ВУЗ:
Составители:
32
Y1 ⊕ Y2 ⊕ Х9 = K2⊕ K9 ⊕ K3 ⊕ K1 ⊕ K1 = K2⊕ K9 ⊕ K3.
Используя “Накопительную Лемму”, определим, что приведенное
выше выражение выполняется с вероятностью р = ½ + 2n-1(р1 – 1/2)(p2 –
1/2)…(pn – 1/2) = ½ + 22(0 – 1/2)2(3/4 – 1/2) = ¾.
Далее, согласно табл. 3, мы должны рассмотреть приближение, вклю-
чающее блоки S13, S21, S23, и S31, как это показано на рис. 2. При этом
входными битами должны являться значения Х7, Х8 и Х
9.
Итак, U1 = Х ⊕ K, где Х обозначает 9-битный блок исходного откры-
того текста, и знак ⊕ обозначает операцию XOR. Используя линейное
приближение первого цикла, мы получаем
V1,7 ⊕ V1,9 = U1,7 ⊕ U1,8 ⊕ U1,9 = Х7 ⊕ K7 ⊕ Х8⊕ K8 ⊕ Х9 ⊕
⊕ K9 (6)
с вероятностью 1.
Для приближения второго раунда имеем
V2,1 = U2,3
с вероятностью 0, и
V2,7 = U2,9
с вероятностью 0.
Так
как U2,3 = V1,7 ⊕ K3, а U2,9 = V1,9 ⊕ K9, то мы можем получить
приближения для формулы V2,1 = V1,7 ⊕ K3 с вероятностью 0 и для
формулы V2,7 = V1,9 ⊕ K9 с вероятностью 0. Объединив это с выраже-
нием (6), которое выполняется с вероятностью 1, получим
V2,1 ⊕ K3 ⊕ V2,7 ⊕ K9 ⊕ Х7 ⊕ K7 ⊕ Х8⊕ K8 ⊕ Х9 ⊕ K9 = 0 (7)
Теперь можно рассмотреть два случая. В первом случае
для третьего
цикла мы определяем
V3,2 = U3,1 ⊕ U3,3
с вероятностью ¼.
Так как U3,1 = V2,1 ⊕ K1 и U3,3 = V2,7 ⊕ K3, то
V3,2 ⊕ V2,1 ⊕ K1 ⊕ V2,7 ⊕ K3 = 0 (8)
Теперь объединим (7) и (8) для соединения всех трех приближений S-
блоков. Мы получим
V3,2 ⊕ K1 ⊕ K3 ⊕ K3 ⊕ K9 ⊕ Х7 ⊕ K7 ⊕ Х8⊕ K8 ⊕ Х9 ⊕ K9= 0
Заметим, что V3,2 = K2 ⊕ Y2, тогда можно записать
K2
⊕ Y2 ⊕ K1 ⊕ K3 ⊕ K3 ⊕ K9 ⊕ Х7 ⊕ K7 ⊕ Х8⊕ K8 ⊕ Х9 ⊕ K9= 0,
или
Y2 ⊕ X7 ⊕ X8 ⊕ X9 = K1⊕ K7 ⊕ K8 ⊕ K2.
Используя “Накопительную Лемму”, определим, что приведенное
выше выражение выполняется с вероятностью р = ½ + 2n-1(р1 – 1/2)(p2 –
1/2)…(pn – 1/2) = ½ + 23(1 – 1/2)(0 – 1/2)2(1/4 – 1/2) = ¼.
Страницы
- « первая
- ‹ предыдущая
- …
- 30
- 31
- 32
- 33
- 34
- …
- следующая ›
- последняя »
