Đề xuất S - Hộp có tính chất mật mã tốt cho hoán vị của hàm băm keccak

Journal of Science and Technology on Information security 
32 No 1.CS (11) 2020 
Đề xuất S-hộp có tính chất mật mã tốt cho 
hoán vị của hàm băm Keccak 
Nguyễn Văn Long, Lê Duy Đức
Tóm tắt—Keccak là hàm băm giành được chiến 
thắng trong cuộc thi SHA-3 của Viện Tiêu chuẩn 
và Công nghệ Mỹ (NIST) tổ chức. Có nhiều tấn 
công thám mã khai thác bậc đại số thấp trong hoán 
vị của hàm băm này. Chính những kết quả này mà 
nhóm tác giả thiết kế Keccak đã tăng số vòng từ 18 
lên 24 trong hoán vị của nó. Trên cơ sở đó, bài báo 
tập trung phân tích tính chất đại số của hoán vị 
Keccak-f trong hàm băm này, sau đó đề xuất một 
thành phần S-hộp mới có tính chất mật mã tốt để 
sử dụng trong hoán vị của hàm băm Keccak. 
Abstract—Keccak is the winner of the SHA-3 
competition of National Institute of Standards and 
Technology (NIST). There are many cryptographic 
attacks that exploit the low algebraic degree in 
permutation of this hash function. Due to these results, 
the Keccak design team increased the number of 
rounds from 18 to 24 in its permutation. On that basis, 
the paper focuses on analyzing the algebraic properties 
of the Keccak-f permutation in this hash function, then 
proposes a new S-box with good cryptographic 
properties used in Keccak’s permutation. 
Từ khóa—Keccak; S-hộp; bậc đại số; SHA-3; tấn công 
phân biệt. 
Keywords—Keccak; S-box; algebraic degree; SHA3; 
distinguishing attack. 
I. GIỚI THIỆU 
Cuộc thi tuyển chọn hàm băm SHA-3 do 
NIST tổ chức bắt đầu từ tháng 11/2007, kết thúc 
vào tháng 10/2012. Cuộc thi diễn ra trong 3 vòng 
với sự tham gia của 64 hàm băm dự tuyển. Sau 
khi kết thúc cuộc thi, Keccak là hàm băm chiến 
thắng và được lựa chọn để xây dựng chuẩn hàm 
băm mới SHA-3 của NIST. Chuẩn được công bố 
năm 2015 với tên gọi FIPS 202 [1]. 
Bài báo được nhận ngày 30/6/2020. Bài báo được nhận xét bởi 
phản biện thứ nhất ngày 03/8/2020 và được chấp nhận đăng 
ngày 03/8/2020. Bài báo được nhận xét bởi phản biện thứ hai 
ngày 11/7/2020 và được chấp nhận đăng ngày 29/8/2020. 
Ngay từ khi được đề xuất, Keccak đã nhận 
được sự quan tâm của cộng đồng mật mã quốc tế. 
Một trong những lý do được quan tâm là cấu trúc 
thiết kế của hàm băm này dựa trên kiến trúc 
Sponge, đạt được độ an toàn chứng minh được 
một cách rõ ràng. Hơn nữa, các thành phần mật 
mã bên trong Keccak tạo nhiều lợi thế trong cài 
đặt trên nhiều nền tảng khác nhau. Đến nay, đã 
có hàng trăm công trình nghiên cứu về các tính 
chất cũng như thám mã lên hàm băm này, hầu 
như tất cả các nghiên cứu được nhóm thiết kế 
công bố và cập nhật thường xuyên trên website 
chính thức của hàm băm Keccak 
(https://keccak.team/keccak.html). 
Trong số các hướng nghiên cứu lên Keccak, 
nhóm tác giả đặc biệt quan tâm đến các kết quả 
đánh giá tính chất của hoán vị Keccak-f của 
nhóm tác giả C. Boura và cộng sự [2]-[5]. Công 
trình nghiên cứu của nhóm tác giả này khai thác 
tính chất tổng bằng không (zezo-sum property) 
trên cơ sở đạo hàm bậc cao, từ đó cho phép đánh 
giá tính chất phân biệt qua các vòng của hoán vị. 
