1. 引言

随着现代互联网技术的飞速发展以及现代信息泄露事件的频发，数据安全变得愈发重要。密码算法作为密码学的核心之一同样也是保护数据安全的核心技术，其被广泛应用于各种通信和存储系统当中。然而，传统的分组密码算法虽然在安全性上表现优异，但在资源受限的环境当中，它们的计算复杂性和资源消耗往往成为瓶颈。因此为了在资源受限的环境当中也能提供足够的安全性，轻量级分组密码算法应运而生。这类算法力求在能够在有限的计算能力、内存和电池寿命的使用场景中能够提供最大限度的安全性，解决了传统密码算法在低功耗、小尺寸设备中的应用瓶颈，为物联网、智能卡、RFID标签等场景提供了高效且安全的加密解决方案。

近年来，随着技术的快速发展，轻量级分组密码算法，诸如CRAFT [1]、LBlock [2]、PICO [3]、FESH [4]、FBC [5]等，都有着广泛的应用场景，并表现优秀。但是由于轻量级分组密码算法是应用于资源受限的环境中的分组密码，因此在设计之初往往为了追求高效的软硬件的实现效率，可能会在安全性上做出一定的妥协，寻求安全性和高效的软硬件实现的一个平衡点，而这可能成为密码算法保障数据安全的一个薄弱环节。因此对轻量级分组密码算法进行安全性分析非常重要，这是确保其在资源受限的环境中能够可靠运行的关键。只有通过严格的安全性研究评估，才能确保这些算法在实际运用中既能满足高效性需求，又能提供足够的安全保障。

混合整数线性规划(Mixed Integer Linear Programming, MILP)是一种数学优化方法，是线性规划(Linear Programming, LP)的扩展，在线性规划的基础上引入了整数变量，被广泛地应用于解决复杂的决策问题。MILP最初于2011年由Mouha等[6]将其与密码分析方法相结合，研究者采用若干不等式来描述密码算法的各种运算，然后运用多元高次不等式求解算法来获取密钥信息，从而评估密码算法的安全性。该方法效率高且灵活，并且使用计算机辅助搜索和计算，显著提高了密码分析的效率，已成为广泛运用于密码学研究中。

INLEC是2024年由Feng等[7]提出的基于SPN结构的轻量级分组密码算法，该算法分组长度为64比特，主密钥长度为128比特，目前暂未有第三方对其进行安全性分析。为了使得INLEC在实际系统中能够保障信息的安全，因此需要对INLEC算法的安全性进行深入分析。INLEC密码设计者使用MILP自动化搜索工具，对INLEC各个部分进行建模，证明了15轮的INLEC密码算法足以抵御不可能差分攻击、差分攻击和线性攻击，此外通过分析证明了其对代数攻击、侧信道攻击的安全性。但目前的研究尚未有针对INLEC的中间相遇分析，而中间相遇分析[8]已经成功地评估了众多知名分组密码算法的安全性，如AES [9]、Midori [10]等，因此有必要进一步评估INLEC算法抵抗中间相遇攻击的能力。

本文利用MILP自动化搜索算法，提出了11轮INLEC的中间相遇分析。通过研究INLEC算法加密过程的各个操作，建立MILP自动化搜索模型，并使用Gurobi进行求解，得到数条5轮的INLEC中间相遇区分器，并选择需要猜测密钥位最少的一条中间相遇区分器，往前添加2轮，往后添加4轮构成11轮的INLEC中间相遇攻击路径，并根据该路径恢复出全部的密钥。整个攻击过程需要时间复杂度为2^115.17次加密，数据复杂度为2⁶¹个选择明文，存储复杂度为2⁸¹个64比特块。本文评估了INLEC抵抗中间相遇攻击的能力，是INLEC的安全性研究的重要补充。

2. 预备知识

2.1. 符号说明

1) $R{C}_i,i\in \left\{1,2,3,\cdots ,14\right\}$ 表示第i轮的轮常数；

2) $K\left\{i\right\},i\in \left\{0,1,\cdots ,127\right\}$ 表示将主密钥K的第i个比特；

3) $X\Vert Y$ 表示$X,Y$ 的级联；

4) $\ll i$ 表示循环向左移动i比特；

5) $R{K}_i,i\in \left\{1,\cdots ,14\right\}$ 表示第i轮的轮密钥；

6) $R{K}_i\left[j\right],i\in \left\{1,\cdots ,14\right\},j\in \left\{0,\cdots ,15\right\}$ 表示第i轮的第j个半字节；

7) ${X^{\prime }}_i,Y_i{}^{\prime },{Z^{\prime }}_i,{W^{\prime }}_i,i\in \left\{9,\cdots ,15\right\}$ 分别表示第i轮的P置换、单元替换、轮密钥加以及列混合之前的中间状态值的第$j$ 位置的状态值；

8) ${X^{\prime }}_i\left[j\right],{Y^{\prime }}_i\left[j\right],{Z^{\prime }}_i\left[j\right],{W^{\prime }}_i\left[j\right],i\in \left\{9,\cdots ,15\right\},j\in \left\{0,\cdots ,15\right\}$ 分别表示第i轮的P置换、单元替换、轮密钥加以及列混合之前的中间状态值；

