5.12 讨论

前三轮的 Keccak 的输出位可以表示为输入位的线性组合，通过解线性方程组可以得到原像。条件，必须满足线性结构。

引入前置概念：S 盒、零和区分器（Zero distributing）

CBH 体会

• 零和区分器对应\(\theta\)运算的性质
• S 盒对应\(\chi\)运算的性质 另一篇文章，区分 message block 数量。

Step 1

题目摘要引言

Kumar 文献

给出一种 2-Round 的 Keccak-384 原像攻击方法。现有已知最好方法的时间复杂度为\(2^{129}\)，文中给出的方法时间复杂度为\(2^{89}\)，空间复杂度也接近。虽然给出的方法仍不具备实践性，其表现是由于先前最好的攻击方式。引出 Ref 10

攻击过程简述

Base idea 来源 Ref 15。构造 CP 值为 0 从而保证\(\theta\)运算是恒等的，逆变换 final state，正变换 initial state。达到对角线（为主的）中间表示状态。过程主要是按 slice（xy 平面片）分析的。

基本理论概况

结论部分

对于 r 减少的对应类型，是 practical 的。代码会适时公开（现在还未公开）。

回答基本问题

1. 类别

2. 内容

3. 正确性

4. 创新点

5. 清晰度

阅读选择

Step 2

细读笔记

问题记录

未读（且值得读）文献记录

Step 3

思路复现

证明与推理复现

实验验证复现