Chính kết quả của nhóm nghiên cứu này mà các 
nhà thiết kế hàm băm Keccak đã quyết định tăng 
số vòng của hoán vị lên 24 thay vì 18 như đề xuất 
ban đầu. 
Nghiên cứu đầu tiên theo hướng khai thác tính 
chất tổng bằng không là của nhóm J. Aumasson 
và W. Meier trong CHES 2009 [6]. Dựa vào việc 
đánh giá bậc đại số qua các vòng của hoán vị 
Keccak-f, các tác giả đã xây dựng bộ phân biệt 
lên 16 vòng của hoán vị này. Năm 2010, C. Boura 
và A. Canteaut đã công bố công trình nghiên cứu 
trong hội nghị ISIT 2010 [3]. Nghiên cứu này 
trình bày về tính chất tổng bằng không lên toàn 
bộ 18 vòng hoán vị Keccak-f trong phiên bản đầu 
tiên của hàm băm Keccak. Chính kết quả này mà 
nhóm thiết kế Keccak thay đổi số vòng của hoán 
vị lên 24. Cũng trong năm 2010 tại hội nghị SAC, 
Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
Số 1.CS (11) 2020 33 
C. Boura và A. Canteaut đã mở rộng kết quả 
nghiên cứu trước đó và áp dụng để xây dựng bộ 
phân biệt lên 20 vòng cho phiên bản hàm băm 
Keccak mới. Kết quả cho phép xây dựng bộ phân 
biệt tổng bằng không có kích thước 21586 lên 20 
vòng của hoán vị Keccak-f [2]. Năm 2011, tại hội 
nghị FSE, C. Boura, A. Canteaut và C. De 
Cannière thực hiện nghiên cứu các tính chất vi 
sai bậc cao của Keccak [4]. Từ đó cho phép xây 
dựng bộ phân biệt tổng bằng không lên toàn bộ 
24 vòng của hàm băm Keccak. Một nghiên cứu 
khác theo hướng này thuộc về nhóm tác giả M. 
Duan và X. Lai [7], được công bố năm 2012 khi 
cải tiến cận đánh giá của nhóm C. Boura và cộng 
sự để nhận được độ phức tạp nhỏ hơn. 
Một hướng nghiên cứu khác khai thác tính 
chất tuyến tính hóa không đầy đủ của S-hộp 
(Non-Full S-box Lineariation) để thực hiện tấn 
công lên Keccak. Hướng nghiên cứu này được 
Ling Song và cộng sự khai thác trong [8] và K. 
Qiao cùng cộng sự khai thác trong [9] để đánh 
giá độ an toàn lên số vòng rút gọn của Keccak. Ý 
tưởng chính trong những nghiên cứu này là thành 
lập các phương trình tuyến tính trên các tập con 
đầu vào của S-hộp của Keccak, sau đó khai thác 
để đưa ra các ước lượng an toàn cho số vòng rút 
gọn của Keccak. 
Có thể thấy rằng, các phương trình biểu diễn 
S-hộp của Keccak có bậc đại số thấp chính là lý 
do các dạng tấn công mà tác giả liệt kê ở trên có 
thể khai thác. Với những phân tích như vậy, 
nhóm tác giả hướng đến đối tượng nghiên cứu 
trong báo cáo này là các S-hộp trong hoán vị 
Keccak-f, sự ảnh hưởng của nó lên độ an toàn và 
đề xuất S-hộp mới với mục đích tăng độ an toàn 
lên hoán vị Keccak-f. Với S-hộp đề xuất này, khi 
thay thế S-hộp trong hoán vị Keccak-f sẽ nhận 
được một hàm băm mới có cấu trúc Sponge (hàm 
băm Keccak sửa đổi). 
