Почему дифференциальный криптоанализ всегда начинается с последнего раунда?

xhuliano

12.08.2023, 08:08

Предположим, мы работаем с шифром с той же общей структурой, что и AES.

Я хочу атаковать шифр следующим образом: предположим, что дифференциал сохраняется только для первого раунда (гораздо более высокая вероятность, чем хотеть, чтобы он сохранялся для всех раундов от первого до предпоследнего), восстановить первый подключа, затем продолжить оттуда , всегда создавая открытый текст таким образом, чтобы дифференциал, вероятно, сохранялся для следующего раунда, из которого мне нужен подключаемый ключ.

Я, вероятно, упускаю что-то основное, но почему мы не можем атаковать таким образом, вместо того, чтобы двигаться вверх от последнего подраздела?

0 + 0

криптоанализ

дифференциальный анализ

kelalaka

12.08.2023, 10:12

Можно и больше [Атака бумеранга Дэвида Вагнера, 1999](https://en.wikipedia.org/wiki/Boomerang_attack). Ваша предпосылка ошибочна, поскольку мы ожидаем, что дифференциал возникает с большей вероятностью в первом раунде. В любом случае, читайте Атака Бумеранга...

Ответить

Рейтинг:0

Crypto

poncho

12.08.2023, 12:23

Я хочу атаковать шифр следующим образом: предположим, что дифференциал сохраняется только для первого раунда (гораздо более высокая вероятность, чем желать, чтобы он сохранялся для всех раундов от первого до предпоследнего), восстановить первый подключа

Как это будет работать? Если у нас есть дифференциал в первом раунде (и остальная часть шифра действует фактически случайным образом), как мы можем определить, соблюдается ли дифференциал, исследуя зашифрованный текст?

Или вы думаете о другой стратегии?

0 + 0

xhuliano

12.08.2023, 14:51

Вы правы, нам нужно изучить зашифрованный текст, чтобы определить, соблюдается ли дифференциал или нет, иначе нет никакого способа узнать, соблюдался ли он в первом раунде. Так что нет никакого способа уменьшить вероятность, как я ошибочно сказал. В любом случае, правда ли, что как только у нас будет достаточное количество «хороших пар», мы сможем начать восстановление ключей с первого до последнего раунда? То есть, рассматривая возможные пары входов (вместо выходов) в первый (вместо последнего) слой sbox, которые производят желаемое различие, и извлекая из них ключевые кандидаты? Мне кажется то же самое.

Ответить

Admin

Этот вопрос на других языках:

EN: Why does differential cryptanalysis always start from the last round?

TH: เหตุใดการเข้ารหัสแบบดิฟเฟอเรนเชียลจึงเริ่มต้นจากรอบที่แล้วเสมอ

RO: De ce criptoanaliza diferențială începe întotdeauna din ultima rundă?

RU: Почему дифференциальный криптоанализ всегда начинается с последнего раунда?

VI: Tại sao phân tích mật mã vi sai luôn bắt đầu từ vòng cuối cùng?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.