Основные тенденции развития открытой криптографии




Основные тенденции развития открытой криптографии - часть 3


  • Основная задача при "классическом" варианте дифференциального метода криптографического анализа заключается в поиске дифференциальных характеристик, имеющих "большие" вероятности выполнения равенства (1<). Для шифров итерационного типа чаще всего построить дифференциальную характеристику, имеющую гарантировано большую вероятность, не удается. В 1999 году Д.Вагнер [Wag99] предложил следующую идею того, как можно использовать "хорошие" дифференциальные характеристики, полученные только для малой части итераций шифра. Пусть отображение
    $ F:V_n
    ;
    $ F_1,F_2:V_n

    V_n$ (Gif 100x26, 445 байт)" src="img4404_1267.gif" width=100 align=middle border=0. Пусть, также для отображений

    $ F_1$ (Gif 19x26, 164 байт)
    ,
    $ F_2$ (Gif 19x26, 169 байт)
    известны "хорошие" дифференциальные характеристики
    $ (a,b)in</p></div>
<p>V_n$ (c,d)in V_n и
    $ F_2(y)oplus F_2(yoplus c)=d$ (Gif 136x28, 658 байт)
    равны
    $ pgg 2^{-n}$ (Gif 55x29, 304 байт)
    и
    $ qgg 2^{-n}$ (Gif 55x29, 303 байт)
    соответственно. Тогда, если выполнено неравенство
    $ pcdot qgeqslant 2^{-frac{n}{2}}$ (Gif 72x31, 361 байт)
    , то для криптографического анализа становится эффективнее использовать характеристики, состоящие из 4 пар вариантов открытого и шифрованного текстов
    $ ((x_1,F(x_1))$ (Gif 76x28, 424 байт)
    ,
    $ (x_2,F(x_2))$ (Gif 71x28, 413 байт)
    ,
    $ (x_3,F(x_3))$ (Gif 71x28, 424 байт)
    ,
    $ (x_4,F(x_4)))$ (Gif 76x28, 434 байт)
    , таких, что
    $ x_1oplus x_2=a$ (Gif 75x25, 349 байт)
    ,
    $ x_3oplus x_4=a$ (Gif 75x25, 353 байт)
    ,
    $ F(x_1)oplus</p></div>
<p>F(x_3)=d$ (Gif 118x28, 569 байт),
    $ F(x_2)oplus F(x_4)=d$ (Gif 118x28, 570 байт)
    . Этот метод автор назвал методом бумеранга.
  • Идея метода линеаризации была предложена японскими специалистами М.Матцуи и А.Ямагиши [MY92] в 1992 году. Как известно, суть метода сводится к итеративной процедуре поиска линейного статистического аналога, реализуемого блочным шифром, имеющего достаточно большое преобладание. Более точно, пусть блочный шифр (или часть его итераций без первого и/или последнего раунда) реализует отображение

    $ F:V_n
    ,
    $ bin V_k$ (Gif 42x26, 262 байт)
    , для которых вероятность выполнения соотношения

    $displaystyle langle a,x</p></div>
<p>angleoplus langle c,F(x,k)</p>
<p>angle=langle</p>
<p>b,k</p>
<p>angle</p>
<p>$ (Gif 169x28, 828 байт)




    Содержание  Назад  Вперед