2019年。查看位置：发布者网站|谷歌学术
9. R、 Lampe，J.Patarin和Y.Seurin，“迭代偶数曼苏尔密码的渐近严密安全性分析”，in密码学进展——2012年亚洲，计算机科学讲义，X. Wang和K.萨科编，第一卷。7658，第278-295，施普林格，柏林，德国，2012。查看位置：发布者网站|谷歌学术
10. 从一个伪随机排列构造一个密码，"《密码学卷。10，没有。3，第151-161，1997。查看位置：发布者网站|谷歌学术
11. O. Dunkelman, N. Keller和A. Shamir，“密码学中的极简主义:重新审视伊文-曼苏尔方案”，in密码学进展-欧洲地窖2012，计算机科学讲义，D.Pointcheval和T.Johansson编辑，第7237卷，第336-354页，斯普林格，柏林，德国，2012年。查看位置：发布者网站|谷歌学术
12. B、 Cogliati，R.Lampe，和Y.Seurin，“调整甚至是人为的密码”，在密码学进展——加密2015，计算机科学课堂讲稿， R. Gennaro和M. Robshaw编。卷。9215个，pp。18岁9-208, Springer, Berlin, Germany, 2015.查看位置：发布者网站|谷歌学术
13. N. Mouha和A. Luykx，“多键安全：偶数曼苏尔重新建设”，在密码学进展——加密2015，计算机科学课堂讲稿， R. Gennaro和M. Robshaw编。卷。9215个，pp。20个9-223个，Springer, Berlin, Germany, 2015.查看位置：发布者网站|谷歌学术
14. E. M.做Nascimento的和J. A. M. Xexeo，“A灵活认证轻质加密程序，采用偶曼苏尔结构”，在IEEE2017年国际通信会议记录，第1-6页，IEEE，巴黎，法国，2017年5月。查看位置：发布者网站|谷歌学术
15. J.町K. Y.崔，I.迪努尔等人，“WEM：基于偶数曼苏尔建设白盒块密码家族的新成员，”在密码专家在RSA会议- ct -RSA 2017上的轨迹，计算机科学讲义， H. Handschuh, Ed.， vol. 10159, pp. 293-308，施普林格，德国柏林，2017。查看位置：发布者网站|谷歌学术
16. P、 Farshim，L.Khati和D.Vergnaud，“密钥相关消息下的偶数人密码的安全性”对称密码学中的IACR事务，2017年第2卷，第84-104页，2017年。查看位置：谷歌学术
17. 张p和h.g。胡，“广义可调偶数-曼苏尔密码及其应用”，计算机科学与技术杂志，第33卷，no。6、1261-1277页，2018。查看位置：发布者网站|谷歌学术
18. G、 Bertoni，J.Daemen，M.Peeters和G.Van Assche，“海绵基伪随机数生成器”，in加密硬件和嵌入式系统——CHE2010，计算机科学课堂讲稿曼加德(S. Mangard)和FX。Standaert, Eds。卷。622个五，pp。33-47, Springer, Berlin, Germany, 2010.查看位置：发布者网站|谷歌学术
19. J. Patarin，“该‘的系数H’技术”，在密码学精选领域——SAC 2008，计算机科学讲座笔记， R. M. Avanzi, L. Keliher和F. Sica合编。卷。五381, pp. 328–345, Springer, Berlin, Germany, 2008.查看位置：谷歌学术
20. A. Chakraborti，N.达塔，M.难敌和K.安田，“轻量级甲壳虫家族和安全认证加密算法，”IACR在加密硬件和嵌入式系统上的事务卷。2018年，没有。2，第218-241，2018。查看位置：谷歌学术
21. G. Hatzivasilis, G. Floros, I. Papaefstathiou，和C. Manifavas，“嵌入式芯片系统的轻量级认证加密”，信息安全杂志：全球视角卷。25，没有。4-6，第151-161，2016。查看位置：发布者网站|谷歌学术
22. Y.佐佐木和K.安田，“优化轻量级应用基于在线置换-AE方案”电子，通讯和计算机科学的基本原理卷。E102.A，没有。1期，第35-47，2019。查看位置：发布者网站|谷歌学术
23. M. Bellare和P. Rogaway，“三重加密的安全性和基于代码的游戏证明的框架”，in在密码学的EUROCRYPT 2006年，计算机科学讲义进展，S. Vaudenay编，第4004，第409-426，施普林格，柏林，德国，2006年。查看位置：发布者网站|谷歌学术

版权

版权所有©2020凭仗和千元。这是下发布的开放式访问文章知识共享署名许可，它允许在任何媒体中不受限制地使用、分发和复制，前提是正确引用了原始作品。