A block cipher cryptosystem using wavelet transforms over finite fields翻译

1、自适应图像分析与识别作业（翻译） 导师：尚荣华老师 姓名：张玮桐 学号：1402121386 联系方式于小波变换的有限域块密码系统 Kevin Sean Chan,IEEE的学生会员，Faramarz Fekri，IEEE会员摘要我们提出了一种基于有限域小波的新的私钥密码体制。加密和解密由非线性有限域小波变换的综合分析库进行合成，其滤波器系数是由用户的键入密码确定的。我们利用小波的多相表示引入一个共享密钥机制的小波密码系统。我们计划使用工作在（256）的小波和一个在区域元素上映射的非线性设备在该领域取反。引入的加密系统可以在任一流密码和分组密码模式运行，这取决于滤波器

2、组执行线性还是循环卷积操作。块密码系统有16个符号的密钥长度（128位）和一个输入块大小为30的符号（240位）。评估两回合小波加密方案的效率，我们将它与DES和AES方法比较。研究结果表明，小波密码系统有着与AES差不多的计算复杂度且相比DES有大约一半的复杂度。安全性与小波基函数的长度和内部的小波变换的非线性相联系。我们研究了响应经典攻击的块密码小波密码系统的安全性，包括一些特定的算法，特别是那些使用分频和取胜的变化，插值攻击和离散傅里叶变换技术。我们展示了选择密文攻击的小波加密系统可以减少求解有限域上的一组非线性方程组的问题。考虑到现有的经典和特定结构的攻击，我们得出结论，这些攻击的最低

3、的复杂度大于穷尽密钥搜索方法。指数条款密码小波变换一、引言安全技术是建立用户的信心和促进市场广泛采用下一代无线电子商务解决方案的关键。例如，未来的手机将通过在任何地点、任何时间提供一系列的服务而在电子商务中发挥着举足轻重的作用，它们是一个可达到的目标。任何人都可以拦截任何蜂窝传输或谈话。想象这样一种情况，黑客可以盗取手机用户的计费数据进行电话诈骗。当敏感或私人的信息（即个人医疗保险的应用程序或信用卡或者社会安全号码）被转发并因此通过私人电话被窃听时，一个更具灾难性的威胁将存在。如果存在对不安全通信的恒久猜疑，用户将不会愿意使用这种技术。有限字母表处理对编码的安全性起着关键的作用。多年来，对变换

4、的研究工作加密有着一定的影响。例如，几种密码分析是基于离散傅里叶变换和沃尔什变换提出的。像傅里叶变换，在密码学中有广泛的应用，我们提出采用有限域小波作为组成密码原语的基本构建块。我们的研究表明，基于新发展的有限域的小波变换理论的处理方法预示着密码学的一个新的方法框架。这一新理论提供了一个定义在有限域序列的小波分解。这是一种在信号处理中实现实值信号表示有着丰富历史的方法，但它一直缺少有限域中的方法。一个有限域的小波的有趣的特性是，它将输入消息变换到一个没有基础功能知识很难恢复的形式。我们的目的是开发一个数据加密技术，具有以下特性。高效的实现，特别是硬件。装置中是否能承受复杂的硬件是很重要的。可以

5、应用在DSP芯片，使之适用于移动设备，如手机，数码相机，数码摄像机。灵活的设计来提高密钥大小并且在块密码和流密码模式下工作不改变硬件结构。简单的设计，以方便易于分析和实现。此外，我们设计了一个小波加密系统来保证抵抗选择密文攻击和选择明文攻击。我们估计，128个密匙尺寸的小波加密系统运行和软件密钥大小128 的AES一样快。我们的分析工作表明小波密码系统不间断的对所有已知的密码进行分析。此外，由于小波分析是由数字滤波器实现，如果是硬件实现，我们期待更好的高速性能。“小波密码”理论包含一些有限域小波和滤波器组的一些基本结果。因此，在最初的工作中，我们首先简要回顾一下包括有限域内小波变换的定义、声明

6、和基本结果。A.符号和定义我们采用以下的符号和定义。两个矢量的交集和和一个新的矢量定义的结果。我们储备代表区域F中的多项式环上的Z-1，我们还可以在多项式中使用大写和小写的埃特斯参数（Z）。书法文字为向量空间保留，而大写斜体字母没有参数表示矩阵，小写斜体字母代表列向量。所有的矩阵和向量由域中的元素定义。单位矩阵由I表示。矩阵的转置和逆分别由UT和U-1代表。当时间幅角从代表一个序列的字母减少，它是指由序列定义的矢量。指定环的多项式的程度小于M，依据多项式的加法和乘法规则进行，除非多项式乘法进行。让成为中由矢量定义的多项式，我们称为矢量循环。而多项式是多项式的循环，很清楚的定义了和。如果线性卷积

