Статистический криптоанализ. Можно ли «обратить» алгоритмы планирования слабых ключей или отделить каждый из внутренних раундов?

Контекст - это повторяющиеся шифры.

Что касается дифференциального и линейного криптоанализа, кажется, что эти методы позволяют криптоаналитику сделать обоснованное предположение о частичном подразделе (например, битах из ключа последнего раунда). Что я изо всех сил пытаюсь понять, так это то, как практически взломать шифр с этим знанием. Возможно ли, что можно получить ключ, «взломав» расписание ключей, или нужно разбить весь внутренний раунд один за другим (восстанавливая все больше и больше частичных подразделов)? Спасибо.

Это будет зависеть от ключевого расписания проекта, но обычно это относительно простые алгоритмы расширения.В частности, начальные ключи раунда часто являются фактическими битами криптопеременной, и поэтому при восстановлении начального ключа раунда восстанавливаются первые биты криптопеременной (дополнительные биты криптопеременной могут быть угаданы полностью с меньшими усилиями, чем угадывание полной криптопеременной). Расписания ключей также обычно бывают обратимыми (чтобы ключ предыдущего раунда можно было вычислить из текущего ключа раунда — это позволяет эффективно реализовать дешифрование в небольшой памяти). Это означает, что если мы восстановим весь ключ последнего раунда, мы обычно можем инвертировать расписание ключей, чтобы получить ключ предпоследнего раунда, ключ предпоследнего раунда и т. д., обратно к начальному ключу раунда (который часто является криптопеременной сам). Даже если размер криптопеременной больше восстановленного ключа раунда, дополнительные биты обычно могут быть полностью восстановлены с меньшими усилиями, чем полное исчерпание.

Все вышеперечисленное зависит от выбора ключевого расписания разработчиком, но это применимо к основным проектам, таким как AES, DES, Serpent и Twofish.