Trên cơ sở như vậy, bố cục của bài báo được 
tổ chức như sau: Phần II mô tả về hoán vị 
Keccak-f; ở Phần III là một số phân tích về tính 
chất của hoán vị này; Phần IV trình bày về đề 
xuất thay thế S-hộp gốc trong Keccak bởi  ... 0, d = 
3, e = 45 
23. (x, y) = (4, 2): a = 1, b = 18, c = 6, d = 25, 
e = 8 
24. (x, y) = (4, 3): a = 27, b = 56, c = 36, d = 
10, e = 15 
25. (x, y) = (4, 4): a = 62, b = 2, c = 55, d = 
39, e = 41 
Trong mỗi lane ở các biểu thức trên, đại 
lượng 𝑎, 𝑏, 𝑐, 𝑑 và 𝑒 sẽ quy định xem các bit có 
nằm cùng 1 slice hay không (slice là một mặt bit 
có kích thước 5×5 bit, chi tiết minh họa thuật ngữ 
slice có thể tham khảo trong [1]. Chúng ta chỉ 
quan tâm đến các giá trị của 𝑎, 𝑏, 𝑐, 𝑑 và 𝑒 mà 
chúng liên tiếp nhau. Ví dụ, trong trường hợp 
(𝑥, 𝑦) = (0, 0), có 𝑎 = 44 và 𝑐 = 43. Vì trong 
các biểu thức của 𝐴, 𝐵, 𝐶, 𝐷 và 𝐸 chứa các thành 
phần 𝑎, 𝑎 − 1, 𝑏, 𝑏 − 1, 𝑐, 𝑐 − 1, 𝑑, 𝑑 − 1, 𝑒 và 
𝑒 − 1 (thỏa mãn như phần in đậm ở phân tích 
theo bảng offset). Nếu không có các giá trị liên 
tiếp như vậy, có nghĩa là các bit nằm ở các slice 
khác nhau, nghĩa là trong biểu thức của 𝐴,𝐵, 𝐶, 𝐷 
và 𝐸 sẽ không chứa các lane chung hoặc chứa các 
lane chung nhưng các bit tương ứng nằm ở các 
slice khác nhau. Từ đây, chúng ta sẽ có kết luận 
về số bit phụ thuộc. 
Xét các trường hợp cụ thể sau: 
Trường hợp (𝒙, 𝒚) = (𝟎, 𝟎), có: 
𝐴
𝜃−1
→ (𝐿[1,1] ⋙ 44)⊕∑(𝐿[0, 𝑖] ⋙ 44)
4
𝑖=0
⊕∑(𝑳[𝟐, 𝒊] ⋙ 𝟒𝟑)
4
𝑖=0
𝐶
𝜃−1
→ (𝑳[𝟐, 𝟐] ⋙ 𝟒𝟑) ⊕∑(𝐿[1, 𝑖] ⋙ 43)
4
𝑖=0
⊕∑(𝐿[3, 𝑖] ⋙ 42)
4
𝑖=0
Thấy rằng khi 𝑖 = 2, hai biểu thức trên có 1 
lane chung là 𝐿[2,2] ⋙ 43. Do vậy, trong 
trường hợp này 64 bit thuộc 𝐿[0,0] sẽ phụ thuộc 
vào 11 + 11 + 11 + 11 + 11 – 1 = 54 bit đầu vào. 
Trường hợp (𝒙, 𝒚) = (𝟏, 𝟎), có: 
𝐴
𝜃−1
→ (𝑳[𝟐, 𝟐] ⋙ 𝟒𝟑) ⊕∑(𝐿[1, 𝑖] ⋙ 43)
4
𝑖=0
⊕∑(𝐿[3, 𝑖] ⋙ 42)
4
𝑖=0
Journal of Science and Technology on Information security 
42 No 1.CS (11) 2020 
𝐵
𝜃−1
→ (𝐿[1,1] ⋙ 44)⊕∑ (𝐿[0, 𝑖] ⋙ 44)
4
𝑖=0
⊕ ∑(𝑳[𝟐, 𝒊] ⋙ 𝟒𝟑)
4
𝑖=0
Thấy rằng, khi 𝑖 = 2, hai biểu thức trên có 1 
lane chung là 𝐿[2,2] ⋙ 43. Do vậy, trong 
trường hợp này, 64 bit thuộc lane 𝐿[1,0] sẽ phụ 
thuộc vào 11 + 11 + 11 + 11 + 11 – 1 = 54 bit 
đầu vào. 