7、运算被循环卷积代替，我们称一个线性时不变（LTI）过滤为循环LTI系统。因此，环状的LTI系统一直被解释为模的一些数量指标。在本文中，我们使用符号来表示一个模-N操作整数指数。我们用下面的置换矩阵定义的来表示很清楚如果标出了M的尺寸，则T=-1=M-1。我们用1-circ(a)表示一个循环矩阵。一个循环矩阵被他的第一行定义，且第i行等于。换种说法，第i行等于（i-1）的矢量a的自左向右循环移位。使A为定义的一个1-circ(a)矩阵，为中由矢量a定义的多项式，则它可以证明映射是一个同构环。还有矩阵A当且仅当多项式与z-M-1互质时是可逆的。考虑两个有限序列，定义为他们的循环卷积。然后我们可以以

8、矩阵的形式写循环卷积y=Hx，其中。我们用表示二循环矩阵。一个二循环矩阵由它的第一行定义，第i行等于。我们称之为M次的多项式a（z）为均衡的，如果它等于其倒数，换句话说，当a（z）=时。其余项目具体涉及到文章第五，六小波的密码体制的密码分析。每个T（i）和F（i）的矩阵分别表示一个单一的线性加密和解密模块（DBS）。让作为第m个密文块，为第m个明文块。当A=Ceven时我们表示为C=AB，C的即使指数，同样B=Codd。我们表示。表示Tab的第ij个指数。2、 有限域小波综述值得注意的是，如果是定义在有限域的设置,小波变换降低倍频程滤波器。在本文中，我们会经常使用小波术语作为用于实现小波滤波器

9、组的相对的术语系统。在这种设置下，两通道滤波器组的合成库的过滤器脉冲响应与在信号扩展公式的基础功能是相同的。通过参考文献所描述的离散时间信号与小波变换，我们将合成滤波器作为尺度函数和小波母函数。开发一个有限域的小波变换，我们只给一个公式来把小波空间V分解成两个正交的子空间V1和W1。然后，作为真正的区域，我们可以在V1上重复此分解得到一个完整的空间V的多分辨分析。在有限域小波和滤波器组，所有的系数中的过滤器和所有的样本值都是从有限域中获得的且算法是这个领域中进行。如果该字段是GF（p），p是初值，然后定义了加法和乘法模p。在形式为GF（p）的域，其中>1，任何数a可由GF（p）中系数和-

10、1的多项式表示，加法定义为GF（p）的多项式加法，且乘法定义为多项式乘法模固定多项式q（y）。多项式q（y）必须是不可约多项式的程度超过。为表述简单，我们用字母表示GF（p）中的数字一个多项式表示。图1、二带小波分解在本文中，我们研究了块密码的长度N=2M。因此，密码空间可以被视为一个周期，周期序列空间可以看做N维有限维空间或者说是等价的。由于密码空间是有限维的空间，所有的小波系统有一个循环的解释。下面的小节中，我们给两个通道的循环系统，从应力的角度出发，研究块密码系统特别有用的表示。A.两个带循环小波在有限域让F为一个有限域且J为一个离散指标集。序列空间FJ则定义为所有的序列集。在本文中，我

11、们将研究有限维向量空间。如果J是有限的，那么我们可以写F，这里是一个正整数，而不是FJ。我们在这项工作中限制为正交小波。虽然正交性似乎是有限制的，但它将使本文的小波密码系统的建设和使用正交小波分析更容易变得清晰。在下面，我们提出了两个频带正交小波变换的相关基本概念。设V是F的N维空间，在小波分解的第一步是要表示的向量空间V的两个正交的子空间V1，W1，如图1所示。换句话说，我们要有。此外，我们需要两个长度N = 2M函数（缩放功能）和（小波基）的属性其中在上划线表示生成集是完整的而（）表示长度N的循环移位。方程式意味着每个函数和乘2，其独特的循环时间的变化构成的子空间的基础。此外，我们强加在这

12、些基函数的正交性。这意味着，这里是一个典型的双线性形式，V1和W1是正交的，我们还有因此，V中的任意序列x（n）可以被唯一写成我们参考扩展公式（6）作为一个逆小波变换的基函数的展开式的系数的小波系数。这些都是由点积运算来计算，如下：我们称公式（7）为小波变换。小波系统可以使用一二波段分析合成滤波器组实现。图2显示和一二通道完全重建滤波器组的合成滤波器，和分别为缩放序列的长度N和小波分析综合库。更具体地说，分析库执行的小波变换，合成库执行逆小波变换。块由两个因素以其他样品的标记和提高采样率的因素采样，通过插入一个样本值为零的样本在每对之间的输入序列。序列标记的是小波系数。数字滤波器的脉冲响应必须

