认证加密算法能同时为消息提供机密性、完整性、可靠性等功能。其中,加解密可以对消息进行明密文变换,使消息以密文的形式进行通信,保证消息在通信信道上的机密性,认证可以判定数据是否被伪造、篡改或损坏。在ISO/IEC 19772:2009中,标准化了六种认证加密模式:OCB 2.0、Key Wrap、CCM、EAX、Encrypt-then-MAC(EtM)和GCM。但是随着计算机技术和密码分析技术的发展,国际密码学界专家认为现有的认证加密算法的安全性面临威胁,为了寻找新的安全性高、适应性广、稳定性强的认证加密算法,密码学界在2014年启动了寻找新的认证加密算法的CAESAR竞赛。Keyak算法是由Keccak设计团队设计的认证加密算法,它是进入到CAESAR算法竞赛第三轮的16个候选算法之一。目前对Keyak算法的安全性分析结果主要是基于立方攻击的思想的。在Eurocrypt 2015上,Dinur等人首先将立方攻击的思想应用在Keyak算法的安全性分析中,对缩减轮的Keyak算法进行了密钥恢复攻击和伪造攻击。接着,在Eurocrypt 2017上,Huang等人使用比特条件来控制条件立方变量的扩散,提出了条件立方攻击,并使用条件立方攻击的方法对6轮、7轮和8轮Keyak的推荐算法Lake Keyak进行了密钥恢复攻击。Bi等人使用条件立方攻击的思想分析了 Keyak算法的小状态实例River Keyak,给出了对6轮、7轮和8轮River Keyak的安全性分析结果。在上面对Keyak算法的安全性分析中,立方变量(包括条件立方变量和普通立方变量)的选取是没有限制的,任何对密码分析者来说公开可控的变量都可以作为候选的条件立方变量和普通立方变量。但是,在实际应用中我们需要考虑到这样的情况:在特定的应用环境中,Keyak算法加密认证的消息分组具有固定的格式。这些具有预固定格式的消息对密码分析者来说虽然是可知的,但是它们却不能被随意修改,比如:多个对象跟同一个对象进行通信时,信件的开头、称呼、问候之类的内容一般来说是相同的。在密码算法处理的是这样的具有固定格式的消息分组时,预固定的消息对密码分析者来说是可知的,但是它们既不能作为条件立方变量也不能作为普通立方变量。因为在条件立方攻击中,条件立方变量和普通立方变量需要遍历其所有可能的值。所以,当对处理具有预固定格式的消息的Keyak算法进行条件立方攻击时,条件立方变量和普通立方变量的选取应该是受到限制的。当处理的消息具有预固定格式时,我们对前两轮的Keyak算法建立MILP模型,目标函数设置为在特定的条件立方变量下寻找普通立方变量的最大数量。通过实验,我们发现当Lake Keyak的1600比特状态中具有固定格式的消息小于或等于10个深度时,可以找到足够数量的条件立方变量和普通立方变量来对Keyak进行8轮的条件立方攻击。当具有固定格式的消息大于10个深度时,可以找到的条件立方变量和普通立方变量的数量少于64个,不满足对Keyak算法进行8轮条件立方攻击的要求。最后,我们以预固定格式为前10个深度的消息为例,对6轮、7轮和8轮的Keyak算法进行了条件立方攻击。