Википедия

Линейный криптоанализ

18 Июл, 2025 / 03:03

В криптографии линейным криптоанализом называется метод криптоанализа, использующий линейные приближения для описания работы шифра.

Линейный криптоанализ был изобретён японским криптологом Мицуру Мацуи (яп. 松井 充 Мацуи Мицуру). Предложенный им в 1993 году (на конференции Eurocrypt '93) алгоритм был изначально направлен на вскрытие DES и FEAL. Впоследствии линейный криптоанализ был распространён и на другие алгоритмы. На сегодняшний день наряду с дифференциальным криптоанализом является одним из наиболее распространённых методов вскрытия блочных шифров. Также пригоден для атак на потоковые шифры.

Открытие линейного криптоанализа послужило толчком к построению новых криптографических схем.

Принцип работы

Криптоанализ происходит в два шага. Первый — построение соотношений между открытым текстом, шифртекстом и ключом, которые справедливы с высокой вероятностью. Второй — использование этих соотношений вместе с известными парами «открытый текст — шифртекст» для получения битов ключа.

Построение линейных уравнений

Смысл алгоритма состоит в получении соотношений следующего вида:

image

где image — n-ые биты текста, шифртекста и ключа соответственно.

Данные соотношения называются линейными аппроксимациями. Вероятность P справедливости такого соотношения для произвольно выбранных битов открытого текста, шифртекста и ключа примерно равна 1/2. Такими соотношениями, вероятность которых заметно отличается от 1/2, можно пользоваться для вскрытия алгоритма.

Идея линейного криптоанализа — определить выражения вида (1), которые имеют высокую или низкую вероятность возникновения. Если алгоритм шифрования имеет высокую частоту выполнения уравнения (1), или напротив, уравнение выполняется с низкой частотой, то это свидетельствует о бедной способности рандомизации шифра. Если вероятность выполнения уравнения (1) равна p, то вероятность смещения p − 1/2. Чем больше величина вероятности смещения |p − 1/2|, тем лучше применимость линейного криптоанализа с меньшим количеством открытых текстов, необходимых для атаки.

Есть несколько видов атак линейного криптоанализа. Рассматривается алгоритм Мацуи: изначально для каждого раунда шифра находится линейная аппроксимация с наибольшей вероятностью смещения. Полученные выражения объединяются в общую для всех раундов линейную аппроксимацию, вероятность смещения которой позволяет найти лемма о набегании знаков.

Далее рассматривается алгоритм нахождения наилучшей линейной аппроксимации для одного раунда. В блочных шифрах анализ преимущественно концентрируется на S-блоки, так как они являются нелинейной частью шифра. Так как S-блок принимает на входе m битов и возвращает n битов, от криптоаналитика требуется построить 2m+n аппроксимаций. Чтобы найти вероятность для одной аппроксимации, на вход S-блоку даются все 2m возможных входных значений и идёт подсчёт, сколько раз данная аппроксимация верна для входных и выходных битов. Полученное количество совпадений делится на 2m. В алгоритме DES наибольшую вероятность смещения имеет линейная аппроксимация для таблицы S5, в которой четвёртый из шести входных битов равен XOR над всеми четырьмя выходными битами с вероятностью 12/64. Для полнораундового DES получено соотношение с вероятностью выполнения 1/2 + 2−24.

Линейный криптоанализ имеет одно очень полезное свойство: при определённых условиях (например, когда об открытом тексте известно, что он состоит из символов в кодировке ASCII) можно свести соотношение (1) к уравнению вида:

image

Здесь отсутствуют биты открытого текста, то есть можно построить атаку на основе только шифртекста. Такая атака может применяться к перехваченному шифртексту и является более практичной.

Лемма о набегании знаков

Хотя аппроксимацию с наибольшим отклонением от 1/2 не сложно найти для одного раунда, возникает проблема с вычислением вероятности смещения при экстраполировании метода на полнораундовый шифр. В принципе, это потребовало бы от криптоаналитика просмотреть все возможные комбинации открытых текстов и ключей, что невыполнимо. Решение этой проблемы — сделать ряд предположений и приблизить вероятность, используя [англ.]. Пусть мы получили линейные аппроксимации image для различных раундов, которые равны 0 с вероятностью image. Тогда вероятность того, что общая линейная аппроксимация image равняется нулю, равна

image

Получение битов ключа

Как только получена линейная аппроксимация, можно применить прямой алгоритм и, используя пары открытый текст-шифртекст, предположить значения битов ключа. При этом логично использовать максимально эффективное соотношение, то есть такое, для которого отклонение вероятности P от 1/2 максимально.