Tương tự, trong các trường hợp (𝑥, 𝑦) =
(2, 0), (3, 0) và (4, 0) thì mỗi 64 bit tương ứng 
thuộc mỗi lane 𝐿[2,0], 𝐿[3,0] và 𝐿[4,0] phụ 
thuộc vào 54 bit đầu vào. Như vậy, sẽ có 5 ×
64 = 320 bit đầu ra phụ thuộc vào 54 bit đầu 
vào. Còn lại 1600 – 320 = 1280 bit đầu ra phụ 
thuộc vào 55 bit đầu vào.■ 
Như vậy, với S-hộp đề xuất, hàm vòng tương 
ứng nhận được có số bit phụ thuộc lớn hơn nhiều 
so với trong Keccak. Điều này có được là do biểu 
thức đại số của các hàm bool trong S-hộp đề xuất 
là phức tạp hơn. Do vậy dạng biểu diễn phương 
trình đại số qua các vòng của hoán vị sử dụng S-
hộp này sẽ có bậc đại số cao hơn trong Keccak. 
B. Bậc đại số của hoán vị Keccak-f sử dụng S-
hộp đề xuất 
Áp dụng các kết quả nghiên cứu về bộ phân 
biệt tổng bằng 0 cho hoán vị Keccak-f trong [2], 
chúng ta có bảng ước lượng sau: 
BẢNG 5. BẬC ĐẠI SỐ CHO SỐ VÒNG RÚT GỌN TRONG 
KECCAK-F VÀ KECCAK-F SỬ DỤNG S-HỘP ĐỀ XUẤT 
r 
Hoán vị gốc 
Hoán vị sử dụng S-
hộp đề xuất 
deg(𝑅𝑟) deg(𝑖𝑛𝑣𝑅𝑟) deg(𝑅𝑟) deg(𝑖𝑛𝑣𝑅𝑟) 
1 2 3 4 4 
2 4 9 16 16 
3 8 27 64 64 
4 16 81 256 256 
5 32 243 1024 1024 
6 64 729 1456 1456 
7 128 1164 1564 1564 
8 256 1382 1591 1591 
9 512 1491 1598 1598 
10 1024 1545 1599 1599 
11 1408 1572 1599 1599 
12 1536 1586 1599 1599 
13 1578 1593 1599 1599 
14 1592 1596 1599 1599 
15 1597 1598 1599 1599 
16 1599 1599 1599 1599 
Từ Bảng 5 thấy rằng, phải đến vòng thứ 16 
thì bậc đại số của dạng biểu diễn phương trình 
đại số đối với hoán vị trong Keccak mới đạt cực 
đại. Còn khi thay bằng S-hộp đề xuất sẽ là 10. 
Như vậy, khi bậc đại số của S-hộp cao hơn sẽ 
ảnh hưởng trực tiếp đến các ước lượng trong 
Bảng 5. Hơn nữa, điều này cũng được giải thích 
phần nào thông qua đánh giá số bit phụ thuộc ở 
Mệnh đề 2, 3. Do vậy, hoán vị Keccak-f với S-
hộp đề xuất là có tính chất đại số tốt hơn của 
Keccak-f nguyên thủy. Với tính chất đại số như 
vậy, hàm băm Keccak sử dụng S-hộp đề xuất sẽ 
có khả năng kháng lại tốt hơn trước các tấn công 
phân biệt dựa trên tổng bằng 0 so với hàm băm 
Keccak nguyên thủy. 
C. Tính tuyến tính hóa không đầy đủ của S-hộp 
đề xuất 
Ở các mục trên, nhóm tác giả đã phân tích 
tính chất tuyến tính hóa không đầy đủ đối với S-
hộp trong Keccak-f. Có nghĩa rằng, tồn tại các 
tập con mà ở đó một số phương trình biểu diễn 
S-hộp trong Keccak-f có dạng tuyến tính (ví dụ 
các tập trong Bảng 2). Với tính chất này, các tác 
giả trong [8]-[10] thực hiện việc lập hệ phương 
trình cho số vòng nhỏ của Keccak. Từ đó đưa ra 
tấn công. Áp dụng tương tự đối với S-hộp đề 
xuất trong bài báo thấy rằng, các tính chất như 
trong [8] là không còn đúng nữa. Do vậy, việc 
sử dụng các phương trình tuyến tính để mở rộng 
số vòng trong tấn công tìm va chạm theo các 
cách tiếp cận trong [8]-[10] là không áp dụng 
Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
Số 1.CS (11) 2020 43 
được cho phiên bản hàm băm Keccak mà sử 
dụng S-hộp đề xuất này. 