13、与合成部分是反转的分析结果。这种关系是由小波基函数指定的。由下式可以证明，分析滤波器来自合成滤波器。指定一个小波域F上，我们需要确定的尺度函数和小波母函数。在参考文献 5 ，我们发现任何两个多项式和，均满足多项式方程可用于生成的尺度函数和小波母函数。在这里，K是一个正整数，满足，和，是F中的多项式，定义为在我们的符号中，上标c表示多项式的倒数。K度的多项式的倒数被定义为。这两个系数多项式和与参考文献 5 中的尺度函数的多项式相位相关。一旦我们发现，母小波可以通过关系确定。在一般情况下，是不容易找到满足（9）的多项式的。对于一个给定的长度N，有可能存在具有不同性质的多解。它表明，一些具有区域特性

14、的解决方案可以由下列命题发现。命题1：如果K是偶数，多项式对和是关于的式（9）的解，是一个有着非零常数系数K的任意对称多项式。因此，产生的任何关于的两个带正交小波系统的长度N=2M，我们挑选任何偶数K，对于使用上述命题。小波系统的描述以上可以分别作为分析和合成部分的一个完美的重建滤波器组。值得注意的是，为消除小波弱密钥密码体制，更好的选择就是K接近最大的偶数且小于M。这种方式，较少重要系数为零。B、循环小波变换矩阵表示在块密码的研究中，我们会经常使用一个F域的循环代数矩阵和多项式代数之间的同构，多项式环的程度小于M。中的两个多项式的乘法和加法与其相应的循环矩阵的加法和乘法等价。一个这样的同构应

15、用例子，让和作为一个循环卷积矩阵的滤波器脉冲响应定义。然后代表循环过滤的卷积矩阵，这是级联滤波器的脉冲响应的循环系统。几位作者研究了所有滤波器、内插器和抽取操作循环的循环小波和滤波器组以弥补在子带的边界效应图像编码。考虑一二个通道的最大抽取滤波器组与两个分析滤波器的脉冲相应和。在图2的分析库，由两个因素依次作用抽取的过滤周期信号可以用两个循环描述矩阵为其中和是由分析滤波器和定义的的2 -循环矩阵。同样，在过滤器有冲动响应和的合成库，周期信号由两个因素采样，其次是过滤操作信号可以通过2-循环矩阵和描述。上述方程适用于双通道通用类环状滤波器组。在下面，我们在滤波器施加准酉 约束。通过使用式（8），

16、我们推断对于，我们有此外，由于关系式（8），合成矩阵转置矩阵的分析如下从完美重构约束，我们推测此外，由于操作是有限维向量空间的一对一映射，因此映射的比较好。因此意味着（即，是单一的）。所以，我们获得条件这保证了如图2所示的分析/合成系统的完美重建。在第-A部分的设计方法提出了小波域上生成两个特征。这种方法足够确定一二通道滤波器组完全重构正交。三、用于加密和解密的小波结构一个有限域小波有趣的特性是它输入数据序列相似的白色噪声。更确切地说，有限域小波有一个去相关性能。考虑图3，我们处理的图像振幅范围从0到255。我们可以把这个图像作为一个中的二维（2-D）信号。我们通过级联两个一维的（1-D）滤波

17、器设计一个域上的可分离的2-D滤波器，长度为八的正交滤波器组。一个可分离的二维小波的二维信号，对2-D信号的行和列分别进行分析。换句话说，两个一维的1的基础功能是用来代表独立的二维信号的行和列。通过这个方法，二维数据（信号）首先被编码，然后按行对由此产生的数据进行编码，再按列。它表示出在图3中，输入数据被转换成四个子序列，这类似于白噪声。这个实验观察几个自然图像中的发展有限域的小波理论。重要的是要注意有限域小波与现实完全不同领域的同行。如果我们用实数小波图像，我们将不得不包含低和高通子原始图像的信息。利用有限域对应的逆小波可以将原始图像完全重构。此外，如图3所示可能并不意味着这样，它是与任何压

18、缩方法压缩的图像相比是可能的，然后把压缩的输出作为输入的加密算法。图3说明了解相关属性的有限域小波变换。图2。2带小波分解图3。通过GF（256）上的两个阶段、两个频带正交滤波器组对Lenna图像小波分解。图4、的基本小波EB多速率滤波器实现。（a）EB。（b）两个领域特征下的EB多相表示。除此之外，解相关属性的有限域小波，我们可以利用的有两个关键属性，构建一个加密系统中的用户参与重点的选择。首先，我们会介绍高度的非线性小波结构采用提升方案。第二，对称性多相滤波器可以由发射机开发接收机建立共享密钥。加密和解密是分别由合成和分析库的非线性有限域小波变换。小波系统的秘密密钥和公开密钥的确定用户。安