Для каждого набора значений битов ключа в правой части уравнения (1) вычисляется количество пар открытый текст-шифртекст T, для которых справедливо равенство (1). Тот кандидат, для которого отклонение T от половины количества пар открытый текст-шифртекст — наибольшее по абсолютному значению, полагается наиболее вероятным набором значений битов ключа.

Применение

Линейный криптоанализ изначально разрабатывался для атак на блочные шифры, но применим и к потоковым. Самим разработчиком было подробно изучено его применение к DES.

Применение к DES

Эксперименты Мицуру Мацуи по атакам по открытому тексту (вычисления проводились на HP9750 66 МГц) дали следующие результаты:

  • На 8-раундовый DES понадобилось 221 известных открытых текстов. Атака заняла 40 секунд.
  • На 12-раундовый DES понадобилось 233 известных открытых текстов и 50 часов.
  • На 16-раундовый DES потребовалось 243 известных открытых текстов и 50 дней.

В 2001 году Паскаль Жюно (фр. Pascal Junod) провёл ряд экспериментов, чтобы определить сложность атаки. В результате оказалось, что в действительности атака на 16-раундовый DES может успешно применяться при наличии 239—241 известных текстов.

При большом количестве раундов шифра линейный криптоанализ, как правило, используется вместе с методом «грубой силы» — после того, как определённые биты ключа найдены с помощью линейного криптоанализа, проводится исчерпывающий поиск по возможным значениям остальных битов. У такого подхода есть несколько оснований: во-первых, наилучшие линейные аппроксимации позволяют найти значения лишь некоторых битов ключа, во-вторых, количество требуемых открытых текстов в таком случае меньше, а перебор оставшихся битов ключа занимает меньше времени.

В отличие от дифференциального криптоанализа, которому требуются выбранные открытые тексты, метод довольствуется известными открытыми текстами, что существенно увеличивает его область применения. Однако и в линейном криптоанализе иногда бывает полезно использовать выбранные открытые тексты вместо известных. Например, для DES существует методика, значительно уменьшающая количество требуемых данных и вычислений, используя выбранные открытые тексты.

Применение к другим методам шифрования

Помимо DES и FEAL, известны и другие алгоритмы, подверженные линейному криптоанализу, например:

  1. Линейный криптоанализ действует против алгоритма RC5 в случае, если искомый ключ шифрования попадает в класс слабых ключей.
  2. Алгоритмы NUSH и NOEKEON также вскрываются методом линейного криптоанализа.
  3. Расширение линейного криптоанализа, основанное на некоррелирующих между собой линейных аппроксимациях, применимо для вскрытия 6-раундовых AES-192 и AES-256, а также 13-раундового CLEFIA-256.

Защита от линейного криптоанализа

Для атаки на блочный шифр с помощью линейного криптоанализа достаточно, как было описано выше, получить линейное соотношение, существенно смещённое по вероятности от 1/2. Соответственно, первая цель при проектировании шифра, стойкого к атаке, — минимизировать вероятностные смещения, убедиться, что подобное соотношение не будет существовать. Другими словами, необходимо сделать так, чтобы блочный шифр удовлетворял строгому лавинному критерию (СЛК). Говорят, что блочный шифр удовлетворяет СЛК, если при любом изменении текста или ключа в получающемся шифртексте ровно половина битов меняет своё значение на противоположное, причём каждый бит изменяется с вероятностью 1/2. Обычно это достигается путём выбора высоко нелинейных S-блоков и усилением диффузии.

Данный подход обеспечивает хорошее обоснование стойкости шифра, но, чтобы строго доказать защищённость от линейного криптоанализа, разработчикам шифров необходимо учитывать более сложное явление — эффект линейных оболочек (англ. linear hull effect). Следует заметить, что шифры, которые оптимальны против некоторого узкого класса атак, обычно слабы против других типов атак. К примеру, известно расположение S-блоков в DES, при котором существенно увеличивается стойкость к линейному криптоанализу, но ухудшается стойкость к дифференциальному криптоанализу.

Значительную роль в построении стойких S-блоков сыграло применение бент-функций. В 1982 году было обнаружено, что последовательности максимальной длины, построенные на основе бент-функций, имеют предельно низкие значения как взаимной корреляции, так и автокорреляции. Впоследствии ряд криптографов работал над применением бент-функций и их векторных аналогов для предельного повышения криптографической стойкости блочных шифров к линейному и дифференциальному анализу.

