分组密码有什么优势，但不能有效地逆转？

Question

PRP的经典定义包括有效可逆性。

鉴于许多现代密码模式(基于CTR的密码模式，如GCM)只使用分组密码的前向方向，该定义的有效可逆性部分在实际应用中似乎并不是必要的。

这样的放松对我们有什么好处吗？也就是说，是否有实际的PRP结构可以在正向而不是反方向上有效地计算？在正向方面，哪种方法比具有同等安全性的当前分组密码更有效？

Answer 1

我认为，对于许多密码学家来说，这一论点甚至更进一步。考虑到分组密码流模式是大容量加密的首选模式，那么根本就需要可逆性吗？如果遵循这条逻辑，就可以看出为什么流密码流行起来，而ChaCha20就是一个明显的例子。虽然ChaCha20从一个512位状态产生一个512位的输出，并且用一个简单的计数器更新状态(很像CTR和GCM模式)，但是这个过程不是可逆的(我们相信)。ChaCha20也确实是一个非常有效的设计(假设硬件支持高效添加32位字)。

请注意，对于许多AES实现来说，解密圆函数比加密圆函数的效率要低，因为倒置MixCol过程涉及更多的计算。

Answer 2

事实上，PRF比PRP更适合于各种模式，例如CTR。问题是，我们不知道如何构造好的PRF，而不是从PRP。

1. 一种方法是简单地假装我们的PRP是一个PRF:这是正确的，直到给定一定数量的数据(生日界，见PRP/PRF切换引理)。
2. 另一种常用的方法是计算PRP/置换，并将输入添加到输出中。它没有改善生日界限，但这个技巧使功能不可逆转，这在某些用法中是至关重要的(例如@Daniel提到的ChaCha )。它还用于Merkle风格的哈希函数来构造压缩函数(Davis)。
3. 添加/添加两个排列是一个很好的PRF，但是代价很高。
4. 充分截断输出也是一个好的PRF，但同样代价高昂。

值得一提的是基于海绵的密码学，它是基于公共排列的，只能在正向方向上进行评估。换句话说，不要求置换是非常有效的可逆。

Answer 3

PRP是伪随机置换，我们希望它们与随机排列无法区分.AES和所有分组密码都应该是PRP。置换意味着有一个逆，它们被设计成有一个并且确实有一个有效的。

我们需要一个块密码的操作模式，我们离开了CBC，因为发生了许多攻击，尽管它有Ind安全。目前，所有TLS 1.3密码器内部都使用Ind安全CTR模式(TLS 1.3密码套件更多，它们都是具有身份验证数据的认证加密模式)。

这样的放松对我们有什么好处吗？

它给了我们很多机会。我们不需要限制在CTR模式下的PRPs -它已经为伪随机函数(PRF)设计；CTR模式不需要函数的逆。与PRF，我们可以使用广泛的功能，不需要有逆(有2^n! PRPs和(2^n)^{2^n} PRF为n位块密码。甚至我们也可以将散列函数转换为CTR加密，就像在萨尔萨辣酱中一样。我们也可以以几乎零的成本设计一个关键的时间表。

在CTR模式下使用PRP可以导致长消息使她与众不同，我们可以通过使用PRF来消除这一问题。如果在CTR模式下使用PRP，那么由于PRF交换引理，我们需要限制加密块的数量。

CTR模式也不需要填充，因此它们不受填充oracle攻击的影响。

ChaCha20和Salsa20是众所周知的例子，具有零密钥调度成本，具有CPU友好的ARX设计.他们有内置的CTR模式和非常快的软件.