19、全性取决于在小波基函数和非线性变换的小波长度。我们建议使用小波操作。所提出的算法可以在流密码操作或块密码模式取决于滤波器组执行线性或循环卷积。在本文中，我们只对块密码模式研究。在下面的部分中，我们给出小波密码系统的细节。图5。基本小波DB的多速率滤波器实现数据库。（a）DB，（b）两个领域特征的DB多相表示。A. 小波密码系统的线性块类似于小波的差错控制编码，我们使用逆小波变换（加密）发送的消息与小波变换的接收（解密）。图4（a）显示的基本块用于加密，我们称这一块作为一个基本的加密块（EB）。这个基本的EB利用逆小波变换与解复用器将输入信号转换成均匀指数和奇数指数序列。现在，如果我们用命题1建

20、设小波变换，我们可以利用对称的多相滤波器和多相表示 5 ， 9 的多速率滤波器的EB结构在图4（b）进一步简化。在这种表示下，该滤波器的多相分量是指数。命题中，这种多相滤波器可以是任何对称序列长度M，M是一个由密码的长度的键确定的奇数。这种简化还降低了由一个因子四操作的数量因为长度多相滤波器是滤波器长度的一半。总之，元素EB上的一个序列与是一对一的映射序列。由EB进行的映射是线性双射变换。通过小波系统的性能，可以很容易地表示出可以使用逆系统从提取，如图5（a）所示。我们指的这个逆系统作为一个解密的块（DB）。该数据库包括EB中小波变换和逆小波变换域和多路的交错结合得到的偶数和奇数的指标。类似于

21、EB，我们可以显示一些定义在字段的操作数据库，可简化为图5（b），如果它所代表的是该滤波器的对称分量。总之，我们利用图4（b）和图5（b）为分别基本用于加密和解密的块。因此，确定加密和DBS，这对于我们挑选任意长度M的对称序列是足够的，这里M是奇数。小波变换的结果可以用用表矩阵运算方程和秘密的系数表示。矩阵定义如下：其中A代表的是下采样功能，B是一个单位左移，其次是降采样功能，C是上采样功能，D代表了采样功能后的单位右移，是多相滤波器的矩阵表示，代表S矩阵中的循环移位操作。在S矩阵，第一行中的1是纵队。因此，图4（b）中的初级EB输出与输入可以写为：我们将把矩阵T对应到基本EB，类似对于图5的

22、DB矩阵表示的存在。我们将这个矩阵F作为本文的其余部分表示。图6。非线性小波系统。（a）基本NLEB。（b）基本NLDB。图7。小波密码系统框图。（a）小波加密系统。（b）小波解密系统。B.小波密码系统的非线性块现在我们介绍非线性小波变换。由于原来的小波系统是线性的，我们需要构造一种非线性小波使系统抵抗密码攻击。这可以通过提升的方法。如图6所示（a），在EB非线性下推出的一个反馈系统，以小波输出块y系统，延迟后，通过一个非线性操作将结果传入消息块（明文）。非线性操作映射块的每一个非零元素矢量（注意该延迟是一块延迟）的逆。如果块包含一个零元素的向量，我们只是映射一个元素为零，因为中没有一零元素可

23、逆。我们可以很容易地表明非线性解密模块（NLDB）与通过前馈控制系统的非线性EB，如图6（b）。这是很容易表示为事实1：NLEB是一对一映射。四、二轮小波密码系统A、一般结构本节介绍了整体小波密码系统。如图7（a），小波加密系统由两个回合组成。我们后来意识到，两个回合将产生128位的密钥结果。基于应用，轮的数目可以增加达到一个更高的安全性水平。除了在每个过滤器回合中彼此不同，这些回合是相同的。每一轮由两个基本块组成。第一个是非线性加密块（NLEB），是我们先前讨论的由多相表示实现的形式。第二块是线性电子束，由多相表示实现。每个基本块由长度为M=15的多相滤波器组成，在有限域G上操作。正如我们前

24、面所讨论的，多相滤波器系数是小波密码系统中的密码（未知的对手）。多相滤波器是对称的，密码的实际长度是中的八个系数或等价的64位。因此，每一轮的小波加密系统的密钥大小为128位。请注意，这个二轮小波有效密钥大小仍然是128位。这是因为第二轮的密码是由第一轮的相同的128位密钥获得（公开已知）的系数的位排列。图7（b）显示，它由二轮小波解密系统加密。每一轮对加密系统相应轮进行反操作。与小波加密系统的EBS相似，DBS小波解密系统是以多相实现的形式，我们已经解释了。如前所述，该系统分别在流密码和分组密码的工作模式下改变线性卷积的循环卷积。基于使用的过滤器的长度，在块密码的情况下，消息的块长度在中是N