См. также

  • Дифференциальный криптоанализ

Примечания

  1. Matsui, 1993.
  2. Фергюсон, Шнайер, 2004, с. 82.
  3. Heys H. M., Tavares S. E. Substitution-permutation networks resistant to differential and linear cryptanalysis (англ.) // Journal of Cryptology / I. Damgård — Springer Science+Business Media, International Association for Cryptologic Research, 1996. — Vol. 9, Iss. 1. — P. 1—19. — ISSN 0933-2790; 1432-1378 — doi:10.1007/BF02254789
  4. Heys, 2002.
  5. Matsui, 1994.
  6. Bogdanov A., Rijmen V. Linear Hulls with Correlation Zero and Linear Cryptanalysis of Block Ciphers (англ.) // Designs, Codes and Cryptography — Springer US, Springer Science+Business Media, 2014. — Vol. 70, Iss. 3. — P. 369—383. — ISSN 0925-1022; 1573-7586 — doi:10.1007/S10623-012-9697-Z
  7. Knudsen L. R., Mathiassen J. E. A Chosen-Plaintext Linear Attack on DES (англ.) // Fast Software Encryption: 7th International Workshop, FSE 2000 New York, NY, USA, April 10–12, 2000 Proceedings / G. Goos, J. Hartmanis, J. van Leeuwen, B. Schneier — Berlin: Springer Berlin Heidelberg, 2001. — P. 262—272. — (Lecture Notes in Computer Science; Vol. 1978) — ISBN 978-3-540-41728-6 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-44706-7_18
  8. Matsui, 1993, с. 389.
  9. Matsui, 1993, с. 397.
  10. Matsui, 1993, с. 389, 394.
  11. Kruppa H., Shah S. U. A. Differential and Linear Cryptanalysis in Evaluating AES Candidate Algorithms (англ.) — 1998.
  12. Matsui, 1993, с. 387.
  13. Junod P. On the Complexity of Matsui’s Attack (англ.) // Selected Areas in Cryptography: 8th Annual International Workshop, SAC 2001 Toronto, Ontario, Canada, August 16–17, 2001 Revised Papers / S. Vaudenay, A. M. Youssef — Berlin, Heidelberg, New York City, London: Springer Berlin Heidelberg, 2001. — P. 199—211. — 364 p. — (Lecture Notes in Computer Science; Vol. 2259) — ISBN 978-3-540-43066-7 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-45537-X_16
  14. Heys H. M. Linearly weak keys of RC5 (англ.) // Electronics Letters — IEEE, 1997. — Vol. 33, Iss. 10. — P. 836—837. — ISSN 0013-5194; 1350-911X — doi:10.1049/EL:19970601
  15. Wu W., Feng D. Linear cryptanalysis of NUSH block cipher (англ.) // Science in China Series F: Information Sciences — Science China Press, Springer Science+Business Media, 2002. — Vol. 45, Iss. 1. — P. 59—67. — ISSN 1674-733X; 1869-1919
  16. Knudsen L. R., Raddum H. On Noekeon (англ.): NES/DOC/UIB/WP3/009/1. Public report of the NESSIE project — 2001.
  17. Security Evaluation of NESSIE First Phase (D13). Дата обращения: 2 декабря 2015. Архивировано из оригинала 11 августа 2017 года.
  18. Röck A., Nyberg K. Exploiting Linear Hull in Matsui's Algorithm (англ.) // WCC 2011: The Seventh International Workshop on Coding and Cryptography, April 11-15, 2011 Paris, France. Proceedings — 2011.
  19. Matsui M. On correlation between the order of S-boxes and the strength of DES (англ.) // Advances in Cryptology — EUROCRYPT '94: Workshop on the Theory and Application of Cryptographic Techniques Perugia, Italy, May 9–12, 1994 Proceedings / A. D. Santis — Berlin: Springer Berlin Heidelberg, 1995. — P. 366—375. — ISBN 978-3-540-60176-0 — doi:10.1007/BFB0053451
  20. Olsen J. D., Scholtz R. A., Welch L. R. Bent-function sequences (англ.) // IEEE Transactions on Information Theory / F. Kschischang — IEEE, 1982. — Vol. 28, Iss. 6. — P. 858—864. — ISSN 0018-9448; 1557-9654 — doi:10.1109/TIT.1982.1056589
  21. Forrié R. The Strict Avalanche Criterion: Spectral Properties of Boolean Functions and an Extended Definition (англ.) // Advances in Cryptology — CRYPTO ’88: Proceedings / S. Goldwasser — New York City: Springer New York, 1990. — P. 450—468. — (Lecture Notes in Computer Science; Vol. 403) — ISBN 978-0-387-97196-4 — ISSN 0302-9743; 1611-3349 — doi:10.1007/0-387-34799-2
  22. Nyberg K. Perfect nonlinear S-boxes (англ.) // Advances in Cryptology — EUROCRYPT ’91: Workshop on the Theory and Application of Cryptographic Techniques Brighton, UK, April 8–11, 1991. Proceedings / D. W. Davies — Berlin: Springer Berlin Heidelberg, 1991. — P. 378—386. — ISBN 978-3-540-54620-7 — doi:10.1007/3-540-46416-6_32
  23. Seberry J., Zhang X. Highly Nonlinear 0-1 Balanced Boolean Functions Satisfying Strict Avalanche Criterion (Extended Abstract) (англ.) // Advances in Cryptology — AUSCRYPT '92: Workshop on the Theory and Application of Cryptographic Techniques Gold Coast, Queensland, Australia, December 13–16, 1992 Proceedings / J. Seberry, Y. Zheng — Berlin: Springer Berlin Heidelberg, 1993. — P. 143—155. — (Lecture Notes in Computer Science; Vol. 718) — ISBN 978-3-540-57220-6 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-57220-1
  24. Adams C. M. Constructing Symmetric Ciphers Using the CAST Design Procedure (англ.) // Designs, Codes and Cryptography — Springer US, Springer Science+Business Media, 1997. — Vol. 12, Iss. 3. — P. 283—316. — ISSN 0925-1022; 1573-7586 — doi:10.1023/A:1008229029587