9) $X_i,Y_i,Z_i,W_i,i\in \left\{1,2,\cdots ,8\right\}$ 分别表示第$i$ 轮的P置换、单元替换、列混合以及轮密钥加之前的中间状态值；

10) $X_i\left[j\right],Y_i\left[j\right],Z_i\left[j\right],W_i\left[j\right],i\in \left\{1,2,\cdots ,8\right\},j\in \left\{0,\cdots ,15\right\}$ 分别表示第i轮的P置换、单元替换、列混合以及轮密钥加之前的中间状态值的第j位置的状态值。

2.2. INLEC算法介绍

INLEC算法采用SPN结构，明文长度为64比特，主密钥长度为128比特，一共15轮。该算法加密过程采用了两个不同的轮函数，分别为F1和F2，其中第1至第8轮采用F1轮函数，第9至第14轮采用F2轮函数，最后一轮仅仅进行P置换和单元替换操作。INLEC两个轮函数所包含的加密操作相同，其中轮函数F1加密操作顺序为P置换、单元替换、列混合、轮密钥加，而轮函数F2则为P置换、单元替换、轮密钥加、列混合。图1为轮函数F1的加密示意图。加密过程中涉及的操作具体定义如下所示。

1) P置换(Permute-Nibble, PN)：将对合置换的应用于中间状态，从而实现对中间状态的重新排序，具体的置换关系如表1所示。

2) 单元替换(SubCell, SC)：SC是一种非线性变换，通常选用S盒来进行该操作，INLEC选取的S盒是4 × 4的S盒，即S盒输入和输出都为4比特，因此将S盒按序应用于密码中间状态的每个单元，记为$x\left[i\right]\to S\left(x\left[i\right]\right)\left(0\le i\le 15\right)$ 。S盒具体如表2所示。

3) 轮密钥加(AddRoundKey, ARK)：将64比特的轮子密钥和密码的中间状态值进行异或。

Figure 1. The round function F1 of INLEC

图1. INLEC加密轮函数F1图

Table 1. Permute-nibble of INLEC algorithm

表1. INLEC的P置换表

Table 2. S-box of INLEC algorithm

表2. INLEC算法的S盒

4) 列混合(MixColumn, MC)：将中间状态矩阵左乘二进制矩阵M，

$M=\left(\begin{array}{cc}0& \begin{array}{ccc}1& 1& 1\end{array}\\ \begin{array}{c}1\\ \begin{array}{c}1\\ 1\end{array}\end{array}& \begin{array}{c}\begin{array}{ccc}0& 1& 1\end{array}\\ \begin{array}{c}\begin{array}{ccc}1& 0& 1\end{array}\\ \begin{array}{ccc}1& 1& 0\end{array}\end{array}\end{array}\end{array}\right)$

2.3. INLEC的密钥编排算法

INLEC的主密钥长度为128比特，记为$IK=k_0\Vert k_1\Vert k_2\Vert \cdots \Vert k_{126}\Vert k_{127}$ 。使用主密钥通过密钥编排算法生成64比特的轮子密钥，具体的密钥编排算法如算法1所示。

算法1. INLEC的密钥编排算法

性质1. 对于给定的S盒，若其非零的输入差分和输出差分分别为$\Delta x$ 和$\Delta y$ ，则平均有一个$x$ 值满足等式$S\left(x\right)\oplus S\left(x\oplus \Delta x\right)=\Delta y$ ，该性质同样适用于$S^{-1}$ 。其中$S^{-1}$ 表示S盒的逆。

3. 11轮的INLEC中间相遇分析

3.1. INLEC的密钥编排方案冗余性研究

根据对INLEC密钥扩展方案的深入研究，可以求得如下性质，这些性质将用于后续的中间相遇的攻击过程当中。

性质2. RK₁₀ [7, 8]可由主密钥K {14, 15, 16, 17, 18, 19, 20, 21, 22, 23}确定；RK₁₁ [0, 1, 2, 3, 4]由主密钥K {6~25}确定，因此RK₁₀ [7, 8]可由RK₁₁ [0, 1, 2, 3, 4]推导而来。

性质3. RK₉ [6]可由主密钥K {122, 123, 124, 125}确定。且由RK₁₀ [1, 2]可由主密钥K {118, 119, 120121, 122, 123, 125, 126, 127}确定，因此可由RK₁₀ [1, 2]推导出RK₉ [6]；RK₉ [9]可由主密钥K {6, 7, 8, 9, 10, 11, 12, 13}确定，RK₁₁ [0, 1, 2]可由主密钥K {6~17}确定，因此则RK₉ [9]可由RK₁₁ [0, 1, 2]推导而来。

性质4. RK₈ [12, 13, 14]可由主密钥K {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13}，且由先前性质可知，RK₁₀[3, 4]和RK₁₁ [0, 1, 2]可推导出主密钥K {0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17}，因此RK₈ [12, 13, 14]可由RK₁₀ [3, 4]和RK₁₁ [0, 1, 2]推导而来。

性质5. RK₁ [9]可由主密钥K {118, 119, 120, 121}确定，RK₁₀ [0, 1, 2]可由主密钥K {116~127}确定，因此RK₁ [9]可由RK₁₀ [0, 1, 2]推导而来。

