如果现在有不同的排列，这能保护它免受统计饱和攻击吗？

Question

块密码现在时易受最多15发的统计饱和攻击(PDF)攻击，一个简单的例子是这里。

我的问题是，如果某些(或全部)排列发生了改变：

1. 这能保护它免受统计饱和攻击吗？
2. 如果是这样的话，我们是否可以使用少于31发而不对“其他”攻击造成弱点？

Answer 1

对于你的第一个问题，目前有两种排列方式我们可以考虑改变：

• 非线性层，即S盒的并行应用。
• 线性层，是按位排列的。

统计饱和攻击并不是真正基于S盒的特性，因此人们可能不会期望更换它会有很大帮助。然而，S盒确实对分组密码的整体扩散起到了一定的促进作用，因此S盒的选择确实有一定的影响。你提到的这份文件详细讨论了S盒子在第4节中的影响(从第12页开始)。他们的结论是

值得注意的是，现在的S方块是抵抗我们进攻的最糟糕的选择之一。

从附录D中的图14可以很清楚地看出这一点。

更好的对策是替换按位排列，因为它是造成漏洞的原因。现在的线性层也会导致其他攻击，特别是线性密码分析。例如，Cho的约化圆的线性密码分析是基于这种按位排列提供的有限扩散，再加上S盒中存在一位轨迹。

本文提出了一种新的密码馈赠，其中包含了如何在当前类分组密码中选择一个好的排列方式的一些想法。不过，他们不会重温统计饱和攻击。

对于你的第二个问题(我们能不能使用少于31轮)，这在很大程度上取决于新的S盒和线性层是什么。统计饱和攻击最多可以扩展到24轮，请参阅这些错误和改进获得正确的复杂性。多元线性密码分析最多可达26或(可能) 27轮。用更强的线性层代替位排列可以防止这两种攻击，但不可能排除其他攻击(特别是如果我们不知道替换是什么)。