Литература

  • Matsui M. Linear Cryptanalysis Method for DES Cipher (англ.) // Advances in Cryptology — EUROCRYPT ’93: Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings / T. Helleseth — 1 — Berlin: Springer Berlin Heidelberg, 1993. — P. 386—397. — 465 p. — ISBN 978-3-540-57600-6 — doi:10.1007/3-540-48285-7_33
  • Matsui M. The First Experimental Cryptanalysis of the Data Encryption Standard (англ.) // Advances in Cryptology — CRYPTO’94: 14th Annual International Cryptology Conference Santa Barbara, California, USA August 21–25, 1994 Proceedings / Y. G. Desmedt — Berlin: Springer Berlin Heidelberg, 1994. — P. 1—11. — (Lecture Notes in Computer Science; Vol. 839) — ISBN 978-3-540-58333-2 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-48658-5_1
  • Heys H. M. A Tutorial on Linear and Differential Cryptanalysis (англ.) // Cryptologia — United States: Taylor & Francis, 2002. — Vol. 26, Iss. 3. — P. 189—221. — ISSN 0161-1194; 1558-1586 — doi:10.1080/0161-110291890885
  • Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М.: Диалектика, 2004. — 432 с. — 3000 экз. — ISBN 5-8459-0733-0, ISBN 0-4712-2357-3.

Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Линейный криптоанализ, Что такое Линейный криптоанализ? Что означает Линейный криптоанализ?

