论CPA & KPA $\CPA+$-Feistel的安全性

Question

我感兴趣的是用\oplus代替\boxplus对r-rounds上基本平衡的Feistel结构的影响。给予：

F_\boxplus[L,R]= [S,T] = [R,L \boxplus f(R)]，其中f是PRF

[L,R] \in \left\{0,1\right\} ^{n}

Q1。在注册会计师和韩国人民军的安全方面，\boxplus的替换是否增加了三轮以上的安全性，并提供了证据？

Q2。如果\boxplus-Feistel结构比\oplus-Feistel具有更好的安全边界，为什么它们不常用？

Answer 1

在注册会计师和韩国人民军的安全方面，\boxplus的替换是否增加了三轮以上的安全性，并提供了证据？

不是的。\oplus在Feistel结构中没有什么特别之处。事实上，任何\boxplus在\{0,1\}^n上的组操作都会做得很好。这些随机函数的要点是对前几轮的其他部分“盲”，因此组运算就足够了。

实际上，毛雷尔和皮特扎克使用任意组操作\oplus证明了Feistel构造超过4轮的更为通用的安全界限。

如果\boxplus-Feistel结构具有比\oplus-Feistel更好的安全边界，为什么我们不认为它是通用的？

嗯，由于任何一组运算都足够了，我们通常选择在大多数硬件上计算最快的运算。特别是，您可以在整个任意宽度块上计算XOR，而不必考虑在任何字大小上进行携带之类的操作。而且，在硬件中构造XOR要比构建我现在能想象的任何其他组操作要容易得多。而且，在没有位间依赖的情况下，很难击败1周期/字。