25、=30或等于240位。注意到通过加密的卷积运算解密的过程得到的操作数可以通过使用有限域的快速傅立叶变换（FFT）或我们开发的适当的双线性循环卷积变换来减少。图8、非线性加密和DBS构建交换规则的小波变换和图6中的逆小波。（a）非线性变换块的小波变换（NLEB）。（b）通过逆小波变换构成非线性反演变换块（NLDB）。由于输入是由块密码模式中的块进行块处理的，非线性部分的小波密码系统包含的反馈也运行在一个向量的向量（块）（块）的形式。这意味着我们的缓冲区反馈输出是每一个大小为30的符号块系统。这一块的反馈输出将被添加到下一个加密信息块。换句话说，目前的反馈输出不影响当前消息的加密。相反，当前的信息

26、添加到先前消息块获得的输出反馈（240位）。在第三节第三部分，图4（b）和图5（b）显示了基本加密和DBS的多相表示。加密有两个卷积运算，而解密只有一个。在以上所提出的小波加密中，解密几乎相较于加密是两倍的速度（是不太复杂的）。在图4（b）和图5（b）表示了基本的多相加密和DBS。加密具有一个更多的卷积运算，这个计算是该算法中相比解密最密集型的操作。因此，我们可能要更换发射机和接收机以适合某些应用程序，其中的计算负载在发射机是高的。由于在小波加密系统中，解密几乎是加密两倍的速度（且不太复杂的），我们可能要更换发射机和接收机以适合某些应用程序，其中的计算负载在发射机是高的。这可以通过交换小波变换

27、（分析库）和逆小波（合成库）。换句话说，如图8所示，我们可以使用小波变换为基础的EB且逆小波变换作为基本的数据库DB。图8显示当我们交换小波和逆小波NLEBs和NLDBs的结构。类似的变化可以应用用于小波的线性加密和DBS密码系统，如图7所示。B.密钥生成在本节中，我们讨论了如何设置密码，例如两个发射器（Alice）和接收者（Bob）最后以一个安全的方法具有相同的过滤器。我们要描述基于两种过滤器代的两种不同方法。请注意，我们只需要第一轮生成128位密钥（在中的16个符号）。第二轮系数可以通过这些位排列。这种排列是公共知识。作为一个例子，我们使用Diffie-Hellman密钥交换协议设置滤波器

28、的系数，但它是可能的使用公共密钥交换协议。在加密系统中使用Diffie-Hellman密钥交换，Alice（用户A）发送一张发票给Bob（用户B），通过密钥和用户自己的公共密钥加密。Bob又用自己的密钥和Alice的公开密钥解密传输的文件。在相反的情况下，唯一重要的符号（M+1）/2必须被交换，而非对称的情况下，M必须执行。1）对称多相滤波器：在二轮小波密码系统中，密钥交换协议应确保相同的多相滤波器和来加密和解密。在这里，过滤器和分别是NLEB的第一轮的指数相成分和线性电子束。因此，我们需要安全生成两个对称滤波器和。执行这些，我们依赖于如下的有限域的离散对数问题的安全性（DLP）。Alice和

29、Bob分别独立地选择一个对称的序列正奇数长度M作为他们的密钥。在相反的情况下，（M+1）/2的密匙符号将被交换。让对称序列作为爱丽丝的秘密钥匙。也让对称序列是鲍勃的密钥。如果使用Diffie Hellman密钥交换，由此产生的共享密匙是，利用循环群功能的离散对数，其中p是一个素数且这样的DLP是中难解决的且是的发生器。2）非对称多相滤波器：我们讨论的滤波器组采用对称多相滤波器。这种对称性是一个非常有用的属性，简化了滤波器组的多相实现，减少数加法和乘法所需的小波密码系统。然而，多相滤波器的对称结构会减少小波密码系统的安全性。因此，作为对称方法一种替代办法，我们介绍一种第二方法，消除这一问题在DB

30、的复杂度（计算量增加了一倍对于EB）的四倍计算成本。需要注意的是，这两个频带滤波器组的多相表示（实际上是用小波的密码体制实现的）图4和5只有当我们使用对称过滤器时是有效的。一般普遍的多相表示（即介绍了实数/复数域）应该在我们使用非对称方法的情况下被使用。已知每一个滤波器组具有多相矩阵表示。我们介绍了两种类型的建筑块和，这对于构建两个带滤波器组是必要且足够的块。在下面，我们回顾这些构建块。是一维的PU构建块由下式定义：注意两个带滤波器组，是中的矢量，总是正方的。的非零条件要求。一个维的基本构建块具有如下结构：其中是中的标量，是任意正整数。这里，I和J分别是恒定和交换矩阵。因此，。为生成由发射机和

