Дәріс №11. Тақырыбы: Дифференциалды криптоанализ.
Талдау әр циклде шифрлаудың басқа ішкі кілті пайдаланылады деп болжайды. ДКА таңдалған және белгілі ашық мәтіндерді қолдана алады. r-циклдік шифрды бұзудың мұндай әрекеттерінің табысы ықтималдығы жоғары (r-1)-ші циклдің дифференциалдарының болуына байланысты. i-ші циклдің дифференциалы (a, b) i жұбы ретінде анықталады, сондықтан әр түрлі а, x айырмашылығы бар қарапайым мәтіндердің жұбы y, y * шығатын мәтіндердің жұпына әкелуі мүмкін. i айырмашылығы бар цикл (сәйкесінше айырмашылық ұғымы үшін). I-цикл дифференциалының ықтималдығы (a, b) i-шартты ықтималдық P(Dy(i) = b | Dx = a) шифр мәтінінің жұбының Dy(i) айырмасы (y, y*) i-ші циклден кейін b (егер x, x*) мәтін жұбы Dx = a айырмашылығы болса, b-ге тең болады; ашық мәтін x және ішкі циклдар (1), (2), ...., (i) тәуелсіз және жабдықталатын. r-циклдік шифр үшін негізгі ДКА процедурасы таңдалған ашық мәтіндерді қолдану келесідей болуы мүмкін:
Алдын ала есептеу кезеңінде (r-1)-циклдің дифференциалдарының (a1, b1)r-1, (a2, b2)r-1, ..., (as, bs)r-1 жиынтығын іздейміз. Осы дифференциалдар жиынын олардың ықтималдығына қарай орналастырайық.
х-ті еркін түрде таңдап, х пен x* арасындағы айырмашылық 1-ге тең болатындай етіп x* есептеңіз, х және х* мәтіндері шын кілт арқылы шифрланады және r циклдарынан кейін у(r), y*(r) цифрлік мәтіндері шығады. Алғашқы цикл (r-1) циклінің шығуында шифрлық мәтіндер арасындағы айырмашылық ең ықтималға тең болады деп есептейміз: Dy(r-1) = b1. Үштік үшін (Dy(r-1), y(r), y*( r)) соңғы цикл ішкі батырмасының (мүмкін болса) әрбір мәнін табу k(r). Біз оны қосалқы кілттің әрбір осындай мәнінің пайда болу санына қосамыз (r).
k(r) кілті астындағы бір немесе бірнеше мән басқаларға қарағанда жиі пайда болғанға дейін 2-қадамды қайталаңыз. Біз осы кілтті немесе осындай кілттердің жиынтығын k(r) кілтке арналған криптографиялық шешім ретінде аламыз.
Алдыңғы цикл үшін 1-3 тармақтарын қайталаңыз, ал y(r-1) мәндері соңғы цикл кілтінің астында табылған шифрмәтіндерді k(r) дейін шифрлау арқылы есептеледі.
Белгілі бір шифрды талдау үшін алғаш рет ұсынылған ДКА Марков шифрларының кең тобын талдау үшін қолдануға жарамды болып шықты. Марков шифры - бір циклдегі шифрлау теңдеуі шартты қанағаттандыратын шифр: дифференциал ықтималдығы қарапайым мәтіндерді таңдауға байланысты емес. Содан кейін, егер циклдердің қосалқы кілттері тәуелсіз болса, онда әр циклден кейінгі айырмашылықтар тізбегі Марков тізбегін құрайды, онда келесі күй тек алдыңғы тізбекпен анықталады. Марков шифрларының мысалы - DES және FEAL. Тәуелсіз қосалқы кілттері бар Марков r циклінің шифры ДКА-ға осал екенін көрсетуге болады, егер бір шифрлау циклі үшін белгілі үштік (y, y*, Dx) кілтін оңай есептеуге болатын болса, бар (r-1)-циклдік дифференциал (a, b)k-1, оның ықтималдығы шартты қанағаттандыратындай
P(Dy(r-1)=b | Dx=a )>>2-n ,
мұндағы n - шифрланған мәтін блогындағы бит саны.
Q(r) циклдік шифрінің кілтін ашудың күрделілігі келесі кілтті есептеу кезінде қолданылатын шифрлау санымен анықталады:
Q(r)- 2/ (Pmax - 1/(2n-1)),
мұнда Pmax=max(a)max(b)(P(Dy(r-1)=b | Dx=a )).
Атап айтқанда, егер Pmax = 1/(2n-1) болса, онда шабуыл сәтті болмайды. Шифрлаудан гөрі кілт бойынша есептеу көп уақытты қажет ететін операция болғандықтан, күрделіліктің өлшем бірлігі-белгілі циклдің мүмкін болатын кілттерін табудың күрделілігі.
(Dy(r-1),y(r),y*(r)).
Дифференциалды талдаудың айрықша ерекшелігі - ол шифрдың алгебралық қасиеттерін іс жүзінде қолданбайды (сызықтық, аффинит, транзитивтілік, тұйықтық және т.б.), тек дифференциалдық ықтималдылықтың біркелкі емес таралуына негізделген.
Достарыңызбен бөлісу: |