关于MDS矩阵和安全性

Question

我为压缩素域https://eprint.iacr.org/2020/1143中的元素的散列函数找到了MDS矩阵的构造(C0的算法4)。

如果哈希具有速率和容量，则为(r,c)和m = r+c。它继续进行

1. 在g中标识F_p的基本根。
2. 编写范德蒙矩阵V[i,j] = g^{ij}，其中i=0,1,\ldots m-1和j=0,1,\ldots 2m
3. 将其简化为一行梯队形式。
4. 然后是V = I|M^T，其中I_{m\times m}是单位矩阵，M是所需的MDS矩阵。

散列s= \log_2(\sqrt{p})min(r,c)提供的安全级别。我想知道这种形式的MDS结构是否独立于安全级别。

上面的资源来自拯救散列函数，该函数提供了122位安全性，并提供了p = 2^{61}+20.2^{32}+1和r=8, c=4。

Answer 1

通常，选择MDS矩阵是因为它们的混合特性参见，例如，这个问题和这些属性适用于任何MDS矩阵。因此，我要说，具体MDS矩阵的选择与安全级别无关。

在你链接到的文件中，作者说，在第12页：

在某些情况下，通过根据某些设计准则优化MDS，可以提供更好的性能。2.4节将Vandermonde矩阵指定为生成MDS矩阵的标准方法。然而，最初的出版物并没有将MDS的选择限制在任何特定类型上，并对MDS矩阵的安全性进行了论证。更严格的决定只是简化了标准规范，不知道对遵循Marvellous设计策略的算法有任何安全影响。Choosing MDS矩阵：任何MDS矩阵都可以使用。子弹数量不受这一决定的影响。选择圆形常量不受此决定的影响。Confidence级别很高。此变体已在原始发布的泛型安全参数中显式地涵盖。