在2013年欧洲密码学会上，Derbez等[13]利用S盒的性质，进一步降低了AES的中间相遇攻击预处理阶段的存储复杂度。鉴于此，本文需要对3D算法抵抗中间相遇攻击的能力进行进一步评估。
　　定义1δ集[2]522。一个集合有256个元素（λ0，λ1，…，λ255，集合中的所有元素的第i个字节α[i]均不相等（活跃，其他字节均相等，即不活跃。那么，则称这样的集合为δ集，记为Λ=（λ0[i]，λ1[i]，…，λ255[i]。
　　定义2多重集（multiset[13]374。一个集合中的元素允许重复出现，则称这样的集合为multiset。有256个字节的multiset的可能取值有28+28-128≈2506.17种，且这样一个多重集可以用512比特来表示。具体证明见文献[13]。
　　36轮3D算法中间相遇攻击区分器
　　性质1S盒的差分性质。在F256上，给定S盒的输入x，非零的输入差分Δ-和输出差分Δ+，方程：
　　S（x+S（x+Δ-=Δ+（5
　　解的个数的平均值为1。该性质同样适用于S-1。具体证明见文献[13]。
　　证明由文献[11]知，要计算Δx8[0]的多重集，需要已知式（6的104字节参量：
　　（x3[0，1，2，3]，x4[0，1，2，3，16，17，18，19，32，33，34，35，48，49，50，51]，x5的全部字节，x6[0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63]，x7[0，17，34，51]（6
　　若构建δ集的消息对满足图1的6轮3D算法截断差分特征，结合S盒的性质，42字节参量完全确定式（6的104字节参量：
　　（Δy2[0]，x3[0，1，2，3]，x4[0，1，2，3，16，17，18，19，32，33，34，35，48，49，50，51]，x6[0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63]，x7[0，17，34，51]，Δw7[0]（7
　　从正向分析知，由Δy2[0]得到Δx3[0，1，2，3]，已知x3[0，1，2，3]，从而得到Δy3[0，1，2，3]，接着得到Δx4[0，1，2，3，16，17，18，19，32，33，34，35，48，49，50，51]，已知x4[0，1，2，3，16，17，18，19，32，33，34，35，48，49，50，51]，最后，得到Δx5；从逆向分析知，用同样的方法可以得到Δy5。最后，利用S盒的性质，得到x5的值。
　　411轮3D算法中间相遇攻击
　　将第3章的6轮3D算法中间相遇区分器前加2轮，后加3轮，从而得到11轮的3D算法中间相遇攻击。
　　易知，满足图2的6轮3D算法截断差分路径的概率是2-（24×4+24+96×4+24×4+24=2-624。选择明文的第0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63个字节活跃，每个结构包含2128个明文，共2255对，则，需要2369个结构。总之，攻击所需明文量为2497个选择明文（Chosen Plaintext， CP。
　　11轮3D算法中间相遇攻击分为下面2个阶段：
　　1预计算阶段。
　　利用性质2，预先计算出2336种可能的多重集，将其存储在预计算表T中。
　　2在线攻击阶段。
　　步骤1对N个选择明文进行加密，得到相应的密文，利用密文对的差分形式，对明文对进行过滤，最后得到了2624-384=2240个明文对。
　　步骤2运用差分枚举技术，可以知道剩下的每个明密文对，建议了288种可能的密钥候选值：
　　（k-1[0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63]，k0[0，17，34，51]，u8[0]，u9[0，19，34，49]，k10[0，7，10，13，16，23，26，29，32，39，42，45，48，55，58，61]（8
　　利用k-1[0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63]对明文对进行解密，得到的Δw0。满足其差分形式的概率是2-96，所以留下了2128-96=232种可能的k-1[0，5，10，15，16，21，26，31，32，37，42，47，48，53，58，63]。运用类似的方法，本文利用状态的特定差分形式，对密钥进行过滤，最后得到式（8的288种可能的候选密钥。
　　步骤3对剩下的每个明文对构建其相应的δ集，求出相应的多重集。
　　选择明文对中的一个明文，假设为p，利用步骤2建议的k-1和k0进行加密，得到x1，通过置换层，得到y1；考虑28-1种可能的Δx2[0]，得到Δw1[0]，从而得到Δy1[0，17，34，51]，所以得到集合（y01[0，17，34，51]，…，y2551[0，17，34，51]。用同样的k-1和k0进行解密，最后将得到构成δ集的28个选择明文（p0，…，p255，并得到相应的密文。
　　利用u8[0]、u9[0，19，34，49]、k10[0，7，10，13，16，23，26，29，32，39，42，45，48，55，58，61]，对得到的相应密文进行解密操作，构建Δx8[0]的多重集。
　　步骤4将得到的多重集与预计算表中的序列进行匹配，若匹配成功，则表明所猜测的密钥正确；否则错误。

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。