Основные тенденции развития открытой криптографии
ОСНОВНЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ ОТКРЫТОЙ КРИПТОГРАФИИ Настоящий обзор написан группой специалистов по заказу редакции cryptography.ru и представляет собой ретроспективный взгляд на развитие открытой криптографии за последние несколько лет. Авторы не стремились дать исчерпывающе полный обзор результатов и методов открытой криптографии, поэтому в нем отсутствуют формулировки точных математических результатов. Основная цель состояла в том, чтобы попытаться обрисовать место криптографии в современной науке и технике, проанализировать основные движущие мотивы и внутреннюю логику развития открытой криптографии. Сделанные в обзоре акценты на отдельные направления криптографических исследований отражают субъективные интересы авторов и не являются следствием существующего соотношения по числу публикаций между различными направлениями. Современный этап развития открытой криптографии насчитывает уже более четверти века. До середины 70-х годов XX века в научно-технической литературе работ, посвященных криптографическим методам защиты информации, было крайне мало (пример такой работы см. [G39]; классическим обзором по истории криптографии считается книга Д.Кана, [Кан, Kahn67]). Научные основы криптографии были заложены в конце 40-х годов XX века трудами Клода Шеннона, [Ш48, Sh49]. Новейшую историю открытой криптографии принято отсчитывать с 1976 года, когда Уитвелд Диффи и Мартин Хеллман выступили на национальной компьютерной конференции со своей работой "Новые направления в криптографии". В том же году эта работа была опубликована в журнальном варианте [DH76]. К числу отцов-основателей открытой криптографии относят также и Ральфа Меркля, который независимо от У.Диффи и М.Хеллмана пришел к тем же конструкциям, однако он опубликовал свои результаты только в 1978 году [Mer78]. В конце XX века приоритет открытия У.Диффи и Д.Хеллмана пытались независимо оспорить спецслужбы США и Великобритании. В статье энциклопедии "Британника" бывший директор Агентства национальной безопасности США Симмонс заявляет, что "двухключевая криптография была известна в АНБ за 10 лет до публикации У.Диффи и М.Хеллмана". На официальном сайте правительственной штаб-квартиры по связи Великобритании также была размещена информация, оспаривающая приоритет Диффи и Хеллмана, со ссылками на засекреченные до недавнего времени работы сотрудников английской спецслужбы. Математическая (теоретико-сложностная) криптография Пионерская работа У.Диффи и М.Хеллмана во многом определила предмет открытой криптографии. Если в трудах К.Шеннона был развит (и фактически полностью исчерпан) теоретико-информационный подход к оценке стойкости криптографических систем, то работа У.Диффи и М.Хеллмана дала толчок для развития теоретико-сложностному подходу в криптографии. Неформально говоря, при теоретико-информационном подходе к обоснованию стойкости криптосистемы требуется показать, что противник не имеет даже теоретической возможности для получения защищаемой информации. При теоретико-сложностном подходе криптосистема считается стойкой, если любой алгоритм, который может использовать противник, требует выполнения недопустимо большого объема вычислений, либо срабатывает с пренебрежимо малой вероятностью. При таком подходе возникает ряд принципиальных вопросов, требующих математически строгой формализации. Во-первых, математическая теория сложности имеет дело с массовыми задачами, т.е. рассматривает потенциально бесконечное семейство однотипных задач, параметризованных некоторой величиной, стремящейся к бесконечности. Любая же криптографическая система -- это объект, параметры которого являются фиксированными (или лежат в некотором заданном интервале). Поэтому, прежде всего, встает проблема построения адекватной математической модели для криптографической системы. Во-вторых, поскольку современная криптография предлагает большой набор механизмов обеспечения информационной безопасности (от "классического" шифрования до алгоритмов хэширования, схем аутентификации, цифровой подписи и других криптографических протоколов), то требуется сформулировать, какую именно задачу будет решать противник и какой информацией он при этом располагает. И, в-третьих, следует сформулировать, что считать недопустимо большим объемом вычислений и пренебрежимо малой вероятностью. При этом важно уточнить модель вычислений, в которой работает противник. Здесь хочется отметить новое интересное направление исследований, связанное с привлечением модели квантовых вычислений. При наличии указанных определений, задача обоснования стойкости криптографической системы сводится к получению нижних оценок сложности для конкретных задач. Основная проблема состоит в том, что на современном этапе развития теории сложности мы не умеем получать "хороших" нижних оценок сложности. Магистральное направление исследований по математической криптографии состоит в получении такого рода оценок при некоторых недоказанных предположениях. Основные усилия специалистов направлены на поиск наиболее "слабых" предположений указанного типа. В теоретико-сложностной области исследований по криптографии в последнее время появилась еще одна проблематика, формально к криптографии не относящаяся. Это тематика связана с моделями стеганографических методов защиты информации, а также с примыкающими проблемами -- "цифровых отпечатков пальцев" и "цифровых водяных знаков". Несмотря на то, что точная статистика отсутствует, можно смело утверждать, что с теоретико-сложностным направлением так или иначе связано не менее половины работ в общем объеме научных публикаций по криптографической тематике. Более того, существует (на наш взгляд, несколько максималистское) мнение, что этим направлением собственно математическая криптография и исчерпывается. В России работ по этому направлению фактически не ведется. Частично отслеживать развитие исследований в данной области удается усилиями лаборатории МГУ по математическим проблемам криптографии, [Я98, АВСЯ]. Теория чисел в криптографии Одна из главных заслуг У.