3.2. INLEC基于MILP的模型

INLEC的轮函数一共有4种操作，分别是P置换、单元替换、列混合和轮密钥加，其中轮密钥加和单元替换部分并不会改变差分传播过程当中的中间状态值，因此在本次建模中轮函数的4种操作不考虑轮密钥加和单元替换这两个操作，仅考虑P置换和列混合的建模。具体的约束条件如下：

1) P置换操作。对于INLEC而言，P置换是基于半字节级别的替换，令$x\left[i\right],y\left[i\right],i\in \left\{0,\cdots ,15\right\}$ 分别表示P置换的输入中间状态和输出中间状态，具体如公式(1)所示。

$\begin{array}{c}\{\begin{array}{l}x\left[0\right]-y\left[13\right]=0\hfill \\ x\left[1\right]-y\left[8\right]=0\hfill \\ x\left[2\right]-y\left[7\right]=0\hfill \\ x\left[3\right]-y\left[3\right]=0\hfill \\ x\left[4\right]-y\left[10\right]=0\hfill \\ x\left[5\right]-y\left[5\right]=0\hfill \\ x\left[6\right]-y\left[12\right]=0\hfill \\ x\left[7\right]-y\left[2\right]=0\hfill \end{array}\{\begin{array}{l}x\left[8\right]-y\left[1\right]=0\hfill \\ x\left[9\right]-y\left[14\right]=0\hfill \\ x\left[10\right]-y\left[4\right]=0\hfill \\ x\left[11\right]-y\left[11\right]=0\hfill \\ x\left[12\right]-y\left[6\right]=0\hfill \\ x\left[13\right]-y\left[0\right]=0\hfill \\ x\left[14\right]-y\left[9\right]=0\hfill \\ x\left[15\right]-y\left[15\right]=0\hfill \end{array}\end{array}$ (1)

2) 列混合运算。假设，$x\left[i\right],y\left[i\right],i\in \left\{0,\cdots ,15\right\}$ 分别是列混合过程的输入中间状态以及输出中间状态，则列混合的变换如公式(2)所示：

$\begin{array}{c}\left(\begin{array}{cc}y\left[0\right]& \begin{array}{ccc}y\left[4\right]& y\left[8\right]& y\left[12\right]\end{array}\\ \begin{array}{c}y\left[1\right]\\ \begin{array}{c}y\left[2\right]\\ y\left[3\right]\end{array}\end{array}& \begin{array}{c}\begin{array}{ccc}y\left[5\right]& y\left[9\right]& y\left[13\right]\end{array}\\ \begin{array}{c}\begin{array}{ccc}y\left[6\right]& y\left[10\right]& y\left[14\right]\end{array}\\ \begin{array}{ccc}y\left[7\right]& y\left[11\right]& y\left[15\right]\end{array}\end{array}\end{array}\end{array}\right)=\left(\begin{array}{cc}0& \begin{array}{ccc}1& 1& 1\end{array}\\ \begin{array}{c}1\\ \begin{array}{c}1\\ 1\end{array}\end{array}& \begin{array}{c}\begin{array}{ccc}0& 1& 1\end{array}\\ \begin{array}{c}\begin{array}{ccc}1& 0& 1\end{array}\\ \begin{array}{ccc}1& 1& 0\end{array}\end{array}\end{array}\end{array}\right)\left(\begin{array}{cc}x\left[0\right]& \begin{array}{ccc}x\left[4\right]& x\left[8\right]& x\left[12\right]\end{array}\\ \begin{array}{c}x\left[1\right]\\ \begin{array}{c}x\left[2\right]\\ x\left[3\right]\end{array}\end{array}& \begin{array}{c}\begin{array}{ccc}x\left[5\right]& x\left[9\right]& x\left[13\right]\end{array}\\ \begin{array}{c}\begin{array}{ccc}x\left[6\right]& x\left[10\right]& x\left[14\right]\end{array}\\ \begin{array}{ccc}x\left[7\right]& x\left[11\right]& x\left[15\right]\end{array}\end{array}\end{array}\end{array}\right)\end{array}$ (2)