31、接收器共享的16个符号密码，DLP的密钥交换协议可以再次被使用。我们现在说明一旦我们有了这些共同的16个密匙，将如何生成多相滤波器。图9、L信道的最大抽取滤波器由于第一轮由两个频带滤波器组成，每个滤波器组使用八个密码的符号来指定其滤波器系数。这意味着多相矩阵应具有形式，其中，标量和矢量满足我们描述过的标准。每个向量由两个重要系数指定，每个是由一个关键系数的确定。因此，总的多相矩阵密钥数是8。这说明，该多相滤波器的长度等于8，相对于对称方法，我们需要对每一个长度为15的多相滤波器的频带滤波器组。由于长度为15的卷积比在GF（256）中的长度为8的卷积更有效地执行，我们可以增加多相滤波器长度为15

32、。这可以通过使用，例如，。然而，使用会提升系统安全性。这样，多相滤波器长度为15，但密码的大小加倍。换句话说，在加密和解密相同的计算成本下，密码大小成为256位而不是128位。3）密码表：如我们讨论的，通过使用16键符号，我们指定第一轮小波密码系统的滤波器系数对，和。第二轮滤波器系数，和，被一些原有的128比特密钥排列。我们的分析方法在V-E部分已经表明，为防止离散傅里叶变换（DFT）的攻击，我们应该选择一位标志的排列以获得相应的符号，i=1,2。换句话说，第j个系数通过8位排列的第j个系数构造。因此，我们只需要一个8位置换系统。作为一个标记，在本文中，我们只使用2带小波（即，两通道滤波器组）

33、在有限域构造小波的密码。多进制小波（即，多通道滤波器组）的两个波段的推广小波。多通道滤波器组的合成与分析如图9所示。描述了如何构建多通道滤波器组的理论在 7 9 提出。小波算法可以也可以通过多进制小波构造（即，多通道滤波器组）。为了解释这种现象，考虑非线性变换与反变换，如图6所示。我们更换逆小波（合成库）的两个带系统图6所示（a）与逆小波（合成库）在图9所示的带系统。同样，我们取代小波变换（分析库）的两个带系统图6（b）和小波变换（分析库）的L-带系统。此外，我们把序列的子序列而不是只有两个在图6中的子序列消息分开。换句话说，所有的过采样和由两个因素的因子替代下采样。在以上，我们所描述的信道滤

34、波器中的应用在非线性基本块的结构。相似的需要修改，构建基本的线性加密和DBS如果我们想使用通道滤波器组而两通道滤波器组。五、小波密码系统的密码分析我们现在考虑安全强度与已知的密码分析技术而提出了一些新的分析方法的具体结构。我们提出了小波以减少小波密码轮攻击，以及对二轮合制的最著名的攻击。目前，我们没有发现任何可变现的攻击小波密码系统安全的威胁。这值得注意，这一轮的加密结构与CBC、ECB是相似的。因此，他们的分析方法在 21 和 22 中的构造可能存在潜在的小波变换算法的密码。结构上的差异带有反馈的inv函数算法。同时，我们注意到原始的小波密码系统有一个固有的反馈结构，多像操作CBC模式。因此

35、，它在任何操作模式小波密码系统的使用是可行的，包括ECB。然而，ECB在使用加密时（在这种情况下其实它有反馈），第一块被丢弃，不被解密，由于随机初始向量的使用。这不会影响我的密码攻击的分析。小波解密结构如图10和11。这些数字仅仅是图7的明确表示，其中函数NL是投Inv且T（i）和F（i）分别是EB和DB的矩阵表示块。对小波变换的加密，反馈系统中的结果如图11（a）所示，每个密文块是由当前明文块，每个预先加密后的密文块。这阻碍了分析系统的能力，由于每个明文块系统后初始条件必须考虑。因此，我们选择考虑小波解密，或选择密文攻击（CCA）该系统的前馈。图12和13分别显示打开的图10和11的版本。每

36、一个解密的明文块是依赖于当前的密文块和两个密文块。所有的尝试在随后的小波密码系统攻击了路段将CCA和根据图10和11。图10、一轮的小波系统。（a）一轮小波加密。（b）一轮小波解密。图11。二轮小波系统。（a）二轮小波加密。（b）二轮小波解密。图12、打开一轮解密结构。图13、打开二轮解密结构。对于小波加密，由于该算法的结构充分实现迅速扩散，这对密码具有高度依赖。一个输入异或差分传播效果快到输出的每一位。如果一个基本小波EB（图4）被认为是由投入之间的关系的输出y，回顾T包含的所有关键信息，对每一点P都是依赖C.因此，充分扩散性能在基本的EB是令人满意的。必须指出的是，与许多等于零的元素不具备