Диффи и М.Хеллмана состоит в том, что они предложили конкретную конструкцию так называемого "открытого распределения ключей". Стойкость предложенного ими варианта опиралась на сложность вычисления индекса числа по простому модулю (т.е. на сложность решения задачи дискретного логарифмирования; хотя до сих пор не доказано, что стойкость схемы У.Диффи и М.Хеллмана не меньше, чем сложность дискретного логарифмирования). Вскоре после работы У.Диффи и М.Хеллмана коллектив авторов, в составе Р.Ривеста, А.Шамира и Л.Адлемана предложил схему открытого шифрования, стойкость которой была основана на сложности разложения числа на простые множители. Собственно, эти две задачи и являются основой для еще одного крупнейшего направления исследований в открытой криптографии. Чуть позже была предложена схема открытого распределения ключей с использованием операции в группе точек эллиптической кривой. Приведем список основных теоретико-числовых задач, интенсивные исследования которых стимулируются криптографией:
Алгоритмическая криптография Остановимся подробнее на "традиционной" криптографии. Это третье крупное направление исследований в открытой криптографии. Иногда для такой криптографии используют термин "криптография с симметричным (секретным) ключом". Мы используем термин "алгоритмическая" криптография, поскольку, по сути, речь идет об анализе и синтезе алгоритмов с фиксированными параметрами. Фактически это является разделом дискретной математики, в западной терминологии называемым "Computer Science" (в России этот раздел дискретной математики находится в зачаточном состоянии, поэтому для него нет устоявшегося русского эквивалента названия). Основным движущим мотивом развития данного направления в открытой криптографии являются потребности "гражданской" криптографии. Началом развития современного этапа в исследованиях по алгоритмической криптографии стало принятие в США в 1977 году в качестве Федерального стандарта DES-алгоритма, который de facto оставался до недавнего времени стандартом криптографической защиты данных для негосударственных применений во всем мире. Симптоматично практически точное совпадение по времени принятия DES-алгоритма в качестве стандарта с публикацией У.Диффи и М.Хеллмана; по-видимому, это объясняется тем, что конец 70-х годов -- этот тот рубеж, когда компьютеры стали превращаться из прибора лабораторного в прибор бытовой. Серьезным толчком для дальнейшего развития исследований в данном направлении послужил впервые проведенный публично в США конкурс на новый криптографический стандарт (AES - Advanced Encryption Standard). Криптографические алгоритмы с симметричным ключом разбиваются на два крупных класса - блочные алгоритмы шифрования (итерационного типа) и поточные алгоритмы шифрования. Наиболее удачная формулировка различия между этими схемами принадлежит, по-видимому, швейцарскому криптографу Райнеру Рюппелю [Rup92]: "Блочные шифры реализуют одно постоянное преобразование над большими блоками открытого текста; поточные шифры реализуют меняющиеся во времени преобразования отдельных знаков открытого текста". В публикациях по этим двум направлениям известный в открытом мире криптограф Брюс Шнейер отмечает следующее отличие: работы, посвященные блочным шифрам, как правило, рассматривают конкретные схемы (с конкретными параметрами, а в ряде случаев даже -- и с конкретными названиями), в то время как работы по поточным шифрам достаточно часто относятся к обобщенным или типовым схемам шифрования (из этого правила, как из любого другого, конечно имеются исключения). Блочные криптографические алгоритмы В открытой криптографии подавляющее большинство работ, посвященных криптографическому анализу блочных шифров, связано с методами дифференциального и линейного анализа или с их модификациями. Исторически первым из двух упомянутых был разработанный в 1990 году израильскими математиками Э.Бихамом и А.Шамиром метод дифференциального криптоанализа. Д.Копперсмит утверждает[ Cop92], что этот метод был известен команде разработчиков DES алгоритма еще в начале 70-х годов. Но в то время этот метод был засекречен. Справедливости ради, необходимо отметить, что идея, близкая к методу дифференциального анализа, была опубликована до работы Э.Бихама и А.Шамира в 1990 году С.Мерфи [Mur90]. Работы по данному направлению для каждого анализируемого шифра сводятся к построению набора алгоритмических приемов поиска дифференциальных характеристик для части итераций, имеющих повышенную вероятность. Введем несколько математических обозначений, которые помогут нам перечислить появившиеся в печати работы по развитию этого метода. Пусть |
(1) |
Метод дифференциального анализа развивался в следующих направлениях.
