ВУЗ:
Составители:
45
3. Делаем предположение, что
∆Y(r-1) = β и, зная Y(r) и Y’(r), находим
К(r).
4. Повторяем п/п 2 и 3, пока один подключ не начнет появляться чаще
других.
Несмотря на кажущуюся простоту приведенного выше алгоритма, су-
ществует ряд заметных проблем. Во-первых, пока не будет накоплен доста-
точный объем данных, выделить правильный подключ из шума невозможно.
При атаке на DES для хранения
вероятностей 2
48
возможных ключей необ-
ходимо использовать счетчики, и к тому же для вскрытия понадобится
слишком много данных.
Бихам и Шамир предложили свой способ атаки. Вместо использования
15-раундового дифференциала 16-раундового DES’а, они использовали 13-
раундовый дифференциал и ряд приемов для прохождения последних не-
скольких раундов. Они также использовали некоторые хитрые математиче-
ские приемы
для получения потенциальных 56-битовых ключей, которые
можно немедленно тестировать. Таким образом, устраняется надобность в
счетчиках. Такая атака достигает успеха, как только находится правильная
пара. Однако более подробная информация не приводится и остается лишь
догадываться о том, как именно Бихам и Шамир осуществляли дифференци-
альный криптоанализ.
4.4. Применение дифференциального криптоана-
лиза к алгоритму S_DES, состоящему из 4 циклов
Одним из ключевых моментов остается нахождение дифференциала (r-
1) цикла, то есть в нашем случае это будет дифференциал третьего цикла.
Когда речь идет об одном цикле, то не возникает никаких проблем. Мы лег-
ко можем найти оптимальную пару значений (
∆X1, ∆Y1), показывающую
нам зависимость выхода
∆Y1 f-блока от выхода ∆X1 в этот блок. Пары зна-
чений (
∆X1, ∆Y1) для алгоритма S-DES приведены в табл. 4.8.
Таким образом, можно сказать, что в алгоритме S-DES для одного цик-
ла шифрования можно выделить четыре оптимальные пары, а именно: (0010,
0011), (0010,0111), (1011,1000), (1100,1001). Согласно вышеизложенному
алгоритму, нам необходимо найти дифференциал третьего цикла. Для этого
воспользуемся одной из приведенных выше оптимальных пар, например
(0010, 0011). Мы знаем, что в случае, если
последние 4 бита входного
∆ =
0010, то на выходе f-блока первого цикла с вероятностью р1=3/8 будет полу-
чено
∆ = 0011. Также известно, что если входное ∆ = 0000, то с вероятно-
стью р2=1 на выходе f-блока будет получено
∆ = 0000. Поэтому, для того
чтобы на вход f-блока второго цикла шифрования поступило
∆ = 0000, необ-
ходимо чтобы первые 4 бита входного
∆ были равны 0011, то есть наиболее
вероятному выходу f-блока первого цикла. В этом случае, входная
∆ третье-
Страницы
- « первая
- ‹ предыдущая
- …
- 43
- 44
- 45
- 46
- 47
- …
- следующая ›
- последняя »