V kriptografii linejnym kriptoanalizom nazyvaetsya metod kriptoanaliza ispolzuyushij linejnye priblizheniya dlya opisaniya raboty shifra Linejnyj kriptoanaliz byl izobretyon yaponskim kriptologom Micuru Macui yap 松井 充 Macui Micuru Predlozhennyj im v 1993 godu na konferencii Eurocrypt 93 algoritm byl iznachalno napravlen na vskrytie DES i FEAL Vposledstvii linejnyj kriptoanaliz byl rasprostranyon i na drugie algoritmy Na segodnyashnij den naryadu s differencialnym kriptoanalizom yavlyaetsya odnim iz naibolee rasprostranyonnyh metodov vskrytiya blochnyh shifrov Takzhe prigoden dlya atak na potokovye shifry Otkrytie linejnogo kriptoanaliza posluzhilo tolchkom k postroeniyu novyh kriptograficheskih shem Princip rabotyKriptoanaliz proishodit v dva shaga Pervyj postroenie sootnoshenij mezhdu otkrytym tekstom shifrtekstom i klyuchom kotorye spravedlivy s vysokoj veroyatnostyu Vtoroj ispolzovanie etih sootnoshenij vmeste s izvestnymi parami otkrytyj tekst shifrtekst dlya polucheniya bitov klyucha Postroenie linejnyh uravnenij Smysl algoritma sostoit v poluchenii sootnoshenij sleduyushego vida Pi1 Pi2 Pia Cj1 Cj2 Cjb Kk1 Kk2 Kkc 1 displaystyle P i 1 oplus P i 2 oplus dots oplus P i a oplus C j 1 oplus C j 2 oplus dots oplus C j b K k 1 oplus K k 2 oplus dots oplus K k c qquad 1 gde Pn Cn Kn displaystyle P n C n K n n ye bity teksta shifrteksta i klyucha sootvetstvenno Dannye sootnosheniya nazyvayutsya linejnymi approksimaciyami Veroyatnost P spravedlivosti takogo sootnosheniya dlya proizvolno vybrannyh bitov otkrytogo teksta shifrteksta i klyucha primerno ravna 1 2 Takimi sootnosheniyami veroyatnost kotoryh zametno otlichaetsya ot 1 2 mozhno polzovatsya dlya vskrytiya algoritma Ideya linejnogo kriptoanaliza opredelit vyrazheniya vida 1 kotorye imeyut vysokuyu ili nizkuyu veroyatnost vozniknoveniya Esli algoritm shifrovaniya imeet vysokuyu chastotu vypolneniya uravneniya 1 ili naprotiv uravnenie vypolnyaetsya s nizkoj chastotoj to eto svidetelstvuet o bednoj sposobnosti randomizacii shifra Esli veroyatnost vypolneniya uravneniya 1 ravna p to veroyatnost smesheniya p 1 2 Chem bolshe velichina veroyatnosti smesheniya p 1 2 tem luchshe primenimost linejnogo kriptoanaliza s menshim kolichestvom otkrytyh tekstov neobhodimyh dlya ataki Est neskolko vidov atak linejnogo kriptoanaliza Rassmatrivaetsya algoritm Macui iznachalno dlya kazhdogo raunda shifra nahoditsya linejnaya approksimaciya s naibolshej veroyatnostyu smesheniya Poluchennye vyrazheniya obedinyayutsya v obshuyu dlya vseh raundov linejnuyu approksimaciyu veroyatnost smesheniya kotoroj pozvolyaet najti lemma o nabeganii znakov Dalee rassmatrivaetsya algoritm nahozhdeniya nailuchshej linejnoj approksimacii dlya odnogo raunda V blochnyh shifrah analiz preimushestvenno koncentriruetsya na S bloki tak kak oni yavlyayutsya nelinejnoj chastyu shifra Tak kak S blok prinimaet na vhode m bitov i vozvrashaet n bitov ot kriptoanalitika trebuetsya postroit 2m n approksimacij Chtoby najti veroyatnost dlya odnoj approksimacii na vhod S bloku dayutsya vse 2m vozmozhnyh vhodnyh znachenij i idyot podschyot skolko raz dannaya approksimaciya verna dlya vhodnyh i vyhodnyh bitov Poluchennoe kolichestvo sovpadenij delitsya na 2m V algoritme DES naibolshuyu veroyatnost smesheniya imeet linejnaya approksimaciya dlya tablicy S5 v kotoroj chetvyortyj iz shesti vhodnyh bitov raven XOR nad vsemi chetyrmya vyhodnymi bitami s veroyatnostyu 12 64 Dlya polnoraundovogo DES polucheno sootnoshenie s veroyatnostyu vypolneniya 1 2 2 24 Linejnyj kriptoanaliz imeet odno ochen poleznoe svojstvo pri opredelyonnyh usloviyah naprimer kogda ob otkrytom tekste izvestno chto on sostoit iz simvolov v kodirovke ASCII mozhno svesti sootnoshenie 1 k uravneniyu vida Cj1 Cj2 Cjb Kk1 Kk2 Kkc displaystyle C j 1 oplus C j 2 oplus dots oplus C j b K k 1 oplus K k 2 oplus ldots oplus K k c Zdes otsutstvuyut