Я изо всех сил пытаюсь понять атаку DS-MITM на AES (Оригинальная бумага). Особенно 4-раундовый различитель Гилберта и Миньера (раздел 3).
Я понял основную идею, что мы проверяем, какие именно входные байты и ключевые байты являются первой записью AES-State после трех раундов. $C_{11}^{(3)}$ зависит. Итак, у нас есть функция
$f: a_{11} \longrightarrow C_{11}^{(3)}$
(куда $а_{11}$ является первым байтом открытого текста), который полностью определяется 9 однобайтовыми значениями {$c_1,\ldots,c_8,K_{11}^{(3)}$}.
Теперь я вообще не понимаю, как это используется для определения отличительного признака для 4-раундового AES. В нем говорится, что основная идея состоит в том, чтобы найти столкновение этих функций, но я не могу понять, как этого достаточно для различителя.
Предложение определить этот различитель гласит следующее:
Рассмотрим набор из 256 открытых текстов, где запись $а_{11}$
активен, а все остальные записи пассивны. Примените 4 раунда AES к этому
установлен. Пусть функция $S^{â1}$ обозначают инверсию s-блока AES и $к^{(4)}$ обозначать
$0E · K^{(4)}_{11} + 0B · K^{(4)}_{21} + 0D · K^{(4)}_{31} + 09 · K ^{(4)}_{41} .$
затем
$S^{-1}[0E · C^{(4)}_{11} + 0B · C^{(4)}_{21} + 0D · C^{(4)}_{ 31} + 09 · C^{(4)}_{41} +k^{(4)}]$
является функцией $а_{11}$ полностью определяется 1 ключевым байтом и 8 байтами, которые зависят от ключа и пассивных записей. Таким образом,
$0E · C^{(4)}_{11} + 0B · C^{(4)}_{21} + 0D · C^{(4)}_{31} + 09 · C ^{(4)}_{41}$
является функцией $a_11$ полностью определяется 10 постоянными байтами.
Короче говоря, у меня 2 вопроса:
- Где эта функция с коэффициентами $0E, 0B$и т.д. взялись?
- Как это свойство определяет отличительный признак в AES?
Изменить: Что касается вопроса 1, выяснилось, что он происходит от обратного многочлена, который определяет MixColumns.
