分组密码是现代密码学的重要分支,具有运行速度快、易于标准化、软硬件实现方便等优势,在信息安全领域应用广泛。除了实现基本的数据加密功能之外,分组密码还可以作为底层组件构造哈希函数、消息认证码、伪随机数发生器、流密码等。分组密码的研究主要集中在密码分析和密码设计这个两个方面。在分析方面,对于实际使用的分组密码算法,研究者已经提出了许多密码分析(攻击)方法,其中最主要的是差分分析和线性分析,还有它们的一系列变体。其余种类的分析方法还包括积分分析、代数分析、中间相遇攻击等等;对于一些抽象出来的分组密码模型,研究者还可以从可证明安全的角度进行理论分析。在设计方面,研究者既希望设计的分组密码可以抵抗所有已知的实际攻击,又希望给出可证明的理论安全性;既要考虑算法的整体结构,又要在兼顾内部组件(S盒,P置换,轮函数,密钥编排算法,tweak等)相互作用的条件下考虑它们各自的最优设计。在本文中,在分组密码的分析方面,我们重点关注积分分析及其变体。在设计方面,我们研究了密钥编排方案的设计,可调分组密码的构造及其可证明安全。具体来说,我们取得了以下研究成果:1.可分性在S盒中的传播规则.可分性是一种推广的积分性质,最初用于对称密码算法的积分分析。基于Todo在CRYPTO 2015上的工作,我们形式化描述并证明了可分性在(公开)S盒中的传播规则,比已有的黑盒假设下的传播规则刻画得更加精细。作为应用,我们分析了 KECCAK-f的S盒和ASCON底层置换的S盒,将可分性在这两类S盒的逆变换中的传播特征从D45→D25改进到了D45→D35。我们发现,可分性在组合代数次数较低的S盒中的退化程度要更小。从抵抗可分性积分分析的这个角度,我们给出了一条S盒的设计准则。2.基于可分性的零和区分器的构造.一般来讲,零和区分器的构造主要基于对代数次数的估计。在本文的工作中,我们从一个新的方向—基于可分性 考虑零和区分器的构造。首先,基于工作1中对可分性传播特征的分析,我们改进了 KECCAK-f和ASCON置换的逆置换的积分区分器,与之前的工作相比,在相同轮数下,我们构造的区分器数据复杂度要更低。进一步地,我们改进了全24轮KECCAK-f的零和区分器,零和大小为21573。这是目前对全轮KECCAK-f置换最好的零和区分器。此外,我们对12轮ASCON置换给出了新的零和区分器,零和大小为2130。3.RECTANGLE密钥编排方案的分析与设计.我们从实际密钥信息(AKI)的角度评估轻量级分组密码RECTANGLE的安全性。通过考虑密钥编排和轮函数的扩散层的相互作用,我们发现,RECTANGLE-80 和 RECTANGLE-128 在轮函数的扩散路径上分别存在 4 轮和 6 轮的密钥信息泄露。为了说明密钥信息泄露所带来的问题,我们给出了对12轮RECTANGLE-128的中间相遇攻击,数据复杂度极低,只需要8个已知明文。最后,我们给出了 RECTANGLE-128的一个新的密钥编排提案,和原始方案相比,新的设计在AKI最大化方面更优。另外,我们发现RECTANGLE和PRESENT在不使用密钥编排的情况下反而具有更多的实际密钥信息。这是出乎我们意料并有点违反直觉的,但却为密钥去编排化的设计提供了实验性的支持。4.可调密钥交替Feistel密码的构造.我们研究了如何基于密钥交替Feistel(KAF)结构构造一个可调的分组密码。我们考虑最简单的KAF结构,通过全域哈希函数将调柄引入到轮密钥的异或操作,给出了第一个可调KAF密码的构造。根据构造的可证明安全界,我们的结果可以分为两个方面:·对于生日界安全性,我们给出了一个4轮的构造,其中使用了两个相互独立的轮密钥,一个各轮相同的轮函数和两个全域哈希函数。·对于超越生日界安全性,我们给出了一个10轮构造,可以抵抗O(min{22n/3,(?)})次敌手询问,其中n是底层轮函数的输入长度,ε是全域哈希函数的碰撞概率的上界。我们的安全性证明主要基于Hybrid技术和H-coefficient技术。