bity otkrytogo teksta to est mozhno postroit ataku na osnove tolko shifrteksta Takaya ataka mozhet primenyatsya k perehvachennomu shifrtekstu i yavlyaetsya bolee praktichnoj Lemma o nabeganii znakov Hotya approksimaciyu s naibolshim otkloneniem ot 1 2 ne slozhno najti dlya odnogo raunda voznikaet problema s vychisleniem veroyatnosti smesheniya pri ekstrapolirovanii metoda na polnoraundovyj shifr V principe eto potrebovalo by ot kriptoanalitika prosmotret vse vozmozhnye kombinacii otkrytyh tekstov i klyuchej chto nevypolnimo Reshenie etoj problemy sdelat ryad predpolozhenij i priblizit veroyatnost ispolzuya angl Pust my poluchili linejnye approksimacii Fi 1 i n displaystyle F i 1 leq i leq n dlya razlichnyh raundov kotorye ravny 0 s veroyatnostyu pi displaystyle p i Togda veroyatnost togo chto obshaya linejnaya approksimaciya F1 F2 Fn displaystyle F 1 oplus F 2 oplus dots oplus F n ravnyaetsya nulyu ravna P 12 2n 1 i 1n pi 12 displaystyle P frac 1 2 2 n 1 prod i 1 n p i frac 1 2 Poluchenie bitov klyucha Kak tolko poluchena linejnaya approksimaciya mozhno primenit pryamoj algoritm i ispolzuya pary otkrytyj tekst shifrtekst predpolozhit znacheniya bitov klyucha Pri etom logichno ispolzovat maksimalno effektivnoe sootnoshenie to est takoe dlya kotorogo otklonenie veroyatnosti P ot 1 2 maksimalno Dlya kazhdogo nabora znachenij bitov klyucha v pravoj chasti uravneniya 1 vychislyaetsya kolichestvo par otkrytyj tekst shifrtekst T dlya kotoryh spravedlivo ravenstvo 1 Tot kandidat dlya kotorogo otklonenie T ot poloviny kolichestva par otkrytyj tekst shifrtekst naibolshee po absolyutnomu znacheniyu polagaetsya naibolee veroyatnym naborom znachenij bitov klyucha PrimenenieLinejnyj kriptoanaliz iznachalno razrabatyvalsya dlya atak na blochnye shifry no primenim i k potokovym Samim razrabotchikom bylo podrobno izucheno ego primenenie k DES Primenenie k DES Eksperimenty Micuru Macui po atakam po otkrytomu tekstu vychisleniya provodilis na HP9750 66 MGc dali sleduyushie rezultaty Na 8 raundovyj DES ponadobilos 221 izvestnyh otkrytyh tekstov Ataka zanyala 40 sekund Na 12 raundovyj DES ponadobilos 233 izvestnyh otkrytyh tekstov i 50 chasov Na 16 raundovyj DES potrebovalos 243 izvestnyh otkrytyh tekstov i 50 dnej V 2001 godu Paskal Zhyuno fr Pascal Junod provyol ryad eksperimentov chtoby opredelit slozhnost ataki V rezultate okazalos chto v dejstvitelnosti ataka na 16 raundovyj DES mozhet uspeshno primenyatsya pri nalichii 239 241 izvestnyh tekstov Pri bolshom kolichestve raundov shifra linejnyj kriptoanaliz kak pravilo ispolzuetsya vmeste s metodom gruboj sily posle togo kak opredelyonnye bity klyucha najdeny s pomoshyu linejnogo kriptoanaliza provoditsya ischerpyvayushij poisk po vozmozhnym znacheniyam ostalnyh bitov U takogo podhoda est neskolko osnovanij vo pervyh nailuchshie linejnye approksimacii pozvolyayut najti znacheniya lish nekotoryh bitov klyucha vo vtoryh kolichestvo trebuemyh otkrytyh tekstov v takom sluchae menshe a perebor ostavshihsya bitov klyucha zanimaet menshe vremeni V otlichie ot differencialnogo kriptoanaliza kotoromu trebuyutsya vybrannye otkrytye teksty metod dovolstvuetsya izvestnymi otkrytymi tekstami chto sushestvenno uvelichivaet ego oblast primeneniya Odnako i v linejnom kriptoanalize inogda byvaet polezno ispolzovat vybrannye otkrytye teksty vmesto izvestnyh Naprimer dlya DES sushestvuet metodika znachitelno umenshayushaya kolichestvo trebuemyh dannyh i vychislenij ispolzuya vybrannye otkrytye teksty Primenenie k drugim metodam shifrovaniya Pomimo DES i FEAL izvestny i drugie algoritmy podverzhennye linejnomu kriptoanalizu naprimer Linejnyj kriptoanaliz dejstvuet protiv algoritma RC5 v sluchae esli iskomyj klyuch shifrovaniya popadaet v klass slabyh klyuchej Algoritmy NUSH i NOEKEON takzhe vskryvayutsya metodom linejnogo kriptoanaliza Rasshirenie linejnogo kriptoanaliza osnovannoe