因此使用公式(3)来描述列混合运算的加密过程。

$\{\begin{array}{l}3y\left[0\right]-x\left[1\right]-x\left[2\right]-x\left[3\right]\ge 0\hfill \\ x\left[1\right]+x\left[2\right]+x\left[3\right]-y\left[0\right]\ge 0\hfill \\ 3y\left[1\right]-x\left[0\right]-x\left[2\right]-x\left[3\right]\ge 0\hfill \\ x\left[0\right]+x\left[2\right]+x\left[3\right]-y\left[1\right]\ge 0\hfill \\ 3y\left[2\right]-x\left[0\right]-x\left[1\right]-x\left[3\right]\ge 0\hfill \\ x\left[0\right]+x\left[1\right]+x\left[3\right]-y\left[2\right]\ge 0\hfill \\ 3y\left[3\right]-x\left[0\right]-x\left[1\right]-x\left[2\right]\ge 0\hfill \\ x\left[0\right]+x\left[1\right]+x\left[2\right]-y\left[3\right]\ge 0\hfill \\ 3y\left[4\right]-x\left[5\right]-x\left[6\right]-x\left[7\right]\ge 0\hfill \\ x\left[5\right]+x\left[6\right]+x\left[7\right]-y\left[4\right]\ge 0\hfill \\ 3y\left[5\right]-x\left[4\right]-x\left[6\right]-x\left[7\right]\ge 0\hfill \\ x\left[4\right]+x\left[6\right]+x\left[7\right]-y\left[5\right]\ge 0\hfill \\ 3y\left[6\right]-x\left[4\right]-x\left[5\right]-x\left[7\right]\ge 0\hfill \\ x\left[4\right]+x\left[5\right]+x\left[7\right]-y\left[6\right]\ge 0\hfill \\ 3y\left[7\right]-x\left[4\right]-x\left[5\right]-x\left[6\right]\ge 0\hfill \\ x\left[4\right]+x\left[5\right]+x\left[6\right]-y\left[7\right]\ge 0\hfill \end{array}\{\begin{array}{l}3y\left[8\right]-x\left[9\right]-x\left[10\right]-x\left[11\right]\ge 0\hfill \\ x\left[9\right]+x\left[10\right]+x\left[11\right]-y\left[8\right]\ge 0\hfill \\ 3y\left[9\right]-x\left[8\right]-x\left[10\right]-x\left[11\right]\ge 0\hfill \\ x\left[8\right]+x\left[10\right]+x\left[11\right]-y\left[9\right]\ge 0\hfill \\ 3y\left[10\right]-x\left[8\right]-x\left[9\right]-x\left[11\right]\ge 0\hfill \\ x\left[8\right]+x\left[9\right]+x\left[11\right]-y\left[10\right]\ge 0\hfill \\ 3y\left[11\right]-x\left[8\right]-x\left[9\right]-x\left[10\right]\ge 0\hfill \\ x\left[8\right]+x\left[9\right]+x\left[10\right]-y\left[11\right]\ge 0\hfill \\ 3y\left[12\right]-x\left[13\right]-x\left[14\right]-x\left[15\right]\ge 0\hfill \\ x\left[13\right]+x\left[14\right]+x\left[15\right]-y\left[12\right]\ge 0\hfill \\ 3y\left[13\right]-x\left[14\right]-x\left[15\right]-x\left[12\right]\ge 0\hfill \\ x\left[12\right]+x\left[14\right]+x\left[15\right]-y\left[13\right]\ge 0\hfill \\ 3y\left[14\right]-x\left[12\right]-x\left[13\right]-x\left[15\right]\ge 0\hfill \\ x\left[12\right]+x\left[13\right]+x\left[15\right]-y\left[14\right]\ge 0\hfill \\ 3y\left[15\right]-x\left[12\right]-x\left[13\right]-x\left[14\right]\ge 0\hfill \\ x\left[12\right]+x\left[13\right]+x\left[14\right]-y\left[15\right]\ge 0\hfill \end{array}$ (3)

3) 差分状态的约束。假设$IC\left[i\right],i\in \left\{0,\cdots ,15\right\}$ 为加密方向的状态差分，$OC\left[i\right],i\in \left\{0,\cdots ,15\right\}$ 为解密方向的状态差分，$DL\left[i\right],i\in \left\{0,\cdots ,15\right\}$ 为$IC\left[i\right]$ 和$OC\left[i\right]$ 的交集，根据上述的描述，由于无需对轮密钥加和单元替换进行建模，因此每轮的INLEC的差分状态同样可以分成3个部分，分别是每轮的输入差分状态，经过P置换后的差分状态以及经过列混合之后的差分状态，具体如公式(4)所示。

3.3. 基于MILP的中间相遇区分器搜索算法

本文采用Demirci和Selçuk提出的中间相遇攻击方式。该分析方法具体为将加密算法分成了三个部分，即$E_0,E_1,E_2$ ，它们相对应的部分密钥分别为$k_0,k_1,k_2$ 。在离线阶段，在中间的$E_1$ 部分构建多轮的区分器，并且计算出中间状态的有序序列值，猜测$k_0,k_2$ 的部分值来进行部分加密和解密，如果求解出来的中间值与计算表中的值匹配，则猜测的可能正确。具体的攻击过程如图2所示。

