Дифференциальный криптоанализ высшего порядка

В криптографии блочных дифференциальный криптоанализ высшего порядка является обобщением дифференциального криптоанализа , атаки, используемой против шифров . В то время как в стандартном дифференциальном криптоанализе используется разница только между двумя текстами, дифференциальный криптоанализ более высокого порядка изучает распространение набора различий между большим набором текстов. Сюэцзя Лай в 1994 году заложил основу, показав, что дифференциалы являются частным случаем более общего случая производных более высокого порядка. ^[1] Ларс Кнудсен в том же году смог показать, как концепцию производных более высокого порядка можно использовать для проведения атак на блочные шифры. ^[2] Эти атаки могут превосходить стандартный дифференциальный криптоанализ. Дифференциальный криптоанализ высшего порядка, в частности, использовался для взлома KN-Cipher , шифра, который, как ранее было доказано, невосприимчив к стандартному дифференциальному криптоанализу. ^[3]

Производные высшего порядка [ править ]

Блочный шифр, который отображает $n$ -битовые строки для $n$ -битовые строки для фиксированного ключа можно рассматривать как функцию $f:\mathbb {F} _{2}^{n}\to \mathbb {F} _{2}^{n}$ . В стандартном дифференциальном криптоанализе нужно найти пару входных разностей. $\alpha$ и разница выходов $\beta$ такие, что два входных текста с разницей $\alpha$ скорее всего, приведут к выходным текстам с разницей $\beta$ то есть, что $f(m\oplus \alpha )\oplus f(m)=\beta$ верно для многих $m\in \mathbb {F} _{2}^{n}$ . Обратите внимание, что используемая здесь разница представляет собой XOR , что является обычным случаем, хотя возможны и другие определения разницы.

Это мотивирует определение производной функции $f:\mathbb {F} _{2}^{n}\to \mathbb {F} _{2}^{n}$ в какой-то момент $\alpha$ как ^[1]

\Delta _{\alpha }f(x):=f(x\oplus \alpha )\oplus f(x)

.

Используя это определение, $i$ -я производная при $(\alpha _{1},\alpha _{2},\dots ,\alpha _{i})$ можно рекурсивно определить как ^[1]

\Delta _{\alpha _{1},\alpha _{2},\dots ,\alpha _{i}}^{(i)}f(x):=\Delta _{\alpha _{i}}\left(\Delta _{\alpha _{1},\alpha _{2},\dots ,\alpha _{i-1}}^{i-1}f(x)\right)

.

Так например $\Delta _{\alpha _{1},\alpha _{2}}^{(2)}f(x)=f(x)\oplus f(x\oplus \alpha _{1})\oplus f(x\oplus \alpha _{2})\oplus f(x\oplus \alpha _{1}\oplus \alpha _{2})$ .

Производные более высокого порядка, определенные здесь, имеют много общих свойств с обычными производными, например, правило сумм и правило произведения . Важно также, что взятие производной снижает алгебраическую степень функции.

Дифференциальные атаки высшего порядка [ править ]

Для реализации атаки с использованием производных более высокого порядка необходимы знания о распределении вероятностей производной шифра. Вычисление или оценка этого распределения, как правило, является сложной задачей, но если известно, что рассматриваемый шифр имеет низкую алгебраическую степень , можно использовать тот факт, что производные уменьшают эту степень. Например, если известно, что шифр (или анализируемая S-блок-функция) имеет только алгебраическую степень 8, любая производная 9-го порядка должна быть равна 0.

или функции S-box важно Следовательно, для любого шифра иметь максимальную (или близкую к максимальной) степень, чтобы противостоять этой атаке.

Кубические атаки считаются вариантом дифференциальных атак более высокого порядка. ^[4]

порядка Устойчивость к дифференциальным высшего атакам

Ограничения дифференциальных атак порядка высшего

Работает для малых или малых S-блоков или малых S-блоков. В дополнение к операциям AND и XOR.

См. также [ править ]

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б ^с Лай, Сюэцзя (1994). «Производные высшего порядка и дифференциальный криптоанализ». Связь и криптография . Том. 276. Спрингер США. стр. 227–233. дои : 10.1007/978-1-4615-2694-0_23 . ISBN 978-1-4613-6159-6 .
^ Кнудсен, Ларс (1994). Усеченные дифференциалы и дифференциалы высшего порядка ( PDF / PostScript ) . Быстрое программное шифрование (FSE 1994). Спрингер-Верлаг . стр. 196–211 . Проверено 14 февраля 2007 г.
^ Якобсен, Томас и Кнудсен, Ларс (1997). «Интерполяционная атака на блочные шифры». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 1267. Шпрингер Берлин Гейдельберг. стр. 28–40. дои : 10.1007/BFb0052332 . ISBN 978-3-540-63247-4 . {{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Дэниел Дж. Бернштейн (14 января 2009 г.). «Почему атаки куба ничего не сломали?» . Проверено 18 мая 2014 г.

[lai94-1] Перейти обратно: Перейти обратно: ^а ^б ^с Лай, Сюэцзя (1994). «Производные высшего порядка и дифференциальный криптоанализ». Связь и криптография . Том. 276. Спрингер США. стр. 227–233. дои : 10.1007/978-1-4615-2694-0_23 . ISBN 978-1-4613-6159-6 .

[knudsen94-2] Кнудсен, Ларс (1994). Усеченные дифференциалы и дифференциалы высшего порядка ( PDF / PostScript ) . Быстрое программное шифрование (FSE 1994). Спрингер-Верлаг . стр. 196–211 . Проверено 14 февраля 2007 г.

[3] Якобсен, Томас и Кнудсен, Ларс (1997). «Интерполяционная атака на блочные шифры». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 1267. Шпрингер Берлин Гейдельберг. стр. 28–40. дои : 10.1007/BFb0052332 . ISBN 978-3-540-63247-4 . {{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )

[djb-4] Дэниел Дж. Бернштейн (14 января 2009 г.). «Почему атаки куба ничего не сломали?» . Проверено 18 мая 2014 г.

[1]

[2]

[3]

[4]