na nekorreliruyushih mezhdu soboj linejnyh approksimaciyah primenimo dlya vskrytiya 6 raundovyh AES 192 i AES 256 a takzhe 13 raundovogo CLEFIA 256 Zashita ot linejnogo kriptoanalizaDlya ataki na blochnyj shifr s pomoshyu linejnogo kriptoanaliza dostatochno kak bylo opisano vyshe poluchit linejnoe sootnoshenie sushestvenno smeshyonnoe po veroyatnosti ot 1 2 Sootvetstvenno pervaya cel pri proektirovanii shifra stojkogo k atake minimizirovat veroyatnostnye smesheniya ubeditsya chto podobnoe sootnoshenie ne budet sushestvovat Drugimi slovami neobhodimo sdelat tak chtoby blochnyj shifr udovletvoryal strogomu lavinnomu kriteriyu SLK Govoryat chto blochnyj shifr udovletvoryaet SLK esli pri lyubom izmenenii teksta ili klyucha v poluchayushemsya shifrtekste rovno polovina bitov menyaet svoyo znachenie na protivopolozhnoe prichyom kazhdyj bit izmenyaetsya s veroyatnostyu 1 2 Obychno eto dostigaetsya putyom vybora vysoko nelinejnyh S blokov i usileniem diffuzii Dannyj podhod obespechivaet horoshee obosnovanie stojkosti shifra no chtoby strogo dokazat zashishyonnost ot linejnogo kriptoanaliza razrabotchikam shifrov neobhodimo uchityvat bolee slozhnoe yavlenie effekt linejnyh obolochek angl linear hull effect Sleduet zametit chto shifry kotorye optimalny protiv nekotorogo uzkogo klassa atak obychno slaby protiv drugih tipov atak K primeru izvestno raspolozhenie S blokov v DES pri kotorom sushestvenno uvelichivaetsya stojkost k linejnomu kriptoanalizu no uhudshaetsya stojkost k differencialnomu kriptoanalizu Znachitelnuyu rol v postroenii stojkih S blokov sygralo primenenie bent funkcij V 1982 godu bylo obnaruzheno chto posledovatelnosti maksimalnoj dliny postroennye na osnove bent funkcij imeyut predelno nizkie znacheniya kak vzaimnoj korrelyacii tak i avtokorrelyacii Vposledstvii ryad kriptografov rabotal nad primeneniem bent funkcij i ih vektornyh analogov dlya predelnogo povysheniya kriptograficheskoj stojkosti blochnyh shifrov k linejnomu i differencialnomu analizu Sm takzheDifferencialnyj kriptoanalizPrimechaniyaMatsui 1993 Fergyuson Shnajer 2004 s 82 Heys H M Tavares S E Substitution permutation networks resistant to differential and linear cryptanalysis angl Journal of Cryptology I Damgard Springer Science Business Media International Association for Cryptologic Research 1996 Vol 9 Iss 1 P 1 19 ISSN 0933 2790 1432 1378 doi 10 1007 BF02254789 Heys 2002 Matsui 1994 Bogdanov A Rijmen V Linear Hulls with Correlation Zero and Linear Cryptanalysis of Block Ciphers angl Designs Codes and Cryptography Springer US Springer Science Business Media 2014 Vol 70 Iss 3 P 369 383 ISSN 0925 1022 1573 7586 doi 10 1007 S10623 012 9697 Z Knudsen L R Mathiassen J E A Chosen Plaintext Linear Attack on DES angl Fast Software Encryption 7th International Workshop FSE 2000 New York NY USA April 10 12 2000 Proceedings G Goos J Hartmanis J van Leeuwen B Schneier Berlin Springer Berlin Heidelberg 2001 P 262 272 Lecture Notes in Computer Science Vol 1978 ISBN 978 3 540 41728 6 ISSN 0302 9743 1611 3349 doi 10 1007 3 540 44706 7 18 Matsui 1993 s 389 Matsui 1993 s 397 Matsui 1993 s 389 394 Kruppa H Shah S U A Differential and Linear Cryptanalysis in Evaluating AES Candidate Algorithms angl 1998 Matsui 1993 s 387 Junod P On the Complexity of Matsui s Attack angl Selected Areas in Cryptography 8th Annual International Workshop SAC 2001 Toronto Ontario Canada August 16 17 2001 Revised Papers S Vaudenay A M Youssef Berlin Heidelberg New York City London Springer Berlin Heidelberg 2001 P 199 211 364 p Lecture Notes in Computer Science Vol 2259 ISBN 978 3 540 43066 7 ISSN 0302 9743 1611 3349 doi 10 1007 3 540 45537 X 16 Heys H M Linearly weak keys of RC5 angl Electronics Letters IEEE 1997 Vol 33 Iss 10 P 836 837 ISSN 0013 5194 1350 911X doi 10 1049 EL 19970601 Wu W Feng D Linear cryptanalysis of NUSH block cipher angl Science in China