单轮feistel网络攻击

Question

我无法找到如何打破第一轮费斯特尔网络(获取密钥)。

我理解为什么会发生这样的情况：

R_1 \oplus L_0 = f(R_0, k_1)

编辑:函数f如下所示：

但是如何从其中找到密钥(k_1)呢？

我在一些参考资料中看到了这种可能性：

http://www.cs.technion.ac.il/~cs236506/04/slides/crypto-slides-05-bc-tutor.4x2.pdf http://people.scs.carleton.ca/~maheshwa/courses/4109/Seminar11/atttack%20on%20DES.pdf https://www.icg.isy.liu.se/courses/tsit03/forelasningar/cryptolecture04.pdf 费斯特尔密码上的KPA？

谢谢!

Answer 1

因为

X' = F(X, k) = P(S(E(X) \oplus k ))

键K的值是集合的一个元素。

\{V \oplus E(R_0): V \in S^{-1}(P^{-1}(Z)) \}

哪里

Z = R_1 \oplus L_0

和

S^{-1}(P^{-1}(Z)) 是Sboxes S并行映射的一组可能的逆图像，它不是一对一的。

可能键的总数为2^{16}，因为Sboxes不是双射的，有4可能的输入导致相同的输出。