非线性不变性及相关矩阵方法在密码分析中的应用

D O I :10.3969/j
.i s s n .1001-5337.2022.3.051 *收稿日期:2022-03-03
基金项目:国家自然科学基金(61672330);山东省自然科学基金(Z R 2020K F 011).
作者简介:张文英,女,1970-,博士,教授,博士生导师;研究方向:密码学与信息安全;E -m a i l :z h a n g w e n y i n g
@s d n u .e d u .c n .非线性不变性及相关矩阵方法
在密码分析中的应用*
张文英①, 孙晓萌①, 雷 虹②
(①山东师范大学信息科学与工程学院,250014,济南市;②东营职业学院,257091,
山东省东营市) 摘要:
对称密码体制中的许多映射是布尔映射.该文在向量布尔映射和实向量空间的特殊线性映射之间建立联系,将函数的一些密码性质用相关矩阵来刻画.相关矩阵中的元素定义为输入的线性组合与输出线
性组合的相关系数.相关矩阵不仅直接刻画向量布尔函数输出线性组合与输入线性组合的符合率,是线性密码分析的有力工具,还能够为弱密钥攻击提供理论支持.
关键词:分组密码;相关矩阵;线性密码分析;弱密钥;非线性不变性
中图分类号:T P 309.7 文献标识码:A 文章编号:1001-5337(2022)03-0051-07
0 引 言
密码学意义上的布尔函数相关矩阵[1]
的概念由J o a nD a e m e n 在1993年召开的信息安全和密码会上提
出,它从全局的角度揭示了布尔函数的内在性质,相关矩阵是刻画和理解线性密码分析的最天然的表示方法.在2018年之前该方法主要用于做线性密码分析.
在2018年的亚密会上,比利时鲁汶大学的T i m B e y
n e 把相关矩阵方法成功的用在对分组密码M i d o r i 和MA N T I S -4的弱密钥攻击上,找到了M i d o r i 的296
个弱密钥,对MA N T I S -4进行了密钥恢复攻击[2].其办法是找到轮函数中各个子函数 S 盒,线性层和轮密钥加运算的相关矩阵,寻找所有相关矩阵共同的特征向量,这里S 盒和线性层的相关矩阵都是固定的,与密钥无关,而轮密钥加运算所对应的相关矩阵依赖于密钥,其特征矩阵也依赖于密钥.先求出S 盒相关矩阵与线性层相关矩阵与特征值ʃ1对应的共同的特征向量,再寻找让这些特征向量也是加密钥函数相关矩阵特征向量的条件,这个条件就是密钥应该满足的条件,即满足这些条件的密钥就是弱密钥.各个子函数共同的特征向量在傅里叶变换的逆变换(反演公式)下对应的布尔函数就是密码不变函数g .也就是明文和密文在该函数的作用下函数值之和是常数,即,对于不
同的明密文对p 1,c 1和p 2,c 2,都有g (p 1)+g (c 1)=g (p 2)+g (c 2).如果把一轮加密函数的相关矩阵记作A ,
则A 的特征向量一定是A 2的特征向量,但是反之A 2的特征向量不一定是A 的特征向量.于是可以寻找多轮加密的特征,例如,寻找向量u ,v 使得A u =v ,A v =u ,于是A 2u =A v =u ,如果这样的u 对应的密钥空间大,则攻击效果更好.如此便把密码分析问题转换成求密码函数所对应的相关矩阵的与特征值ʃ1所对应的特征向量问题.
本文对相关矩阵方法在线性密码分析和弱密钥攻击中的应用进行综述,揭示问题的实质和所用方法数
学依据,包括一轮密码变换下的密码不变性和连续多轮密码变换下的不变性.本文的目的是让读者更深刻的理解密码不变性的数学实质,普及密码分析学知识.