Figure 2. DS-MITM attack process

图2. DS-MITM攻击过程

$\{\begin{array}{l}IC\left[0\right]-DL\left[0\right]\ge 0\hfill \\ OC\left[0\right]-DL\left[0\right]\ge 0\hfill \\ DL\left[0\right]-OC\left[0\right]-IC\left[0\right]\ge -1\hfill \\ IC\left[1\right]-DL\left[1\right]\ge 0\hfill \\ OC\left[1\right]-DL\left[1\right]\ge 0\hfill \\ DL\left[1\right]-OC\left[1\right]-IC\left[1\right]\ge -1\hfill \\ IC\left[2\right]-DL\left[2\right]\ge 0\hfill \\ OC\left[2\right]-DL\left[2\right]\ge 0\hfill \\ DL\left[2\right]-OC\left[2\right]-IC\left[2\right]\ge -1\hfill \\ IC\left[3\right]-DL\left[3\right]\ge 0\hfill \\ OC\left[3\right]-DL\left[3\right]\ge 0\hfill \\ DL\left[3\right]-OC\left[3\right]-IC\left[3\right]\ge -1\hfill \\ IC\left[4\right]-DL\left[4\right]\ge 0\hfill \\ OC\left[4\right]-DL\left[4\right]\ge 0\hfill \\ DL\left[4\right]-OC\left[4\right]-IC\left[4\right]\ge -1\hfill \\ IC\left[5\right]-DL\left[5\right]\ge 0\hfill \end{array}\{\begin{array}{l}OC\left[5\right]-DL\left[5\right]\ge 0\hfill \\ DL\left[5\right]-OC\left[5\right]-IC\left[5\right]\ge -1\hfill \\ IC\left[6\right]-DL\left[6\right]\ge 0\hfill \\ OC\left[6\right]-DL\left[6\right]\ge 0\hfill \\ DL\left[6\right]-OC\left[6\right]-IC\left[6\right]\ge -1\hfill \\ IC\left[7\right]-DL\left[7\right]\ge 0\hfill \\ OC\left[7\right]-DL\left[7\right]\ge 0\hfill \\ DL\left[7\right]-OC\left[7\right]-IC\left[7\right]\ge -1\hfill \\ IC\left[8\right]-DL\left[8\right]\ge 0\hfill \\ OC\left[8\right]-DL\left[8\right]\ge 0\hfill \\ DL\left[8\right]-OC\left[8\right]-IC\left[8\right]\ge -1\hfill \\ IC\left[9\right]-DL\left[9\right]\ge 0\hfill \\ OC\left[9\right]-DL\left[9\right]\ge 0\hfill \\ DL\left[9\right]-OC\left[9\right]-IC\left[9\right]\ge -1\hfill \\ IC\left[10\right]-DL\left[10\right]\ge 0\hfill \\ OC\left[10\right]-DL\left[10\right]\ge 0\hfill \end{array}\{\begin{array}{l}DL\left[10\right]-OC\left[10\right]-IC\left[10\right]\ge -1\hfill \\ IC\left[11\right]-DL\left[11\right]\ge 0\hfill \\ OC\left[11\right]-DL\left[11\right]\ge 0\hfill \\ DL\left[11\right]-OC\left[11\right]-IC\left[11\right]\ge -1\hfill \\ IC\left[12\right]-DL\left[12\right]\ge 0\hfill \\ OC\left[12\right]-DL\left[12\right]\ge 0\hfill \\ DL\left[12\right]-OC\left[12\right]-IC\left[12\right]\ge -1\hfill \\ IC\left[13\right]-DL\left[13\right]\ge 0\hfill \\ OC\left[13\right]-DL\left[13\right]\ge 0\hfill \\ DL\left[13\right]-OC\left[13\right]-IC\left[13\right]\ge -1\hfill \\ IC\left[14\right]-DL\left[14\right]\ge 0\hfill \\ OC\left[14\right]-DL\left[14\right]\ge 0\hfill \\ DL\left[14\right]-OC\left[14\right]-IC\left[14\right]\ge -1\hfill \\ IC\left[15\right]-DL\left[15\right]\ge 0\hfill \\ OC\left[15\right]-DL\left[15\right]\ge 0\hfill \\ DL\left[15\right]-OC\left[15\right]-IC\left[15\right]\ge -1\hfill \end{array}$ (4)

本文首先采用3.2小节中所建立的INLEC的模型，并且结合INLEC自动化搜索中间相遇区分器算法，即算法2生成自动化搜索模型，并采用相应的求解器进行求解，最终得到数条5轮的中间相遇区分器。对搜索到的中间相遇区分器分别往前和往后添加若干轮形成相应的攻击路径，记录下各个区分器所能攻击到的最长轮数和相应复杂度的情况，构成有序序列所需的半字节个数等等信息，最终对这些区分器进行筛选，选取出攻击效果最好的区分器作为本次攻击采用的区分器，表3中列出了搜索到的效果最好的4条中间相遇区分器的具体情况。根据表3的内容可知${\Delta }_1$ 的效果最好，因此选取${\Delta }_1$ 为本文中间相遇攻击的区分器。

算法2. INLEC自动化搜索中间相遇区分器算法

续表

Table 3. IVLBC meet-in-the-middle distinguishers (part)

表3. 搜索到的部分INLEC中间相遇区分器(部分)

在表3中0表示该半字节的差分为零，1则表示差分为非零，$0_{\left(i\right)}$ 表示连续i个比特为0。

3.4. 5轮的INLEC中间相遇区分器

根据上一小节中的描述，选取表3中的${\Delta }_1$ 作为本次中间相遇攻击的区分器，该区分器的具体情况如图3所示。为了描述搜索到的区分器，需要定义一个$\delta$ 集，记为$\left(W_2\left(0\right),W_2\left(1\right),\cdots ,W_2\left(2^8-1\right)\right)$ ，选取其中33个$W_i\left(i\right),i\in \left\{0,\cdots ,32\right\}$ ，经过5轮的INLEC加密过后得到相应的有序序列。如果该集合中该集合中有一个元素满足图3所示的截断差分，则该有序序列共$2^{80}$ 个值。将这些有序序列存放在一个预计算表$H_0$ 中。该5轮中间相遇区分器的性质如下：

