Упражнение 3.6 из книги «Криптография и инженерия» Рассмотрим новый блочный шифр DES2, состоящий только из
два раунда блочного шифра DES. DES2 имеет тот же блок и ключ
размер как DES. Для этого вопроса вы должны рассмотреть функцию DES F
как черный ящик, который принимает два входа: 32-битный сегмент данных и
48-битный раундовый ключ, и это дает 32-битный вывод. Предположим, у вас есть
большое количество пар открытый текст-зашифрованный текст для DES2 под одним,
неизвестный ключ. Предложите алгоритм восстановления 48-битного круглого ключа для
раунд 1 и 48-битный ключ раунда для раунда 2. Ваш алгоритм должен
требует меньше операций, чем полный перебор всего
56-битный ключ DES. Можно ли преобразовать ваш алгоритм в отличительный
атака на DES2?
Моя идея заключалась в том, что если у нас есть пара открытый текст-зашифрованный текст, мы делаем следующее.
Мы разделяем наш зашифрованный текст C на два 32 бита. Мы должны угадать K2 с помощью 2 ^ 48 операций, а затем XOR L с выводом F (K2, C) и сравнить с R открытого текста. Если он равен, мы знаем, что K2 был правильным. Чтобы убедиться, что K2 действительно правильный, мы можем использовать другие пары, чтобы подтвердить это. Теперь нам нужно найти K1, снова за 2^48 операций. Всего нам нужно 2*2^48 операций, а не 2^48 * 2^48 или лучше 2^56 операций. И мы могли бы легко использовать различительную атаку, используя слабые ключи DES? и пытаясь найти это равенство L и R всего за 2 ^ 48 операций. Я могу быть совершенно неправ с земли. Я вообще правильно нарисовал шифр "2DES"?