- Вскоре после изобретения метода дифференциального анализа было отмечено, что изучать соотношение (1) можно и для случая, когда операция покоординатного суммирования заменяется на операцию суммирования по модулю , [Ber92].
Идея метода линеаризации была предложена японскими специалистами М.Матцуи и А.Ямагиши [MY92] в 1992 году. Как известно, суть метода сводится к итеративной процедуре поиска линейного статистического аналога, реализуемого блочным шифром, имеющего достаточно большое преобладание. Более точно, пусть блочный шифр (или часть его итераций без первого и/или последнего раунда) реализует отображение , , для которых вероятность выполнения соотношения
равна при случайном выборе (здесь, запись
В 1994 году американцы Бертон Калиски и Матью Робшау [KR94] предложили вместо одного набора векторов , использовать несколько таких наборов , ,
Метод линеаризации был обобщен в 1997 году криптографами из Цюриха Карло Харпесом и Джеймсом Месси, [HaMa97]. Суть метода в прежних обозначениях сводится к поиску разбиения пространства и подмножества , для которых строится некоторая эмпирическая метрика, позволяющая отличить распределение образов по блокам разбиения при случайном выборе аргумента из подмножества . Имеются библиографические ссылки на варианты этого метода, датируемые 1994 годом [MPWW94, Ha94], однако, эти работы нам недоступны. Этот метод называют методом разбиений.
В 1994 году [LaMa94] криптографы из Стэнфордского университета Сьюзан Лэнгфорд и Мартин Хеллман используя идеи как дифференциального анализа, так и линейного предложили новый метод линейно-дифференциального криптоанализа. Суть метода сводится поиску такого вектора , что для булевой функции
Еще одно обобщение метода линеаризации было предложено Л.Кнудсеном и М.Робшау в 1996 году [KnRo96]. Авторы метода нелинейного приближения заметили, что для отбраковки опробуемых ключей первой и/или последней итераций можно использовать не только линейные соотношения на входных и выходных битах промежуточных шифртекстов.
В 1997 году в работе [JK97] Т.Джекобсен и Л.Кнудсен предложили с помощью интерполяционной формулы Лагранжа сводить задачу определения ключа алгоритма блочного шифрования к нахождению корня нелинейного уравнения от одной переменной в конечном поле (интерполяционная атака). Сложность такого метода определяется степенью многочлена и числом ненулевых мономов в нем. Развивая эту идею, Т.Джекобсен в 1999 году [Ja99] предлагает рассматривать многочлены "приближающие" шифрпреобразование лишь с некоторой вероятностью, но при этом имеющими низкую степень нелинейности. Метод нахождения ключей при таком подходе опирается на алгоритмы декодирования кодов Рида -- Соломона за границей корректирующей способности кода. Вопросы минимизации степени интерполирующего многочлена за счет выбора подходящего примитивного многочлена для задания поля и за счет применения невырожденного линейного преобразования на входе и выходе изучены А.Иоссефом и Г.Гонгом в работе [YG00].