第48卷 第3期2022年7月 曲阜师范大学学报J o u r n a l o f Q u f u N o r m a l U n i v e r s i t y
V o l .48 N o .3
J u l y 2022
1 预备知识
设n 是任意自然数,F 2是二元域,F n 2表示n 维布尔向量空间.定义域为F n 2上输出为1比特的映射f :
F n 2ңF 2称为n 元布尔函数.输出为多比特的映射F :F n 2ң
F m 2称为向量布尔函数.本文中除了ð表示算
术加之外,其余加法均指模2加,即1+0=0+1=1,1+1=0+0=0.
定义1 设F :F n 2ңF m 2为向量布尔函数,x =(x 1, ,x n ),u =(u 1, ,u n ),v =(v 1, ,v n )ɪF n
2,
以㊃表示向量的内积.F 的相关矩阵C 是一个2n
阶矩阵,其(u ,v )
元素如下定义C u ,v =12n ðx ɪF n
2
(
-1)u ㊃x +v ㊃F (x ).(1
)特别地,若m =1,则F (x )退化为布尔函数f (x )
,此处若取v =1,通常记C u ,1 S f (
u )=12n ðx ɪF n
2
(-1)f (x )+u ㊃x ,称S f (u )为布尔函数f (x )在点u 的W a l s h 谱.
C u ,v 在数值上等于输出函数F =(f 1(x 1, ,x n ), ,f n (x 1, ,x n ))分量的线性组合v 1f 1+ +v n f n 与输入分量线性组合相等的概率与
12偏差的2倍,即C u ,v =2p r o b u ㊃x +v ㊃F (x )=0{}-12æèçöø
÷.作为一个攻击者总是希望能用一个线性函数近似代替非线性的密码函数,这就是密码函数的线性逼近方法.如果f (x 1, ,x n )+v 1x 1+ +v n x n =0的概率大于1
2
,则f (x )与线性函数v 1x 1+ +v n x n 相等的可能性就大,用v 1x 1+ +v n x n 近似代替f (x )就有成效.如果f (x 1, ,x n )+v 1x 1+ +v n x n =0的概率小于
1
2
,则可用v 1x 1+ +v n x n +1近似代替f (x ).在密码设计中,为了降低线性攻击的成功率,密码设计者总是希望P {f (x 1, ,x n )+v 1x 1+ +v n x n =0}-1
2
的绝对值尽量小.为了书写方便,去掉(1)式中的系数1
2
n .
定义2 设u ,v ⊆F n 2及n 阶矩阵M .
向量u ,v 关于线性变换M 的关联值δ(u +M v )定义为δ(u +M v )=
1,u =M v ;
0,其它.
{
引理1[1]
考察F n 2上密钥加函数h (x )=(x 1+k 1,x 2+k 2, ,x n +k n )
=(x +k ).因为u h (x )T =(u 1, ,u n )(x 1+k 1,x 2+k 2, ,x n +k n )T
=
u x T +u k T ,则
C h (u ,v )=(-1
)u k T
δ(u +v ).也就是说密钥加函数的相关矩阵是一个对角阵,对角元是C u ,u =(
-1)u k T
引理2[1
] 若L 为F n 2上的线性变换,M 是线性变换对应的矩阵,则C L (u ,v )=δ(M T u +v ).引理3[1] 考察由l 个平行的映射F n i 2ңF m i 2(S 盒)并置而得的F n 2到F m 2的映射h ,
这里ð
i
n i
=n ,
ði
m
i
=m ,称这个映射为分组密码的非线性层.