37、这样的性质，也不应使用。弱密钥是通过图13观察，三角攻击在V-D部分描述，首先，回想和是由相同的密钥产生的排列。通过跟踪分支，它显示的最低非零元素数必须是5。这可以防止这个分支不充分扩散。此外，通过观察分支的要求，也可以证明的非零元素的最小数目（生成和f）是1。因此，密文不满足这些条件的密码可能无法保持充分的扩散性能。这相当于一个弱密钥的每个的键选择。满足这些条件的钥匙也有一些关键的符号等于零，这可能会出现在随后的章节中所示的易受攻击；然而，没有发现什么办法可利用这一不包含所有非零元素优势的概念。A. 抗线性和差分密码线性和差分攻击是两种经典的密码分析的攻击，在许多密码算法暴露出的安全漏洞。因

38、此，确保小波算法不容易攻击是必要的。这些攻击的可行性基于存在强壮的特点。以一定的概率发生，一个特点是明文、密文与跨越一个或更多轮的轮函数元素的关键的关系。攻击是通过连接这些特点来建立明文，密文和整个加密算法的密钥比特之间的关系。我们将描述差分和线性特性以及反对小波的攻击可能性的基于强特征算法（那些缺乏具有相对高概率发生的）的基本概念。微分特征考虑有固定微分（XOR）的两个相应的明文密文解密选择的输出差（在这里，异或运算的考虑）的分布。这些最高程度的不均匀分布在密文的异或对的非线性函数很容易受到差分攻击。定义微分特征，让P，P*为两个的按位异或运算。同样地，定义C和C*为两个密文的按位异或。让p

39、为最大的满意对的选择概率。同时，让表示使用密钥的解密。块长度为N。定义1：微分特征:,最大值p其中，。可能存在一定的密文，密钥和明文比特或符号的相关性。试图找到这样的满意与强烈偏见概率，或者接近于零的概率或几乎可以肯定的相关性的特点，。攻击（也许是一个减少全面版本的算法）通过仅受一小部分明文块，密文和密钥影响的差异识别。例如，DES的差动特性被发现即少数八S-盒（每回合）参与。事实上，已经有一些成熟的改进（最后一轮方法，对称特性）已被证明可以减少这些攻击的复杂度，但我们的解释认为缺乏基本特征需要线性和差分攻击。对于一个线性特性，考虑一个基本的小波DB，假设存在一些明文比特子集密文符号，和名为关

40、键之间的相关。该函数F可以表示为一个矩阵，其中每一个取决于密码符号。因此，根据定义的特征，有。对于密码的任意选择，在这种情况下意味着所有F和K的任意选择，不为特征的保持与高概率的可能性。我们没有发现这个流行的安全算法中的潜在挑战的任何特点。这表明高键依赖和快速全扩散率导致缺乏线性特性的基础小波块。到目前为止，我们还没有发现任何强大的线性和差分的特点，严重威胁到小波算法。在下面的章节中，我们尝试利用两个回合小波解密的前馈结构发现密码的新的攻击类型。B.分而治之的另一轮线性攻击小波密码系统本节介绍了小波的选择密文攻击算法。通过展开前馈结构小波解密如图12和13，我们会考虑集密文块以产生一个单一的解

41、密明文块。表示。在这里，一个攻击考虑了一轮攻击两个密文和三两个轮攻击。这些密文的选择也许存在更多的偶然，但是现在这种方法就足够了。首先，很明显，与N线性无关的基本的数据库DB的输入和相应的线性输出的观察，其个人密钥值可以确定。所以，试图利用小波解密结构减少分析非线性小波DBS对问题的分析线性是第一种方法。注意到一个类似的CCA技术由于定义了输入输出的解密结构中的第二前馈分支和相关的非线性设备而不适用于二轮小波密码系统。接下来的几个部分致力于找到一个攻击具有比先前所说的较低的时间复杂度的方法。C.插值攻击的分析在本节中，我们描述了利用小波的代数结构密码体制的插值攻击变化。这一选择密文攻击的方法表