D. Sự ảnh hưởng đến cấu trúc Sponge của hàm 
băm Keccak 
Các nhà thiết kế mật mã thông thường sẽ lựa 
chọn một cấu trúc tổng thể, sau đó có những đánh 
giá về cấu trúc này trước khi thiết kế cho các 
thành phần ở bên trong nó. Ví dụ như mã khối có 
các cấu trúc thông dụng: mạng SPN, mạng 
Feistel,... Hàm băm có: cấu trúc Merkle-
Damgard, cấu trúc Sponge,... Trước khi đánh giá 
lên những cấu trúc này, chúng ta thường lý tưởng 
hóa thành phần bên trong nó như là các mã khối 
lý tưởng, hoán vị ngẫu nhiên, biến đổi hay hàm 
ngẫu nhiên,... Kết quả, chúng ta sẽ có được 
những tấn công tổng quát. Nói cách khác, tấn 
công tổng quát là những tấn công mà không khai 
thác bất kỳ một thuộc tính mật mã bên trong một 
nguyên thủy mật mã, mà chỉ sử dụng cấu trúc 
tổng thể trong thiết kế của nó. 
Đối tượng mà chúng tôi muốn hướng ở phần 
này đến là cấu trúc Sponge trong thiết kế hàm 
băm Keccak. Các tấn công tổng quát lên nó có 
thể kể đến là: tìm va chạm bên trong, tìm chu kỳ 
đầu ra, tìm đường dẫn đến trạng thái trong, khôi 
phục trạng thái,... [14]. Ở những phân tích này, 
các tác giả đã đưa ra những ước lượng độ an toàn 
cụ thể cho hai trường hợp sử dụng biến đổi ngẫu 
nhiên và hoán vị ngẫu nhiên trong cấu trúc 
Sponge. Ở một khía cạnh khác, với các biến đổi 
ngẫu nhiên và hoán vị ngẫu nhiên, nhóm tác giả 
trong [14] đã có những đánh giá lợi thế phân biệt 
của cấu trúc Sponge với bộ tiên tri ngẫu nhiên 
(Theorem 7, Theorem 9 [14]). Có thể nói rằng, 
những phân tích trong các tài liệu nói trên đã 
không sử dụng một thuộc tính nào của hàm được 
sử dụng trong cấu trúc Sponge. Chính vì vậy, 
việc thay đổi và đề xuất S-hộp mới không làm 
thay đổi cấu trúc Sponge trong hàm băm Keccak. 
Nó không ảnh hưởng đến độ an toàn chứng minh 
được của cấu trúc Sponge trong hàm băm này. 
VI. ĐÁNH GIÁ KHẢ NĂNG THỰC THI KHI SỬ DỤNG 
S-HỘP ĐỀ XUẤT TRONG HOÁN VỊ KECCAK-F 
Nhóm tác giả đã thực hiện xây dựng chương 
trình cài đặt trên ngôn ngữ C cho thuật toán 
SpongeHash. Cài đặt ở đây không áp dụng một 
chỉ lệnh SIMD hay Assembler nào. Cài đặt và 
biên dịch sử dụng Visual Studio 12 trên một nhân 
máy Intel(R) Core(TM) i5-6200U CPU @ 
2.30GHz 2.40GHz, Windows 10, phiên bản x64 
bit. Bảng thống kê dưới đây thể hiện tốc độ thực 
thi của các thuật toán, trong đó (AT) – ký hiệu 
cài đặt an toàn. Cài đặt an toàn được thực hiện 
theo kỹ thuật mặt nạ hai chia sẻ trong [16]. 