a =(a 0,a 1, ,a l -1),
b =(b 0,b 1, ,b l -1),a i ɪF n i 2,b i ɪF m i
2.映射b =h (a )由各分映射b i =h (a i )
,0ɤi ɤl -1确定.每个S 盒的相关矩阵C i 是2n i ˑ2m i
阶矩阵.因为各h i 的变量相互独立,
各函数的输入变量之间无交集.h 的相关矩阵可以如下计算,C (u ,v )=ᵑi
C i
(u i ,v i ),u =(u 0,u 1, ,u l -1),v =(v 0,v 1, ,v l -1).(2
) 本引理表明,
对于多个小S 盒并置得到的大型S 盒,其相关矩阵就是各小型S 盒相关矩阵的直积.引理4[1
] 已知布尔函数f (x )在所有点x ɪF n 2的W
a l s h 谱,则可以按照如下反演公式求f (x ):25 曲阜师范大学学报(自然科学版) 2022年
(-1)f (x )=ðw ɪF n
2
(-1
)w x S f (w ).(3
)公式(3)和公式(1)的关系类似于傅里叶变换及其逆变换的关系,知道其中一方,可以求另一方.如引言中所述,我们要求一个加密算法轮函数相关矩阵的特征向量,它对应着在加密变换下的一个不变
量.首先介绍M i d o r i 分组密码算法.
2 M i d o r i 算法介绍及相关工作
2.1 M i d o r i 算法介绍
M i d o r i 是2015年亚洲密码会上提出的轻量密码,曾是当时加解密运算每比特能耗最少的算法.为了达到低能耗的目的,算法使用了二元线性层,而非像以往使用M D S 矩阵.M i d o r i 算法族含64比特分组和128
比特分组两个版本,运行轮数分别是16和20.两个版本分别记作:M i d o r i 64和M i d o r i 128.
明文和中间状态表示成4ˑ4矩阵形式
S 0S 4S 8S 12S 1
S 5S 9S 13S 2S 6S 10S 14S 3S 7S 11S 15æèçççççö
ø
÷÷÷÷÷.对于M i d o r i 64和M i d o r i 128每单元分别为4比特和8比特.因本文只分析M i d o r i 64,所以下面只介绍M i d o -r i 64里的运算.
轮函数包含S 盒㊁单元换位㊁列混合和加密钥.1.进S -盒:每个4比特单元分别进4比特S -盒S 4,其真值表请见表1.表1 S 4的真值表
x 0123456789a b c d e f S 4(x )
c
a
d
3
e
b
f
7
8
9
1
5
2
4
6
2.单元换位(S h u f f l eC e l l ):像洗牌那样按照下列公式变换16个单元的位置
(S 0,S 1, ,S 15)ѳ(S 0,S 10,S 5,S 15,S 14,S 4,S 11,S 1,S 9,S 3,S 12,S 6,S 7,S 13,
S 2,S 8). 3.列变换:状态矩阵的每列乘元素在16个元素的有限域F (2
4)上取值的矩阵M =0111101111011110æ
è
ççççöø÷÷÷÷.
4.A d d K e y
(A K ):模加轮密钥.密钥K 的长度为128比特,K 的左半部分记为K 0,右半部分记为K 1,K =K 0 K 1.K 0 K 1作为白化密钥,第i 轮的轮密钥是K i m o d 2+αi ,注意这里的轮常数αi 是1
6维2元向量,例如α0=(0,0,1,0,0,1,0,0,0,0,1,1,1,1,1,1),在与K 0,K 1模2加时,αi 中的0或1以4比特2进制表示0000和0001呈现,所以K 0,K 1模加轮常数之后,其任何一个4比特单元的左侧3比特都保持不变,只有最低位比特可能改变.16轮M i d o r i 加密流程见图1.
图1 16轮M i d o r i 加密流程
3
5第3期 张文英,等:非线性不变性及相关矩阵方法在密码分析中的应用
45曲阜师范大学学报(自然科学版)2022年2.2M i d o r i的(非)线性不变性
对M i d o r i算法的不变子空间攻击和非线性不变性攻击是弱密钥攻击的典型范例.本小节介绍文献[3, 6]中的工作.如表1所示,郭建等发现8,9是M i d o r i S盒的不动点,且在线性变换M下集合{8,9}映射到其自身,集合{8,9}中元素与轮常数0,1模加也还属于集合{8,9},也就是每个单元只取8,9的明文在每个单元都只取0,或1的密钥加密下具有不变性,即:这样的密钥是是弱密钥.当明文的每个单元都只取8和9,用每个单元只取0和1的密钥加密时,密文的单元也只取8或9.表2是用M i d o r i64的弱密钥加密的例子.