Series F Information Sciences Science China Press Springer Science Business Media 2002 Vol 45 Iss 1 P 59 67 ISSN 1674 733X 1869 1919 Knudsen L R Raddum H On Noekeon angl NES DOC UIB WP3 009 1 Public report of the NESSIE project 2001 Security Evaluation of NESSIE First Phase D13 neopr Data obrasheniya 2 dekabrya 2015 Arhivirovano iz originala 11 avgusta 2017 goda Rock A Nyberg K Exploiting Linear Hull in Matsui s Algorithm angl WCC 2011 The Seventh International Workshop on Coding and Cryptography April 11 15 2011 Paris France Proceedings 2011 Matsui M On correlation between the order of S boxes and the strength of DES angl Advances in Cryptology EUROCRYPT 94 Workshop on the Theory and Application of Cryptographic Techniques Perugia Italy May 9 12 1994 Proceedings A D Santis Berlin Springer Berlin Heidelberg 1995 P 366 375 ISBN 978 3 540 60176 0 doi 10 1007 BFB0053451 Olsen J D Scholtz R A Welch L R Bent function sequences angl IEEE Transactions on Information Theory F Kschischang IEEE 1982 Vol 28 Iss 6 P 858 864 ISSN 0018 9448 1557 9654 doi 10 1109 TIT 1982 1056589 Forrie R The Strict Avalanche Criterion Spectral Properties of Boolean Functions and an Extended Definition angl Advances in Cryptology CRYPTO 88 Proceedings S Goldwasser New York City Springer New York 1990 P 450 468 Lecture Notes in Computer Science Vol 403 ISBN 978 0 387 97196 4 ISSN 0302 9743 1611 3349 doi 10 1007 0 387 34799 2 Nyberg K Perfect nonlinear S boxes angl Advances in Cryptology EUROCRYPT 91 Workshop on the Theory and Application of Cryptographic Techniques Brighton UK April 8 11 1991 Proceedings D W Davies Berlin Springer Berlin Heidelberg 1991 P 378 386 ISBN 978 3 540 54620 7 doi 10 1007 3 540 46416 6 32 Seberry J Zhang X Highly Nonlinear 0 1 Balanced Boolean Functions Satisfying Strict Avalanche Criterion Extended Abstract angl Advances in Cryptology AUSCRYPT 92 Workshop on the Theory and Application of Cryptographic Techniques Gold Coast Queensland Australia December 13 16 1992 Proceedings J Seberry Y Zheng Berlin Springer Berlin Heidelberg 1993 P 143 155 Lecture Notes in Computer Science Vol 718 ISBN 978 3 540 57220 6 ISSN 0302 9743 1611 3349 doi 10 1007 3 540 57220 1 Adams C M Constructing Symmetric Ciphers Using the CAST Design Procedure angl Designs Codes and Cryptography Springer US Springer Science Business Media 1997 Vol 12 Iss 3 P 283 316 ISSN 0925 1022 1573 7586 doi 10 1023 A 1008229029587LiteraturaMatsui M Linear Cryptanalysis Method for DES Cipher angl Advances in Cryptology EUROCRYPT 93 Workshop on the Theory and Application of Cryptographic Techniques Lofthus Norway May 23 27 1993 Proceedings T Helleseth 1 Berlin Springer Berlin Heidelberg 1993 P 386 397 465 p ISBN 978 3 540 57600 6 doi 10 1007 3 540 48285 7 33 Matsui M The First Experimental Cryptanalysis of the Data Encryption Standard angl Advances in Cryptology CRYPTO 94 14th Annual International Cryptology Conference Santa Barbara California USA August 21 25 1994 Proceedings Y G Desmedt Berlin Springer Berlin Heidelberg 1994 P 1 11 Lecture Notes in Computer Science Vol 839 ISBN 978 3 540 58333 2 ISSN 0302 9743 1611 3349 doi 10 1007 3 540 48658 5 1 Heys H M A Tutorial on Linear and Differential Cryptanalysis angl Cryptologia United States Taylor amp Francis 2002 Vol 26 Iss 3 P 189 221 ISSN 0161 1194 1558 1586 doi 10 1080 0161 110291890885 Nils Fergyuson Bryus Shnajer Prakticheskaya kriptografiya Practical Cryptography Designing and Implementing Secure Cryptographic Systems M Dialektika 2004 432 s 3000 ekz ISBN 5 8459 0733 0 ISBN 0 4712 2357 3 Eta statya vhodit v chislo dobrotnyh statej russkoyazychnogo razdela Vikipedii

18 Июл, 2025 / 03:03
NiNa.Az

NiNa.Az

NiNa.Az - Абсолютно бесплатная система, которая делится для вас информацией и контентом 24 часа в сутки.
Взгляните
Закрыто
© 2019 NiNa.Az - Все права защищены.
Авторские права: Dadash Mammadov