BẢNG 6. TỐC ĐỘ THỰC THI CỦA 
SPONGEHASH VÀ KECCAK 
Thuật toán Tốc độ Mb/s 
Tên 
Phiên 
bản 
(bit) 
Cài đặt 
bình 
thường 
Cài đặt 
an toàn 
Keccak 
256 1101,93 781,25 
512 599,70 422,83 
SpongeHash 
256 925,93 702,99 
512 520,83 384,99 
SHA-2 
256 970 
512 640 
BẢNG 7. SO SÁNH TỐC ĐỘ CÀI ĐẶT CỦA 
SPONGEHASH VÀ KECCAK 
Hàm băm Keccak 
 Phiên 
bản 
(bit) 
512 256 
512 
(AT) 
256 
(AT) 
S
p
o
n
g
eH
a
sh
512 ↓13,1% 
256 ↓15,9% 
512 
(AT) 
 ↓10,0% 
256 
(AT) 
 ↓8,9% 
Journal of Science and Technology on Information security 
44 No 1.CS (11) 2020 
BẢNG 8. TỐC ĐỘ THỰC THI CÀI ĐẶT AN TOÀN SO VỚI CÀI 
ĐẶT THÔNG THƯỜNG CỦA SPONGEHASH VÀ KECCAK 
Hàm băm Keccak SpongeHash 
Phiên 
bản 
(bit) 
512 256 512 256 
K
ec
ca
k
 512 
(AT) 
↓29,4% 
256 
(AT) 
 ↓29,1% 
S
p
o
n
g
eH
a
sh
512 
(AT) 
 ↓26,1% 
256 
(AT) 
 ↓24,1% 
Kết quả thống kê thấy rằng, sử dụng S-hộp 
đề xuất cho tốc độ thực thi có thể so sánh được 
so với phiên bản nguyên thủy, mặt khác độ an 
toàn lại được cải thiện. 
VII. KẾT LUẬN 
Trong bài báo, nhóm tác giả đã khảo sát độ 
an toàn hàm băm Keccak dựa trên phân tích tính 
chất của S-hộp được sử dụng trong nó. Kết quả 
chỉ ra rằng, các tham số mật mã của S-hộp trong 
hoán vị Keccak-f đóng vai trò quan trọng ảnh 
hưởng lên độ an toàn của nó. Trên cơ sở các phân 
tích này, chúng tôi đề xuất lựa chọn một S-hộp 
có các tính chất mật mã tốt hơn, thay thế S-hộp 
này vào hoán vị Keccak-f và thực hiện phân tích 
sự ảnh hưởng của chúng như đối với hoán vị 
Keccak-f ban đầu. Kết quả phân tích chứng tỏ S-
hộp đề xuất mang lại độ an toàn cao hơn. Với S-
hộp đề xuất, bài báo cũng so sánh khả năng cài 
đặt so với S-hộp gốc (Bảng 4). Một điều cũng dễ 
hiểu rằng, với cấu trúc đại số phức tạp hơn thì S-
hộp đề xuất sẽ có tính chất cài đặt phức tạp hơn 
so với S-hộp ban đầu. Tuy nhiên, phụ thuộc vào 
người sử dụng và từng bối cảnh cụ thể, với một 
tốc độ băm chấp nhận được, trong khi độ an toàn 
được nâng cao hơn chắc chắn đây là một lựa chọn 
không tồi trong bối cảnh phát triển của khoa học 
thám mật mã trong thám mã. 
Bài báo cũng chưa đề cập đến độ an toàn của 
đề xuất mới trước thám mã vi sai. Tuy nhiên, S-
hộp đề xuất có xác suất vi sai tốt hơn S-hộp 
nguyên thủy trong Keccak, nó sẽ đảm bảo được 
rằng hàm băm Keccak sử dụng S-hộp đề xuất có 
khả năng kháng lại thám mã vi sai và biến thể 
không kém hàm băm nguyên thủy. Nhóm tác giả 
sẽ tập trung phân tích những đánh giá theo hướng 
này ở những nghiên cứu tiếp theo. 
Một vấn đề mở cũng đặt ra ở đây liên quan 
đến các tấn công của nhóm Boura và cộng sự [2]-
[5], cụ thể với các phân tích của nhóm này mà số 
vòng của Keccak phiên bản hiện thời đã được 
tăng lên 24 so với 18 như ở phiên bản đầu tiên. 
Vì vậy, khi sử dụng S-hộp đề xuất với các tính 
chất đại số tốt hơn, liệu có thể giảm số vòng được 
không? Khi đó tốc độ có thể cân bằng được với 
phiên bản nguyên thủy. 
TÀI LIỆU THAM KHẢO 
[1] NIST, SHA-3 Stadard: Permutation-Based Hash 
And Extendable Output Functions. 8/2015. 
[2] Boura, C. and A. Canteaut. Zero-sum 
distinguishers for iterated permutations and 
application to Keccak-f and Hamsi-256. in 
International Workshop on Selected Areas in 
Cryptography. 2010. Springer. 