Отдельный класс криптоаналитических методов основан на использовании особенностей построения "ключевых разверток" для шифров итерационного типа (обзор ранних работ по этому направлению см. в [KSW96]). В открытой криптографии метод согласования (meet-in-the middle) для случая, когда множество бит ключа, от которых зависят первые и последние итерации шифра, не пересекаются, фактически является фольклорным (достаточно сложно установить его первоисточник). Постоянно появляются работы, посвященные поиску новых классов "слабых" и "полу-слабых" ключей для различных алгоритмов шифрования. Дифференциальный метод криптографического анализа "породил" метод "связанных ключей" (related key cryptanalysis) [Bih93]. Этот метод рассматривает задачу определения ключа шифрования при условии, что аналитик имеет возможность наблюдать серии пар открытый-шифрованный текст, полученные не на одном ключе, а на нескольких различных ключах, причем известно как эти различные ключи связаны между собой.
В 1999 году эмигрантом из России Алексом Бирюковым и известным американским криптографом Дэвидом Вагнером был предложен новый вид атаки на блочные шифры, эффективность которой не зависит от числа итераций [BiWa99, BiWa00]. Рассмотренный метод криптоанализа получил название "скользящей атаки" (Slide Attacks). Предложенный ими метод основан на том, что некоторые шифры являются композицией нескольких одинаковых (не однотипных, а в точности одинаковых! -- за счет особенностей ключевой развертки) преобразований.
Основные тенденции в синтезе алгоритмов блочного шифрования нашли свое отражение в проведенном конкурсе на новый алгоритм шифрования США. Анализ представленных схем показывает, что все они построены по каноническим принципам К.Шеннона как SP-сети (чередование нелинейных замен в подвекторах шифруемого блока с последующей перестановкой бит между подвекторами), но с увеличенной до 128 бит длиной шифруемого блока. В некоторых алгоритмах авторы отказываются от простой перестановки бит между подвекторами и рассматривают линейные преобразования более общего вида. Остается популярным и подход к построению блочных шифров по схеме Фейстеля, т.е. в виде регистра сдвига на малом числе ячеек с нелинейной обратной связью. Основные достижения в этом направлении связаны с интересными алгоритмическими приемами, позволяющими добиться эффективной реализации схем на вычислительных платформах различного типа.
Криптографические алгоритмы гаммирования
В открытых работах, посвященных криптографическим исследованиям поточных шифров можно выделить следующие особенности, по сравнению с работами, посвященными блочным шифрам.
- Подавляющее число работ, посвященных блочным шифрам, ориентирована на анализ и синтез DES-подобных алгоритмов. Для поточных шифров нет такого "центра притяжения". Синтезные решения и методы "взлома" поточных шифров отличаются значительным разнообразием.
- Для блочных шифров нет "канонической" теории их синтеза и анализа. Для поточных шифров сформировалась такая "каноническая" теория построения методов "взлома", а также "канонический" набор требований, которым должны удовлетворять "хорошие" схемы. В идейном плане методы взлома поточных шифров сводятся к одному из следующих двух подходов:
- использование статистических связей (корреляционные атаки);
- линеаризация (сведение задачи поиска ключа к решению системы линейных уравнений). Соответственно, от стойких поточных схем требуется:
- большие периоды выходных последовательностей;
- хорошие статистические свойства выходных последовательностей (см. "постулаты Соломона Голомба" [Gol67]);
- нелинейность (точнее, высокая линейная сложность) выходных последовательностей.
- Значительная часть предлагаемых поточных схем состоит из унифицированных узлов и блоков, напоминая тем самым выставку поделок из детского конструктора. Основными деталями этого "криптографического конструктора" являются:
- регистры сдвига (на битах или двоичных векторах определенной размерности) с обратной связью (обычно линейной),
- дискретные (главным образом, булевы) функции усложнения,
- запоминающие устройства,
- узлы, реализующие неравномерное движение. Регистры сдвига обеспечивают большой период и хорошие статистические свойства последовательностей, в то время как остальные детали "конструктора" используются для внесения элементов нелинейности в законы функционирования поточной схемы.
- Исследования поточных схем протекают более динамично. В то время как исследования DES-алгоритма до недавнего времени шли без видимых продвижений, область поточного шифрования испытала множество "взлетов и падений", ряд схем, вначале казавшихся стойкими, "рухнул" при последующем исследовании.
- Вопросам исследования поточных шифров уделяется больше внимания в европейских криптографических центрах, в то время как в США больший "крен" делается в сторону блочных шифров.