性质6 将$W_2\left[0,15\right]$ 处的$\delta$ 集$\left(W_2\left(0\right),W_2\left(1\right),\cdots ,W_2\left(2^8-1\right)\right)$ 进行5轮的INLEC部分加密，如果该集合中有一个满足图3所示的截断差分特征，则与该$\delta$ 集相关的有序序列$\Delta Z_8\left[15\right]$ 的可能性为$2^{80}$ 个，由$Y_3\left[13,15\right],Y_4\left[0,6,9,15\right],\Delta Z_8\left[15\right],Z_8\left[15\right],Z_7\left[12,13,14\right],Z_6\left[1~5,7,8,10,11\right]$ 共计20个半字节确定。

证明：根据$\Delta W_2\left[0,15\right]$ 已知，可以推导出$\Delta Y_3\left[13,15\right]$ 的值，并猜测$Y_3\left[13,15\right]$ 的值，可以计算出$\Delta Z_3\left[13,15\right]$ 以及$Z_3\left[13,15\right]$ 的值。由于轮密钥加和列混合是线性操作不会改变中间状态的差分值，所以可以推导出$\Delta Y_4\left[0,6,9,15\right]$ 的值，类似地猜测$Y_4\left[0,6,9,15\right]$ 的值，可以推导出$\Delta Z_4\left[0,6,9,15\right]$ 和$Z_4\left[0,6,9,15\right]$ 的值，随后可以计算出$\Delta Y_5\left[0~11\right]$ 的值。然后从输出端进行反向推导，猜测$\Delta Z_8\left[15\right],Z_8\left[15\right]$ ，由此根据性质1可以推导出$\Delta X_8\left[15\right]$ ，随后猜测$Z_7\left[12,13,14\right]$ 的值，可以推导出$Y_7\left[12,13,14\right]$ 和$\Delta Y_7\left[12,13,14\right]$ 的值，再继续往前计算可以求出$\Delta Z_6\left[1~5,7,8,10,11\right]$ 的值，继续猜测$Z_6\left[1~5,7,8,10,11\right]$ 的值，所以可以推导出$\Delta Z_5\left[0~11\right]$ 的值。根据性质1，平均可以得到一个值$X$ 满足$\Delta Z_5\left[0~11\right]=S\left(X\right)\oplus S\left(\Delta Y_5\left[0~11\right]\oplus X\right)$ ，证毕。

Figure 3. 5-Round meet in the middle distinguisher

图3. 5轮INLEC中间相遇区分器

3.5. 11轮的INLEC中间相遇攻击过程

在图3所示的5轮中间相遇区分器的基础上往前添加2轮，往后添加4轮，构成11轮的INLEC中间相遇攻击路径，该路径具体情况如图4所示。整个攻击包含预计算阶段和在线阶段两部分，其中预计算阶段通过构建预计算表来方便在线阶段提取相对应的密钥。

3.5.1. 预计算阶段

构建一个预计算表$H_0$ 来存储$2^{80}$ 个有序序列$\Delta Z_8\left[15\right]$ 的值。并且还对分析轮当中的部分轮数建立起预计算表，以便在线阶段获得相关的轮子密钥，降低攻击的时间复杂度。

1) 表$H_1\left\{R{K}_{11}\left[3,7,8,13\right]\right\}$ ：猜测$\Delta {W^{\prime }}_{10}\left[1,2,3\right]$ 和${X^{\prime }}_{11}\left[0,1,2,3\right]$ 的全部$2^{28}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{11}\left[0,1,2,3\right]$ ，${Y^{\prime }}_{11}\left[3,7,8,13\right]$ ，$\Delta {Y^{\prime }}_{11}\left[3,7,8,13\right],{Z^{\prime }}_{11}\left[3,7,8,13\right],\Delta {W^{\prime }}_{11}\left[3,7,8,13\right],{W^{\prime }}_{10}\left[1,2,3\right]$ ，以$\Delta {W^{\prime }}_{11}\left[3,7,8,13\right]$ 为索引，将$\Delta {W^{\prime }}_{10}\left[1,2,3\right]\Vert {W^{\prime }}_{10}\left[1,2,3\right]\Vert {Z^{\prime }}_{11}\left[3,7,8,13\right]$ 存储在$H_1$ 中。表$H_1$ 中有$2^{16}$ 行，平均每行有$2^{12}$ 个值。

Figure 4. 11 rounds of meet-in-the-middle attack process

图4. 11轮INLEC中间相遇攻击过程

2) 表$H_2\left\{R{K}_{11}\left[2,5,10,12\right]\right\}$ ：猜测$\Delta {W^{\prime }}_{10}\left[4,5,7\right]$ 和${X^{\prime }}_{11}\left[4,5,6,7\right]$ 的全部$2^{28}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{11}\left[4,5,6,7\right]$ ，${Y^{\prime }}_{11}\left[2,5,10,12\right]$ ，$\Delta {Y^{\prime }}_{11}\left[2,5,10,12\right],{Z^{\prime }}_{11}\left[2,5,10,12\right],\Delta {W^{\prime }}_{11}\left[2,5,10,12\right],{W^{\prime }}_{10}\left[4,5,7\right]$ 以 $\Delta {W^{\prime }}_{11}\left[2,5,10,12\right]$ 为索引，将$\Delta {W^{\prime }}_{10}\left[4,5,7\right]\Vert {W^{\prime }}_{10}\left[4,5,7\right]\Vert {Z^{\prime }}_{11}\left[2,5,10,12\right]$ 存储在$H_2$ 中。表$H_2$ 中有$2^{16}$ 行，平均每行有$2^{12}$ 个值。