表2 M i d o r i特殊明文用弱密钥加密的结果
K0000000000000000011001100110011000000101001001110
K1000000000000000000110011001100111101010100010001
明文888888888888888899999999999999999889898898898989
密文999889988988889989999999889889899999988988898889因为K0,K1各有16个单元,每个单元有0,1两种取法,这种形式的密钥共有232个[3].称这种方法为不变子空间攻击.
在2016亚密会上,日本学者T o d o等提出了对M i d o r i的非线性不变攻击.给定分组密码E K:F n2ңF n2,非线性不变攻击的目的是找F n2上的一个非线性布尔函数g(x),使得对任意x,都满足
g(x)+g(E K(x))=C o n s t a n t K(4)的密钥K的个数尽量多,这里C o n s t a n t K表示只和密钥有关的函数,故可视为与明文无关的常数.这种K 称为弱密钥,称g为加密变换E K的非线性不变函数.而对于一个随机函数,对于任意的明文,g(x)+ g(E K(x))都等于同一常数的概率为2-n+1,利用公式(4),攻击者可以把弱密钥和普通密钥区分开来[6].令g(x)=x3x2+x2+x1+x0,T o d o等发现M i d o r i的S盒和线性层满足
g(x)=g(S(x)),
g(x)=g(M x).
对于加轮密钥运算,由于
g(x k+k)=(x3+k3)(x2+k2)+x2+k2+x1+k1+x0+k0,
当k2=k3=0时,即密钥的每个单元的高2比特固定为0时,
g(x)+g(x+k)=k1+k0,
g(x)在加密钥运算下具有不变性,于是若密钥的每个单元都只在集合{0,1,2,3}中取值时,g(P)+g(C)是只依赖密钥的常数.因为K0有16个单元,每个单元有22种取法,共232种取法,K1也是如此,故这种弱密钥有264个[6].文献[6]用了非线性不变函数,得到了比文献[3]更好的结果.
3用相关矩阵方法寻找M i d o r i的弱密钥
在文献[2]中,T i m提出了用加密运算相关矩阵的特征向量来描述非线性不变性,把对M i d o r i的弱密钥攻击推进了一步,可以找到296个弱密钥.
引理5[2]设E K:F n2ңF n2是把n比特明文加密为n比特密文的加密变换,其相关矩阵记作C E K.f:F n2ңF n2是特征向量为v的布尔函数,则v是C E K的属于特征值(-1)c,cɪF2的特征向量的充要条件是对任意的xɪF n2,都有f(x)+f(E K(x))=c.
根据引理5,先求S盒,线性层和加密钥这三种变换的特征矩阵共同的特征向量.为简单之计,仅仅计算4比特单元上各运算特征矩阵的特征向量,整个加密运算E是16个单元上运算的并置,E的相关矩阵是16个矩阵的直积,特征向量也类似.