- Задачи анализа свойств регистров сдвига с линейной обратной связью стимулировали исследования линейных рекуррентных последовательностей над полями и кольцами. Для анализа свойств этих последовательностей разработан мощный алгебраический аппарат.
- Задачи поиска статистических связей между входом и выходом узла, реализующего дискретную (булеву) функцию, и построение функций с заданными свойствами (корреляционно-иммунные функции, бент-функции и др.). Исследования, посвященные анализу свойств новой поточной схемы, довольно часто проходят одни и те же стадии. Вначале исследователи пытаются изучить свойства схемы алгебраическими и комбинаторными методами. Если это не помогает, то пытаются применить разнообразные методы теории кодирования. Затем предпринимаются попытки анализировать задачу поиска ключа методами математической статистики (теория проверки гипотез).
В криптографической литературе рассматриваются постановки задач, связанные с реалиями эксплуатации шифрсредств. Так осенью 1996 года Эли Бихам и Ади Шамир обнародовали через INTERNET новую криптографическую атаку, названную "методом дифференциальных искажений" ("Differential Fault Analysis" или DFA). С одной стороны DFA-методы воплотили в себе известные к тому времени идеи Бонэ, Демилло и Липтона, применивших впервые искажение вычислений для вскрытия систем с открытым ключом, с другой стороны, эти методы явились развитием метода дифференциального анализа. Суть нового метода состоит в том, что при искажении вычислений в процессе зашифрования шифрующее устройство может выдать данные, сравнение которых с неискаженными данными облегчает восстановление секретных параметров устройства. Кроме этого метода известна публикация, посвященная вскрытию ключей криптографического алгоритма по времени его работы.
Криптографические исследования функций хеширования в значительной степени сводятся к описанию конкретных подходов к построению коллизий для конкретных схем. В публикациях по криптографии встречается ряд работ, которые не вписываются в приведенные выше направления исследований. Сюда мы относим работы посвященные анализу и синтезу различных режимов использования "традиционных" криптографических алгоритмов; работы, посвященные криптографическим схемам на нетрадиционных платформах.
Таким образом, развитие современной открытой криптографии с одной стороны обусловлено потребностями "гражданской" криптографии, а с другой стороны она является источником задач для фундаментальной математики. На сегодняшний день открытая криптография является уже достаточно развитой наукой, составляет заметную конкуренцию для спецслужб, в компетенцию которых входят вопросы информационной безопасности. Подтверждением этого тезиса являются, во-первых, претензии спецслужб на приоритеты ряда изобретений открытой криптографии, а во-вторых, факт обнаружения слабостей в алгоритме АНБ именно открытыми криптографами. Таким образом, по некоторым направлениям открытая криптография не уступает своей засекреченной сестре. К сожалению, мы вынуждены констатировать, что Россия в открытой криптографии фактически не представлена. Существующие публикации российских специалистов носят либо обзорный характер (см. [АВСЯ], [Я98]), либо откровенно преследуют цель рекламной поддержки разработок некоторых коммерческих фирм.
Литература
[АВСЯ] Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В. "Криптография в банковском деле", М., МИФИ, 1997.
[ГПТ] Грушо А.А., Применко Э.А., Тимонина Е.Е., "Анализ и синтез криптоалгоритмов. Курс лекций", Йошкар-Ола, изд. МФ МОСУ, 2000.
[Кан] Кан Д., "Взломщики кодов", М., Центрполиграф, 2000.
[Чм2001] Чмора А.Л., "Современная прикладная криптография", М., "Гелиос АФВ", 2001.
[Ш48] Шеннон К., "Работы по теории информации и кибернетике", М., Иностранная литература, 1963.
[Я98] Под ред. В.В. Ященко, "Введение в криптографию", М., МЦНМО -- ЧеРо, 1998.
[BeBi93] Ben-Aroya I., Biham E., "Differential Cryptanalysis of Lucifer", CRYPTO"93, Springer, 187-199.
[Ber92] Berson T.A., "Differential Cryptanalysis Mod with Applications to MD5", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer, 71-80.
[ [Bih93] Biham E., "New Type of Cryptoanalytic Attacks Using Related Keys", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 398-409.
[ [BiBi99] Biham E., Biryukov A., Shamir A., "Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials", EUROCRYPT"99.
