问在加密系统中设置后门的最佳方法是什么？

EN

Schneier的"分组密码分析的自学课程“是一个优秀的资源，您正在寻找的东西。特别是，费尔-4是一种很有前途的密码，因为它几乎每一种密码分析技术都是可以破解的。

当您浏览Schneier的课程(或者查看一般的密码分析研究)时，您会注意到一件事，那就是很多时候，通过减少轮数来限制分组密码是有帮助的。足够少的轮数，并且每个分组密码都可能是易碎的。这会教你很多。

一旦您熟悉了标准的密码分析技术，想出一个可以破解的密码就不难了(在这里，您将知道如何破解它)。

您在这里提出了两个不同的问题: Q1:如何在分组密码中放置陷门；Q2:块密码的示例，它们有利于学习分组密码分析。@mikeazo很好地回答了Q2问题。我将回答问题Q1。

有关如何将隐藏后门(陷阱门)放置在分组密码中的示例，请参阅以下研究论文：

• 一个陷阱密码家族，Vincent和Bart Preneel，FSE，1997年。

注意:我并不是说这是学习分组密码分析的好方法。

沃伦·史密斯( Warren )的这份手稿声称勾勒出了一种使用陷门的分组密码(否则非常好)的方法。

其思想如下:线性密码分析让你对S盒进行线性近似，然后通过获取大量样本(已知的明文对)来求解含噪声的方程组。但是，如果你知道一些附加的(难以计算的)性质，比如它相关的线性码的最小距离，这个线性方程组显然可以更容易地求解。此外，由于线性系统只是密码的近似值，所以它并不是唯一的密码。这意味着你只需要找到一个线性近似，它的最小距离足够小。

因此，要构建带有陷阱门的分组密码(显然)，您需要反向工作。找出一个(已知的)最小距离的线性系统。找出线性系统给出一个很好的近似的“随机”S盒，并将它们用于实际的密码。如果S盒看起来是随机的，你可以想象得到一个对已知的密码分析方法(例如线性，微分)有抵抗力的分组密码。

不管怎样，这就是报纸所声称的。我还没有仔细阅读过它的细节，所以不要把它看作是对索赔的完全认可。在我看来，声称的结果是非常重要的，然而这篇论文还没有发表，而且几乎没有被引用。这可能是一个迹象，有一些严重的缺陷，我真的不知道。