42、征明文作为一个理性的多项式函数的密文符号和解决这些线性系统方程。这提供了攻击者的密文能力解密；然而，攻击者不恢复密码。复杂的顺序是由多项式系数确定的。观察到的小波算法有128位的密钥空间。因此，如果它的复杂性是小于，攻击是有效的。在插值攻击部分，我们将考虑一个清晰明文的指标（一般无损失，第一个指数）。因此，计算对整个由一个因子的相对数系数的一个单一指标表现的明文块的总复杂性增加。我们建立了这一事实，使用时考虑多项式的合理表达。让L和M为两个基本的DBS和且C为密文块。这一事实对的系数进行计数。事实2：结果为的未知结果的多项式。证明：总之，在系数和分母有个分子，所以有未知的总数表征P。1） 一轮

43、小波解密的插值攻击：本节介绍了小波算法的攻击；在一轮系统情况下。使用图12，该攻击者可以表征一轮小波的解密，通过因此，对明文的标志之一，是由下式给出的如图所示（26），密文条款多项式的理性表达由分母N个未知系数与分子的个未知系数组成。每个已知明文的密文索引需要描述个未知的系数。因此，一轮密文解密攻击的总的复杂性要求解线性方程组（注：）。攻击的复杂度可以通过采用分而治之的策略提高。因为图12中的每个分支可以独立分析，攻击者可以选择输入一个分支为零，从而使其他分支被分别由其他输入系数确定。一轮的分而治之的插值攻击变化采用已选择密文和，其中每条都有N个未知数。明文的每个索引可以由2N个选择密文解决。

44、因此，攻击需要求解线性方程组。请注意，这种攻击的复杂性比初始插值攻击速度快16倍，复杂度为。然而，这些攻击都远远低于穷举密钥搜索复杂度。在这种情况下该攻击者能够获得密文的解密能力，但没有恢复密码的信息。2）抵抗插值攻击的二轮小波密码攻击的安全性：在本节中，我们追求同样的二轮小波加密插值攻击。分而治之的方法帮助降低一轮攻击的复杂性，我们将在二轮情况下使用这种攻击。二轮小波解密由下式描述它分为三个独立的表达式三个密文明文是不确定的。图13所示，我们可以分开考虑每一个多项式的复杂性。第一条表达的第二条被描述为：我们可以写成用事实2，第一期，在页面底部显示。方程（31）用来确定C中指数P的多项式的未知

45、系数数目。分母包括个条款；这都是N+1个由每个指数为组合的程度组成的。第三部分是路径横跨两个Inv函数。术语描述使用事实2，二轮插值攻击第三项由下式描述第三期会有整个明文的个未知系数。总的来说，二轮分而治之的插值攻击的变化的总规模N=30的复杂度为。这仍然比小波变换密码的穷尽密钥搜索具有更高的复杂度，。D.三角函数攻击的分析图14、数据库DB的DFT替代表示本节考虑另一种方法，选择密文攻击的密文是三角函数。这次袭击的动机是，以最小的投入到系统，参与的多项式插值攻击将有一个较低的复杂度（即，更少的系数）。根据图13，攻击可以考虑一个指数的密文，是三角函数的输入。该方法通过分析三角洲输入结构。这种

46、方法是类似分和征服的插值攻击变化；然而，这种方法将试图恢复的关键，因此导致了更强的攻击。这种攻击的复杂性取决于解决系统的非线性方程组。这种攻击分析的范围会提供一个上限的复杂度。复杂性将通过M ller和Mora确定。事实3：我们有 变量的数目； 多项式的最大程度，Grobner基础多项式； 希尔伯特多项式的度（小于尺寸；它是0-1）。绑定的是建立一个下界计算，我们将考虑s=0情况。从图13，我们认为两个密文，。包含从两个小波变换与核心价值观不包含Inv函数。通过将三角函数在密文（不失一般性，三角函数在索引1，c1），导致恢复明文表示.通过三角函数也可以放置在密文中；因此，恢复的明文表示也可以表

47、示为方程（36）表明，是所有元素的矩阵和的功能。然而，二轮小波密码是只依赖于16个密码的符号。因此，是一个只有16个变量的函数。同时，其最大程度是N。根据（34），这个非线性方程的复杂度为。计算的上限表明，这种小波密码系统攻击将不会是可行的。它可以减少非线性的复杂度。这些方法不在小波加密生成的方程系统提供任何威胁。因此，这为约束的系统响应的三角函数攻击在计算上提供了一些有效性。E.使用DFT反对攻击的安全性另一种方法，攻击者可能是考虑替代但相同的小波密码系统表示。本部分探索了利用DFT产生的另一种表示攻击的潜力，这有利于小波算法分析。1）DFT的基础上获得的另一种表示方法：对小波算法，每个功能块都有一个在频率域的双重表征。双重的块频域仅仅是通过指数和滤波器的输入块的DFT运算系数。利用有限域的DFT 的性质，它是可以表示包含块的结构和图5（b）所示的循环移位，如图14所示。矢量是第i个初级输入分贝（同样的输出向量y）。然