ВУЗ:
Составители:
51
5. МЕТОД «ВСТРЕЧА ПОСЕРЕДИНЕ»
Рассмотрим каскадный метод построения сложного шифра из исходных
простых. Даны два шифра Т
1
(х, к
1
) и Т
2
(у, к
2
). Шифртекст у получается из от-
крытого текста х композицией отображений Т
1
и Т
2
, то есть
у = Т
2
(Т
1
(х, к
1
), к
2
).
Ключ шифра – вектор к = (к
1
, к
2
), где к
1
∈К
1
, к
2
∈К
2
, К = К
1
хК
2
. Разумеется,
в Т
1
и Т
2
согласованы области определения и значений при любых к
1
∈К
1
и
к
2
∈К
2
и расшифрование происходит применением следующего преобразования:
х = Т
1
(Т
2
(у, к
2
), к
1
).
Трудоемкость полного перебора равна
2
21
К
. Вместе с тем можно со-
кратить перебор, увеличив используемую память. Пусть для известной пары (х,
у) ключ (к
К
е м все
1 1
1
ицу
2
(j)
2 2
(1)
1
(i)
2
(j)
1
, к
2
) опред ляется единственным образо . Для х к
(i)
∈К , i= 1, … ,
|К
| тпостроим абл
у
1
=Т
1
(х, к
1
(1)
)
(23) …………….
у
|К1|
=Т
1
(х, к
1
(|К1|)
).
Вычисление таблицы по формулам (23) потребует |К
1
| операций опробова-
ния. л ющую таблицу для всех к
∈К , j = 1, … , |К |.
Построим с еду
)
у’
1
=Т
-1
1
(у, к
2
(24) …………….
у’
|К2|
=Т
-1
1
(у, к
2
(|К2|)
).
Вычисление таблицы по формулам (24) потребует |К
2
| операций опробова-
ния. Объединим эти таблицы и проведем их упорядочивание в соответствии с
некоторым порядком на множестве значений промежуточных шифртекстов.
Пара у
i
= у’
j
при некоторых (i,j) определяет использованный ключ (к ,к ). Для
ее нахождения достаточно просмотреть аблицу. т
ЗАКЛЮЧЕНИЕ
Линейный криптоанализ в значительной степени зависит от структуры S-
блоков. Как оказалось, S-блоки DES не оптимизированы против такого метода
вскрытия. Действительно, смещение в S-блоках, реализованное в DES, состав-
ляет 9–16%, что не обеспечивает надежной защиты от линейного криптоанали-
за. Согласно Дону Копперсмиту, устойчивость к линейному криптоанализу “не
входило в число критериев проектирования DES”. Либо разработчики
не знали
о существовании линейного криптоанализа, либо при проектировании отдали
преимущество устойчивости против известной им более мощной атаки. Линей-
ный криптоанализ современнее дифференциального и в ближайшее время воз-
можно дальнейшее продвижение в этом направлении. Некоторые идеи выдви-
нуты в /1270, 811/, но неясно, можно ли их эффективно применить против пол-
Страницы
- « первая
- ‹ предыдущая
- …
- 49
- 50
- 51
- 52
- 53
- …
- следующая ›
- последняя »