[ [BiWa99] Biryukov A., Wagner D., "Slide Attacks", Proccedings of FSE`99, Lecture Notes in Computer Science, v. 950, Springer, 1999, 245-259.
[ [BiWa00] Biryukov A., Wagner D., "Advanced Slide Attacks", EUROCRYPT"2000, proccedings, Lecture Notes in Computer Science, Springer, 2000, 589-606.
[ [Cop92] Coppersmith D., "The data encryption standard (DES) and its strength against attacks", Technical Report RC 18613 (81421), IBM Research Division, December 1992.
[ [DH76] Diffie W., Hellman M.E., "New Directions in Cryptography", IEEE Transactions on Information Theory, v. IT-22, no. 6, November 1976, 644-654.
[ [G39] Gaines H.F., "Cryptanalysis: A Study of Ciphers and their Solutions", Dover Publications, 1939.
[ [Gol67] Golomb S.W., "Shift Register Sequences", Holden-Day, San Francisco, 1967.
[ [Ha94] Harpes C., "Success probability of partitioning cryptanalysis", Proceedings of the EIDMA Winter Meeting on Coding Theory, Information Theory and Cryptology. December 1994.
[ [HaMa97] Harpes C., Massey J.L., "Partitioning Cryptanalysis", Proceedings of Fast Software Encryption Workshop"97, 13-27.
[ [JK97] Jakobsen T., Knudsen L., "The Interpolation Attack on Block Cipher", Lecture Notes in Computer Science 1267, Fast Software Encryption"97, Springer, 1997, 28-40.
[ [Ja99] Jakobsen T., "Cryptanalysis of Block Ciphers with Probabilistic Non-linear Relations of Low Degree", Lecture Notes in Computer Science, v. 1462, CRYPTO"99, Springer, 1999, 213-222.
[Kahn67] Kahn D., "The Codebreakers: The Story of Secret Writing", MacMillam Publishing Co., New York, 1967.
[KR94] Kaliski B.S., Robshaw M.J.B., "Linear cryptanalysis using multiple approximations", CRYPTO"94, Lecture Notes in Computer Science, v. 950, Springer, 1995, 26-39.
[KSW96] Kelsey J., Schneier B., Wagner D., "Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES", CRYPTO"96, Springer, 237-251.
[Kn94] Knudsen L., "Truncated and Higher Order Differentials", Fast Software Encryption, Second International Workshop, Belgium, December, 1994, Springer, 196-211.
[KnRo96] Knudsen L.R., Robshaw M.J.B., "Non-Linear Approximation in Linear Cryptanalysis", EUROCRYPT"96, 224-236.
[Lai94] Lai X., "Higher Order Derivatives and Differential Cryptanalysis", Communications and Cryptography, Kluwer Academic Publishers, 1994, 227-233.
[LaMa94] Langford S.K., Hellman M.E., "Differential-Linear Cryptanalysis", CRYPTO"94, Springer, 17-25.
[MY92] Matsui M., Yamagishi A., "A new method for known plaintext attack of FEAL cipher", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer-Verlag, Berlin, 1992, 81-91.
[Mat93] Matsui M., "Linear cryptanalysis method for DES cipher", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 1994, 386-397.
[Mer78] Merkle R.C., "Secure Communication Over Insecure Channels", Communications of the ACM, v. 21, no. 4, 1978, 294-299.
[Mur90] Murphy S., "The cryptanalysis of FEAL-4 with 20 chosen plaintexts", Journal of Cryptology, 1990, v. 3, No. 2, 145-154.
[MPWW94] Murphy S., Piper F., Walker M., Wild P., "Likelihood estimation for block cipher keys", unpublished, May 1994.
[Rup92] in G.L. Simmons (ed.)., "Contemporary Cryptology, The Science of Information Integrity", IEEE, New York, 1992.
[Sh49] Shannon C.E., "Communication theory of secrecy systems", Bell System Technical Journal, v. 28, 1949, 656-715.
[Wag99] Wagner D., "The Boomerang Attack", proceedings of Fast Software Encryption"99, Springer Verlag, Lecture Notes in Computer Science, v. 1636, 1999, 156-170.
[YG00] Youssef A.M., Gong G., "On the Interpolation Attacks on Block Ciphers", Techical Report, Center for Applied Cryptographic Research, University of Waterloo, Canada, 2000.
Источник: сайт Cryptography.Ru