3.1计算轮函数所有子函数的相关矩阵公共的特征向量
例1对于M i d o r i的S盒,根据公式(1)求出其相关矩阵如下
C S
=
1161600000000
00000
0004
84-4040-40408-40-408008000-800
0080004
04-404
84-8-4
004040-48-44
0-40-4-8-4
00-4040000000000-8-8
008-804
04-404-8-4
0-40-8-4
4000800-80000-8
00-800-4-84-40-40-8-4
04404000
0-8-8000-4
4-4-444-44040-4-4-8-40
0-4
8-4-4
04000
000-80-84-4-4444-4-408
0000-8044-4
44-4440-484-40-4004
04
-4
84000
00080-84-4
4
-44
4440-40
44-840040-4404
8æ
èç
ççç
çç
ççç
ççççç
ççç
çç
ççç
çç
ö
ø÷÷÷÷÷÷÷÷
÷÷÷÷÷÷÷÷÷÷
÷÷÷÷÷÷.经计算,1对应的特征向量是(1,0,0, ,0
)T
和(0,0,1,0,1,0,1,0,-1,0,-1,0,-1,0,-1,0)
T
以及二者
的线性组合,-1对应的特征向量是(0,1,0,0,0,1,0,0,0,-1,0,0,0,-1,0,-2)T
和(0,0,0,1,0,0,0,1,
0,0,0,-1,0,0,0,1
)T 以及二者的线性组合.例2 对于线性变换
(y 3,y 2,y 1,y 0)
=(x 1+x 2+x 3,x 0+x 2+x 3,x 0+x 1+x 3,x 0+x 1+x 2),其特征矩阵为
C M
=1000000000000000000000000000001000000000000001000001000000000000000000000001000000000100000000000000001000000000000000001000000000000001000000000000000001000000000000000010000000001000000000000000000000001000001000000000000001000000000000000000000000000001æè
ç
ççç
çç
ççç
ççç
çç
ççç
çç
ççç
çç
ö
ø
÷
÷÷
÷
÷
÷
÷÷
÷
÷÷
÷÷
÷
÷÷
÷
÷
÷
÷÷
÷
÷
÷
.
可以验证向量v =(0,0,0,1,0,0,0,1,0,0,0,-1,0,0,0,1
)T 是C M 的属于特征值1的特征向量.
例3 密钥加运算(x 3,x 2,x 1,x 0)ң(x 3+k 3,x 2+k 2,x 1+k 1,x 0+k 0),x i ,k i ɪF 2
的相关矩阵C K 为
55第3期 张文英,等:非线性不变性及相关矩阵方法在密码分析中的应用
C K =1000 00(-1)k 0
00 000(-1)k 10 0000(-1)k 0+k 1
0 ⋱︙0000 (-1)k 0+k 1+k 2+k 3
æèççççççççöø÷÷
÷÷÷÷
÷÷,C K v =(-1)k 0+k 1(0,0,0,1,0,0,0,(-1)k 2,0,0,0,(-1)1+k 3,0,0,0,(-1
)k 2+k 3)T .(5)所以v 是C K 的特征向量当且仅当k 2=k 3=0.对于加轮常数运算,由于M i d o r i 轮常数的每个单元都形如
(0000),(0001),高位两比特都是0,所以满足了c 2=c 3=
0的要求.因为相关矩阵与函数一一对应,函数的复合运算对应着相关矩阵的乘积,v 是矩阵C K ,C M ,C S 共同的特征向量,
那么也是它们乘积的特征向量,即若C S v =λ1v ,C M v =λ2v ,C K v =λ3v ,则C K C M C S v =λ1λ2λ3v .所以,向量v 是以上所有运算的复合运算的特征向量,即v 是加密变换的特征矩阵的特征向量,相关矩阵为v 的布尔函数是密码不变函数.v 对应着那些每个
单元高位两比特都是0的弱密钥,也就是文献[6
]中那264
个弱密钥.例1中C S 的和-1对应的特征向量
u =(0,1,0,0,0,1,0,0,0,-1,0,0,0,-1,0,-2)T +(0,0,0,1,0,0,0,1,0,0,0,-1,0,0,0,1)T
=
(0,1,0,1,0,1,0,1,0,-1,0,-1,0,-1,0,-1
)T
也是C M 和C K 的特征向量,且对应着k 1=k 2=k 3=0情形,也就是文献[3
]里的那232
个弱密钥.3.2 相关矩阵的特征向量方法与文献中[3,6
]方法的联系把向量v 单位化得到
v 1
=0,0,0,12,0,0,0,12,0,0,0,-12,0,0,0,12æèçöø
÷T
.