[3] Boura, C. and A. Canteaut. A zero-sum property 
for the Keccak-f permutation with 18 rounds. in 
2010 IEEE International Symposium on 
Information Theory. 2010. IEEE. 
[4] Boura, C., A. Canteaut, and C. De Canniere. 
Higher-order differential properties of Keccak 
and Luffa. in International Workshop on Fast 
Software Encryption. 2011. Springer. 
[5] Boura, C. and A. Canteaut. On the algebraic 
degree of some SHA-3 candidates. in 
Proceedings of the Third SHA-3 Candidate 
Conference, Washington DC. 2012. 
[6] Aumasson, J.-P. and W. Meier, Zero-sum 
distinguishers for reduced Keccak-f and for the 
core functions of Luffa and Hamsi. rump session 
of Cryptographic Hardware and Embedded 
Systems-CHES, 2009. 2009: p. 67. 
Khoa học và Công nghệ trong lĩnh vực An toàn thông tin 
Số 1.CS (11) 2020 45 
[7] Duan, M. and X. Lai, Improved zero-sum 
distinguisher for full round Keccak-f 
permutation. Chinese Science Bulletin, 2012. 
57(6): p. 694-697. 
[8] Song, L., G. Liao, and J. Guo. Non-full sbox 
linearization: applications to collision attacks on 
round-reduced Keccak. in Annual International 
Cryptology Conference. 2017. Springer. 
[9] Qiao, K., et al. New collision attacks on round-
reduced Keccak. in Annual International 
Conference on the Theory and Applications of 
Cryptographic Techniques. 2017. Springer. 
[10] Dinur, I., O. Dunkelman, and A. Shamir. New 
attacks on Keccak-224 and Keccak-256. in 
International Workshop on Fast Software 
Encryption. 2012. Springer. 
[11] Li, M. and L. Cheng. Distinguishing property for 
full round keccak-f permutation. in Conference 
on Complex, Intelligent, and Software Intensive 
Systems. 2017. Springer. 
[12] Guo, J., et al., Practical collision attacks against 
round-reduced SHA-3. Journal of Cryptology, 
2020. 33(1): p. 228-270. 
[13] Rajasree, M.S. Cryptanalysis of Round-Reduced 
KECCAK Using Non-linear Structures. in 
International Conference on Cryptology in 
India. 2019. Springer. 
[14] Bertoni, G., et al. Sponge functions. in ECRYPT 
hash workshop. 2007. Citeseer. 
[15] Nguyễn Văn Long. “Phân tích các thành phần mật 
mã trong hoán vị Keccak-p”. Nghiên cứu Khoa 
học và Công nghệ trong lĩnh vực An toàn thông 
tin, ISSN 2615-9570, No 08. Vol 02. 2018. 
[16] Bertoni, G., et al., Keccak implementation 
overview. URL:  neokeon. 
org/Keccak-implementation-3.2. pdf, 2012. 
 SƠ LƯỢC VỀ TÁC GIẢ 
TS. Nguyễn Văn Long 
Đơn vị công tác: Phân viện 
NCKHMM, Viện KH-CN mật mã, 
Ban Cơ yếu Chính phủ. 
Email: longnv@bcy.gov.vn. 
Quá trình đào tạo: Năm 2008 tốt 
nghiệp Học viện FSO – Liên bang 
Nga chuyên ngành “An toàn thông tin các hệ thống viễn 
thông”. Năm 2015 bảo vệ thành công luận án tiến sĩ tại 
học viện FSO Liên bang Nga theo chuyên ngành “Các 
phương pháp bảo vệ thông tin”. 
Hướng nghiên cứu hiện nay: Nghiên cứu, thiết kế các 
thuật toán mã đối xứng an toàn, hiệu quả trong cài đặt. 
ThS. Lê Duy Đức 
Đơn vị công tác: Khoa Kỹ thuật 
cơ sở, Học viện Phòng không - 
Không quân. 
Email: leduchnnt@gmail.com. 
Quá trình đào tạo: Năm 2006 tốt 
nghiệp Học viện Kỹ thuật quân sự; 
Năm 2014 tốt nghiệp Thạc sĩ tại Học viện Kỹ thuật 
quân sự. 
Hướng nghiên cứu hiện nay: vô tuyến điện tử.