Интуиция, конечно, такова, что последние патроны можно убрать один за другим. Если дифференциальный различитель позволяет нам распознавать $n$-й круглый ключ, то конечно дифференциальная неравномерность после $n-1$ раунды, которые позволили нам это сделать, будут еще хуже на раунде $n-2$, так четко тот же трюк можно использовать для восстановления круглого ключа для раунда $n-1$ и так далее... правильно?
Подобно любой хорошей интуиции, эта картина вещей невероятно полезна и в то же время глубоко порочна.
Наиболее практически уместное возражение на это, вероятно, состоит в том, что во многих атаках (дифференциальных или других), которые атакуют шифры раунд за раундом, мы получаем только частичную информацию о целевом подразделе на каждом шаге. Другими словами, когда мы израсходовали всю информацию, которую наш дифференциальный различитель дает нам о последнем подключе, все еще может остаться довольно большое количество оставшихся разумных кандидатов. Теперь, если у нас есть различитель, это правда, что количество этих кандидатов будет меньше, чем если бы нам пришлось перебирать все последние подключи, но возвращаясь к источнику, вполне возможно, что результирующий поиск дерево оказывается больше, чем количество возможностей, которые нам пришлось бы рассмотреть, если бы мы только что выполнили исчерпывающий поиск.
Обычные два способа для атак обойти эту проблему — либо показать, что различитель действительно достаточно хорош, чтобы предотвратить взрыв дерева поиска, либо показать, что в какой-то момент нам не нужно рассматривать последующие ключи раунда как независимые от нашего текущего. ключевая гипотеза финального раунда, потому что мы можем запустить ключевое расписание в обратном порядке. В первом случае мы действительно можем решить шифр шаг за шагом, тогда как во втором случае мы получим набор мастер-ключей-кандидатов, который может быть большим, но для успешной атаки все же меньшим, чем набор ключей. все главные ключи. Затем эти ключи могут быть проверены против некоторой другой известной информации (наиболее часто известные пары открытый текст-зашифрованный текст) один за другим.
Предположение о том, что мы можем запустить расписание ключей в обратном порядке, как только мы узнаем достаточное количество подключаемых ключей, выполняется для большинства практических шифров, но, безусловно, не является законом природы. Можно легко представить себе шифр, в котором подключаемые ключи будут получены из главного ключа с помощью односторонней функции, и в этом случае злоумышленникам действительно придется либо прибегать к поиску методом грубой силы, либо решать подключаемые ключи, как если бы они были независимыми.
Есть множество других случаев, когда интуиция подводит, когда метод, который позволяет нам решать $n$ раунды также позволят нам решить $n-1$ раунды; например, в дифференциальных атаках различитель используется для разрыва $n$ раунды могут зависеть от конкретной разницы в раунде $n-1$ который переходит в раунд $n-2$ детерминистически, и в этом случае мы не получаем никакой новой информации, когда спускаемся к раунду. $n-2$, или зависимости в расписании ключей могут привести к тому, что ожидаемая дифференциальная неравномерность шифра будет увеличиваться, а не уменьшаться по мере добавления раундов (хотя, по общему признанию, этот последний случай происходит только в патологических случаях).