如果把v 1
的第w 个分量看成是某个布尔函数f 在w 的S f (w ),那么根据反演公式(3
)可以求出f 在点x =0,1,2 ,15处的函数值(-1)f (0)=1,(-1)f (1)=-1,(-1)f (2)=-1, ,(-1)f (15)=1,用表格列举如下.
表3 f (x )
的真值表x 0123456789a b c d e f f (
x )0
1
1
1
1
1
1
1
1
该函数的代数标准型A N F 为f (x 3,x 2,x 1,x 0)=
x 3x 2+x 2+x 1+x 0,就是文献[6]函数中的非线性不变函数g .
3.3 方法的改进
求非线性不变函数的数学实质就是先找加密变换函数的相关矩阵的与ʃ1对应的长度为1的特征向量
e ,再根据公式(3)求得的与e 对应的布尔函数
f ,则此f 必然满足f (P )+f (E (P ))=c .
也就是明文和密文在加密函数的作用下,函数值的和是仅依赖于密钥的常数.在3.2节中分别求出轮函数的各个子函数的相关矩阵的与特征值ʃ1对应的共同的特征向量u ,u 对应的布尔函数便为密码不变函数,但是这样少统计了满足f (P )+f (E (P ))=c 的函数f 的个数,因为根据公式(4),u 只需是加密变换相关矩阵的特征向量即可,不必是每个子函数相关矩阵的特征向量.正如矩阵A 和B 的公共特征向量一定是A B 的特征向量,但反过来,A B 的特征向量不一定是A 和B 的公共的特征向量那样.也就是A B 特征向量集合比A 和B 的公共的特征向量集合一般要大.由于整个加密变换一般包含十几轮,多轮运算的复合运算也比较复杂,不易考察.但
是,我们可以考虑两轮变换的特征向量,而非只考虑一轮变换各个子函数共同的特征向量.对于M i d o r i 64,
若令y =(0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0)T
,则当K 0或K 1的每个单元都有k 2=k 0=0时,
就有C K C M C S C K C M C S y =C K C M C S
z =y .
也就是说虽然y 不是一轮加密函数的相关矩阵的特征向量,但它是两轮加密函数的相关矩阵的特征向量,
自然是任意偶数轮加密变换的特征向量.因为只对K 0或K 1有条件限制k 2=k 0=0,
所以满足条件的密钥数量为264㊃232=296
.y 对应的线性函数是h (
x 3,x 2,x 1,x 0)=x 2+x 0,在使用弱密钥加密时,任意的明密文65 曲阜师范大学学报(自然科学版) 2022年
对都满足
ð15
j =0
(
p 4j
+p 4j +2)+ð15
j =0
(c 4j +c 4j
+2)=C o n s t a n t K .即明文和密文所有偶数下标的比特之和是只和所用密钥有关,与明文无关的常数.
4 结束语和说明
本文具体介绍了用来恢复分组密码加密算法弱密钥的不变子空间攻击和非线性不变攻击方法,及相关数学原理.为使论文内容直观易懂,我们只以4比特单元上的S 盒和线性运算为例对基本理论进行了阐述,
实际上M i d o r i 64加密运算是在64维2元向量上进行的,轮函数的相关矩阵是264阶矩阵,特征向量是264维向量,本文把它分解为16个16阶矩阵的直积,只在每个16阶矩阵上讨论问题.
一些具体的轮函数相关矩阵的特征向量求解算法请参考文献[2].关于非线性不变攻击的最新成果请参见文献[7].
参考文献:
[1]D A E M E NJ ,R I J M E N V.T h eD e s i g no fR i j n d a e l :t h eA d v a n c e dE n c r y p t i o nS t a n d a r d (A E S )[M ].B e r l i n :S p r i n g e r ,2020:91-113.