3) 表$H_3\left\{R{K}_{11}\left[1,4,11,14\right]\right\}$ ：猜测$\Delta {W^{\prime }}_{10}\left[8,10,11\right]$ 和${X^{\prime }}_{11}\left[8,9,10,11\right]$ 的全部$2^{28}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{11}\left[8,9,10,11\right]$ ，${Y^{\prime }}_{11}\left[1,4,11,14\right]$ ，$\Delta {Y^{\prime }}_{11}\left[1,4,11,14\right],{Z^{\prime }}_{11}\left[1,4,11,14\right],\Delta {W^{\prime }}_{11}\left[1,4,11,14\right],{W^{\prime }}_{10}\left[8,10,11\right],$ 以 $\Delta {W^{\prime }}_{11}\left[1,4,11,14\right]$ 为索引，将$\Delta {W^{\prime }}_{10}\left[8,10,11\right]\Vert {W^{\prime }}_{10}\left[8,10,11\right]\Vert {Z^{\prime }}_{11}\left[1,4,11,14\right]$ 存储在$H_3$ 中。表$H_3$ 中有$2^{16}$ 行，平均每行有$2^{12}$ 个值。

4) 表$H_4\left\{R{K}_{10}\left[2,5,10\right]\right\}$ ：猜测$\Delta {W^{\prime }}_9\left[6\right]$ 和${X^{\prime }}_{10}\left[4,5,7\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{10}\left[4,5,7\right]$ ，${Y^{\prime }}_{10}\left[2,5,10\right]$ ，$\Delta {Y^{\prime }}_{10}\left[2,5,10\right],{Z^{\prime }}_{10}\left[2,5,10\right],\Delta {W^{\prime }}_{10}\left[2,5,10\right],{W^{\prime }}_9\left[6\right]$ 以$\Delta {W^{\prime }}_{10}\left[2,5,10\right]$ 为索引，将 $\Delta {W^{\prime }}_9\left[6\right]\Vert {W^{\prime }}_9\left[6\right]\Vert {Z^{\prime }}_{10}\left[2,5,10\right]$ 存储在$H_4$ 中。表$H_4$ 中有$2^{12}$ 行，平均每行有$2^4$ 个值。

5) 表$H_5\left\{R{K}_{10}\left[1,4,11\right]\right\}$ ：猜测$\Delta {W^{\prime }}_9\left[9\right]$ 和${X^{\prime }}_{10}\left[8,10,11\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{10}\left[8,10,11\right]$ ，${Y^{\prime }}_{10}\left[1,4,11\right]$ ，$\Delta {Y^{\prime }}_{10}\left[1,4,11\right],{Z^{\prime }}_{10}\left[1,4,11\right],\Delta {W^{\prime }}_{10}\left[1,4,11\right],{W^{\prime }}_9\left[9\right],$ 以$\Delta {W^{\prime }}_{10}\left[1,4,11\right]$ 为索引，将 $\Delta {W^{\prime }}_9\left[9\right]\Vert {W^{\prime }}_9\left[9\right]\Vert {Z^{\prime }}_{10}\left[1,4,11\right]$ 存储在$H_5$ 中。表$H_5$ 中有$2^{12}$ 行，平均每行有$2^4$ 个值。

6) 表$H_6\left\{R{K}_{10}\left[3,7,8\right]\right\}$ ：猜测$\Delta {W^{\prime }}_9\left[0\right]$ 和${X^{\prime }}_{10}\left[1,2,3\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta {X^{\prime }}_{10}\left[1,2,3\right]$ ，${Y^{\prime }}_{10}\left[3,7,8\right]$ ，$\Delta {Y^{\prime }}_{10}\left[3,7,8\right],{Z^{\prime }}_{10}\left[3,7,8\right],\Delta {W^{\prime }}_{10}\left[3,7,8\right],{W^{\prime }}_9\left[0\right]$ ，以$\Delta {W^{\prime }}_{10}\left[3,7,8\right]$ 和${Z^{\prime }}_{10}\left[7,8\right]$ 为索引，将 $\Delta {W^{\prime }}_9\left[0\right]\Vert {W^{\prime }}_9\left[0\right]\Vert {Z^{\prime }}_{10}\left[7,8\right]$ 存储在$H_6$ 中。表$H_6$ 中有$2^{20}$ 行，平均每$2^4$ 行有1个值。

7) 表$H_7\left\{R{K}_9\left[0,6,9\right]\right\}$ ：猜测$\Delta {X^{\prime }}_9\left[12,13,14\right]$ 和${X^{\prime }}_9\left[12,13,14\right]$ 的全部$2^{24}$ 个可能值，由此计算出${Y^{\prime }}_9\left[0,6,9\right]$ ，$\Delta {Y^{\prime }}_9\left[0,6,9\right],{Z^{\prime }}_9\left[0,6,9\right],\Delta {W^{\prime }}_9\left[0,6,9\right],W_8\left[12,13,14\right]$ ，以$\Delta {W^{\prime }}_9\left[0,6,9\right]$ 和${Z^{\prime }}_9\left[6,9\right]$ 。为索引，将 $\Delta {X^{\prime }}_9\left[12,13,14\right]\Vert \Delta W_8\left[12,13,14\right]\Vert {Z^{\prime }}_9\left[0,6,9\right]\Vert {X^{\prime }}_9\left[12,13,14\right]$ 存储在$H_7$ 中。表$H_7$ 中有$2^{20}$ 行，平均每行有$2^4$ 个值。

