流密码与分组密码

流密码 (Stream Ciphers)

原理：模仿 OTP，用 PRG 生成密钥流 (Keystream)。 $c_{i} = m_{i} \oplus G (k)_{i}$ 。
实例：
- LFSR (线性反馈移位寄存器)：硬件效率高，但线性特性导致其本身不安全（Berlekamp-Massey 算法可还原）。通常组合使用（如 A5/1）。
- RC4：软件效率高，但存在统计偏差（前几个字节偏差），已不再安全。
关键忌讳：绝对不能使用相同的 nonce/key 对不同的消息进行加密（会导致 Two-time pad 攻击）。

原理：利用线性递推关系生成伪随机序列。 $s_{i + n} = c_{n - 1} s_{i + n - 1} \oplus \dots \oplus c_{0} s_{i}$ 。
安全性：单独使用是不安全的。因为其生成过程是线性的，已知 $2 n$ 位输出即可通过 Berlekamp-Massey 算法还原初始状态。
应用：通常作为构建块，通过非线性组合（如 GSM 中的 A5/1）来提升安全性。

Feistel 网络 (DES使用)
- 将块分为左右两半 $L_{i - 1}, R_{i - 1}$ 。
- 迭代： $L_{i} = R_{i - 1}, R_{i} = L_{i - 1} \oplus f (R_{i - 1}, k_{i})$ 。
- 优点：轮函数 $f$ 不需要是可逆的，解密电路与加密电路几乎相同（仅密钥顺序相反）。
- 不能并行计算，线性
SP 网络 (AES使用)
- 代换-置换网络 (Substitution-Permutation Network)。
- 每一轮包含 S-Box（代换）和 P-Box（置换/混合）。
- 特点：S-Box 必须是可逆的（为了解密）。并行性通常优于 Feistel。