[2]B E Y N ET.B l o c kc i p h e r i n v a r i a n t s a s e i g
e n v e c t o r s o
f c o r r e l a t i o nm a t r i c e s [C ].A S I A C R Y P T ,2018(1):3-31.[3]G U OJ ,J E A NJ ,N I K O L I CI ,e t a l .I n v a r i a n t s u b s p a c e a t t a c k a
g a i n s tM i d o r i 64a n d t
h e r e s
i s t a n c e c r i t e r i a f o r S -b o xd e s i g n s [J ].I A C RT r a n sS y mm e t r i cC r y p t o l ,2016(1):33-56.[4]B A N I KS ,B O G D A N O V A ,I S O B ET ,e t a l .M i d o r i :ab l o c kc i p h e r f o r l o we n e r g y
[C ].A S I A C R Y P T ,2015(2):411-436.[5]Z HA N G W Y ,C A O M C ,G U OJ .P a s a l i cE n e s :i m p r o v e d s e c u r i t y e v a l u a t i o no f S P Nb l o c kc i p h e r s a n d i t s a p p l i c a t i o n s i n t h e s i n g l e -k e y a t t a c ko nS K I N N Y [J ].I A C RT r a n sS y mm e t r i cC r y p t o l ,2019(4):171-191.[6]T O D O Y ,L E A N D E R G ,S A S A K IY.N o n l i n e a r i n v a r i a n t a t t a c k -p r a c t i c a l a t t a c ko n f u l l S C R E AM ,i S C R E AM ,a n d M i d o -r i 64[C ].A S I A C R Y P T ,2016(2):3-33.[7]C O U R T O I SN T.An o n l i n e a r i n v a r i a n t a t t a c ko nT -310w i t h t h e o r i g i n a l B o o l e a n f u n c t i o n [J ].C r y p t o l o g
i a ,2021,45(2):178-192.
T h e a p p
l i c a t i o no f n o n l i n e a r i n v a r i a n t s a n d c o r r e l a t i o nm a t r i x i n c r y p t a n a l y
s i s Z HA N G W e n y i n g ①, S U N X i a o m e n g ①, L E IH o n g
②
(①S c h o o l o f I n f o r m a t i o nS c i e n c e a n dE n g i n e e r i n g ,S h a n d o n g N o r m a lU n i v e r s i t y
,250014,J i n a n ;②D o n g y i n g V o c a t i o n a l C o l l e g e ,257091,D o n g y i n g ,S h a n d o n g
,P R C )A b s t r a c t :I nm a n y s y mm e t r i c a l e n c r y p t i o n s ,t h e c r y p t o g r a p
h i c f u n c t i o n s a r eb o o l e a n f u n c t i o n s .I n t h i s p a p e r ,ab r i d g e b e t w e e n t h e v e c t o r i a l b o o l e a n f u n c t i o n s a n d t h e i r c o r r e l a t i o nm a t r i c e s i s b u i l d .S o m e c r y p t o -g r a p h i c c h a r a c t e r s c a nb e d e s c r i b e d b y
t h e i r c o r r e l a t i o nm a t r i c e s .T h e e n t r i e s i n c o r r e l a t i o nm a t r i c e s a r e t h e c o r r e l a t i o nc o e f f i c i e n t s o f t h e i n p u t b i t s a n d t h e o u t p u t b i t s .T h e c o r r e l a t i o nm a t r i c e s c a n n o t o n l y d e s c r i b e s t h em a t c h r a t e b e t w e e n t h e i n p u t s a n d t h e o u t p u t s o f t h e e n c r y p t i o n f u n c t i o n .H e n c e i t i s t h e t o o l f o r l i n e a r c r y p t a n a l y s i s .I t i s a l s o au s e f u l t o o l f o r f i n d i n g w e a kk e y
s .K e y w o r d s :b l o c kc i p h e r ;c o r r e l a t i o nm a t r i x ;l i n e a r c r y p t a n a l y s i s ;w e a kk e y ;n o n l i n e a r i n v a r i a n t s 75第3期 张文英,等:非线性不变性及相关矩阵方法在密码分析中的应用。