8) 表$H_8\left\{R{K}_8\left[12,13,14\right]\right\}$ ：猜测$\Delta Z_8\left[15\right]$ 和$W_8\left[12,13,14\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta X_9^{\text{'}}\left[12,13,14\right],\Delta W_8\left[12,13,14\right],$ 以$W_8\left[12,13,14\right]$ 和$\Delta X_9^{\text{'}}\left[12,13,14\right]$ 为索引，将$W_8\left[12,13,14\right]$ 存储在$H_8$ 中。表$H_8$ 中有$2^{24}$ 。行，平均每$2^8$ 行有1个值。

9) 表$H_9\left\{R{K}_1\left[3,7,8\right]\right\}$ ：猜测$\Delta W_2\left[0\right]$ 和$Z_2\left[1,2,3\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta X_2\left[3,7,8\right]$ ，$X_2\left[3,7,8\right]$ ，$\Delta Y_2\left[1,2,3\right],W_2\left[0\right],\Delta W_1\left[3,7,8\right]$ 以$\Delta W_1\left[3,7,8\right]$ 为索引，将$X_2\left[3,7,8\right]\Vert \Delta W_2\left[0\right]\Vert W_2\left[0\right]$ 存储在$H_9$ 中。表$H_9$ 中有$2^{12}$ 行，平均每行有$2^4$ 个值。

10) 表$H_{10}\left\{R{K}_1\left[0,6,9\right]\right\}$ ：猜测$\Delta W_2\left[15\right]$ 和$Z_2\left[12,13,14\right]$ 的全部$2^{16}$ 个可能值，由此计算出$\Delta X_2\left[0,6,9\right]$ ，$X_2\left[0,6,9\right]$ ，$\Delta Y_2\left[12,13,14\right],W_2\left[15\right],\Delta W_1\left[0,6,9\right]$ ，和$X_2\left[9\right]$ 为索引，将$X_2\left[0,6,9\right]\Vert \Delta W_2\left[15\right]\Vert W_2\left[15\right]$ 存储在$H_{10}$ 中。表$H_{10}$ 中有$2^{16}$ 行，平均每行有1个值。

3.5.2. 在线阶段

本节中构成的中间相遇攻击路径的概率为$2^{-108}$ ，具体分析如下：第一，差分$\Delta Z_5\left[0~11\right]$ 经过列混淆操作之后生成了$\Delta W_5\left[1~5,7,8,10,11\right]$ (记作$\Delta Z_5\left[0~11\right]\to \Delta W_5\left[1~5,7,8,10,11\right]$ )，该操作的概率，大小为$2^{-12}$ ；第二，当$\Delta Z_6\left[1~5,7,8,10,11\right]\to \Delta W_6\left[0,6,9\right]$ 时产生的概率大小为$2^{-36}$ ；第三，当$\Delta Z_7\left[12,13,14\right]\to \Delta W_7\left[15\right]$ 时，所产生的概率为$2^{-12}$ ；第四，当$\Delta Z_2\left[1,2,3,12,13,15\right]\to \Delta W_2\left[0,15\right]$ 时，所产生的概率为$2^{-24}$ ；第五，当$\Delta Z_1\left[0~11\right]\to \Delta W_1\left[0,3,6,7,8,9\right]$ 时，所产生的概率为$2^{-24}$ 。因此，该截断差分特征所对应的概率大小为$2^{-12-36-12-24-24}=2^{-108}$ 。

为了找到正确的消息对，推导出使其满足每对截断差分特征的轮子密钥。然后根据$\delta$ 集，计算得到有序序列$\Delta X_8\left[15\right]$ 的值，并判断该序列是否与预计算阶段构建的表$H_0$ 内的条目匹配。在线阶段的攻击过程描述如下：

1. 定义一个包含$2^{48}$ 个明文的结构，其中$X_1\left[1,2,3,4,5,7,8,10,11,12,13,14\right]$ 取所有可能的$2^{48}$ 个值，其余的4个半字节被固定为一些常量。因此，一个结构可以生成$2^{48}\times \left(2^{48}-1\right)/2\approx 2^{95}$ 个明文对，且每个对都满足明文差分。现需使用$2^{13}$ 个这样的结构来生成$2^{95}\times 2^{13}=2^{108}$ 个明文对。在这$2^{108}$ 个明文对中，约有1个明文对满足其截断差分特征，因为该截断差分特征的概率为$2^{-108}$ 。

2. 对选择的$2^{108}$ 个明文对进行加密并且筛选出满足${W^{\prime }}_{11}\left[0,6,9,15\right]$ 这4个位置为固定值的密文对，由此共有$2^{108-16}=2^{92}$ 个明密文对，利用这些密文对来计算出密文对差分值；同时对明文对继续进行筛选，筛选出满足$W_1\left[1,2,4,5,10,11\right]$ 这6个位置为固定值的明文对，最后共有$2^{92-24}=2^{68}$ 个明密文对。然后对这些明文–密文对执行以下的操作，来恢复可能的候选密钥。