Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

В криптографії лінійним криптоаналізом називають метод криптоаналітичного розкриття що використовує лінійні наближення д

Лінійний криптоаналіз

Лінійний криптоаналіз

В криптографії лінійним криптоаналізом називають метод криптоаналітичного розкриття, що використовує лінійні наближення для роботи шифру.

Лінійний криптоаналіз був винайдений японським криптологом Міцуру Мацуі (яп. 松井 充 Мацуі Міцуру) . Запропонований ним у 1993 році (на конференції Eurocrypt '93) алгоритм був від самого початку спрямований на розкриття DES і FEAL. Згодом лінійний криптоаналіз був поширений і на інші алгоритми. На сьогодні разом з диференціальним криптоаналізом є одним з найбільш розповсюджених методів розкриття блочних шифрів. Розроблені атаки на блочні та потокові шифри.

Відкриття лінійного криптоаналізу стало поштовхом до побудови нових криптографічних схем.

Принцип роботи

Криптоаналіз відбувається у два етапи. Перший — побудова співвідношень між відкритим текстом, шифротекстом та ключем, які справедливі з високою ймовірністю. Другий — використання цих співвідношень разом з відомими парами відкритий текст — шифротекст для отримання бітів ключа.

Побудування лінійних виразів

Зміст алгоритму полягає в отриманні співвідношень наступного виду:

image

де imagen-ні біти тексту, шифротексту й ключа відповідно.

Дані співвідношення називаються лінійними апроксимаціями. Імовірність P справедливості такого співвідношення для довільно обраних бітів відкритого тексту, шифротексту і ключа приблизно дорівнює 1/2. Такими співвідношеннями, імовірність яких помітно відрізняється від 1/2, можна користуватися для розкриття алгоритму.

Ідея лінійного криптоаналізу — визначити вирази виду (1), які мають високу або низьку ймовірність виникнення. Якщо алгоритм шифрування має високу частоту виконання рівняння (1), або навпроти, рівняння виконується с низькою частотою, тоді це свідчить про бідну здатність рандомізації шифру. Якщо імовірність виконання рівняння (1) дорівнює p, тоді ймовірність зміщення p − 1/2. Чим більше величина імовірності зміщення |p − 1/2|, тим краща застосованість лінійного криптоаналізу з меншою кількістю відкритих текстів, необхідних для атаки.

Є декілька видів атак лінійного криптоаналізу. Розглядається алгоритм Мацуі: початково для кожного раунду шифру знаходиться лінійна апроксимація з найбільшою ймовірністю зміщення. Отриманні вирази об'єднуються в спільну для всіх раундів лінійну апроксимацію, імовірність зміщення якої дозволяє знайти лема про набігання знаків.

Далі розглядається алгоритм знаходження найкращої лінійної апроксимації для одного раунду. В блочних шифрах аналіз переважно концентрується на S-блоки, оскільки вони є нелінійною частиною шифру. Через те, що S-блок приймає на вході m бітів і повертає n бітів, від криптоаналітика потрібно побудувати 2m+n апроксимацій. Щоб знайти ймовірність для однієї апроксимації, на вхід S-блоку даються усі 2m можливих вхідних значень і йде підрахунок, скільки разів дана апроксимація вірна для вхідних і вихідних бітів. Отримана кількість збігів ділиться на 2m. В алгоритмі DES найбільшу ймовірність зміщення має лінійна апроксимація для таблиці S5, у якій четвертий з шести вхідних бітів дорівнює XOR над усіма чотирма вихідними бітами з ймовірністю 12/64. Для повнораундового DES отримано співвідношення з ймовірністю виконання 1/2 + 2−24.

Лінійний криптоаналіз має одну дуже корисну властивість: при певних умовах (наприклад, коли про відкритий текст відомо, що він складається з символів в кодуванні ASCII) можна звести співвідношення (1) до рівняння виду

image.

Тут відсутні біти відкритого тексту, тобто можна побудувати атаку на основі тільки шифротексту. Така атака може застосовуватись до перехопленого шифротексту і є більш практичною.

Лема про набігання знаків ([en])

Хоча апроксимацію з найбільшим відхиленням від 1/2 не важко знайти для одного раунду, виникає проблема з обчисленням імовірності зміщення при екстраполюванні методу на повнораундовий шифр. В принципі, це вимагало б від криптоаналітика переглянути всі можливі комбінації відкритих текстів й ключів, що є неможливим. Розв'язання цієї проблеми — зробити ряд припущень та наблизити імовірність, використовуючи лему про набігання знаків. Нехай ми отримали лінійні апроксимації image для різноманітних раундів, які дорівнюють 0 з ймовірністю image. Тоді ймовірність того, що загальна лінійна апроксимація image дорівнює нулю, дорівнює

image

Отримання бітів ключа

Як тільки отримана лінійна апроксимація, можна застосувати прямий алгоритм і, використовуючи пари відкритий текст-шифротекст, припустити значення бітів ключа. При цьому логічно використовувати максимально ефективне співвідношення, тобто таке, для якого відхилення імовірності P від 1/2 максимально.

Для кожного набору значень бітів ключа в правій частині рівняння (1) обчислюється кількість пар відкритий текст-шифротекст T, для яких справедлива рівність (1). Той кандидат, для якого відхилення T від половини кількості пар відкритий текст-шифротекст — найбільше за абсолютним значенням, вважається найбільш ймовірним набором значень бітів ключа.

Застосування

Лінійний криптоаналіз початково розроблявся для атак на блочні шифри, але вживаний і до потокових. Самим розробником було детально досліджено його застосування до DES.

Застосування до DES

Експерименти Міцуру Мацуі по атаках по відкритому тексту (обчислення проводилися на HP9750 66 МГц) дали наступні результати:

  • На 8-раундовий DES знадобилось 221 відомих відкритих текстів. Атака зайняла 40 секунд.
  • На 12-раундовий DES знадобилось 233 відомих відкритих текстів та 50 годин.
  • На 16-раундовий DES було потрібно 243 відомих відкритих текстів та 50 днів.

2001 році Паскаль Жюно (фр. Pascal Junod) провів ряд експериментів, щоб визначити складність атаки. В результаті виявилось, що в дійсності атака на 16-раундовий DES може успішно застосовуватися при наявності 239—241 відомих текстів.

При великій кількості раундів шифру лінійний криптоаналіз, як правило, використовується разом з методом «грубої сили» — після того, як певні біти ключа знайдені за допомогою лінійного криптоаналізу, проводиться вичерпний пошук по можливому значенню інших бітів. У такого підходу є декілька основ: по-перше, найкращі лінійні апроксимації дозволяють знайти значення лише декількох бітів ключа, по-друге, кількість необхідних відкритих текстів в такому випадку менше, а перебір решти бітів ключа займає менше часу.

На відміну від диференційного криптоаналізу, якому потрібні обрані відкриті тексти, метод задовольняється відомими відкритими текстами, що значно збільшує його зону застосування. Але і в лінійному криптоаналізі іноді буває корисно використовувати обрані відкриті тексти замість відомих. Наприклад, для DES існує методика, що значно зменшує кількість необхідних даних й обчислень, використовуючи обрані відкриті тексти.

Застосування до інших методів шифрування

Окрім DES та FEAL, відомі і інші алгоритми, підвладні лінійному криптоаналізу, наприклад:

  1. Лінійний криптоаналіз діє проти алгоритму RC5 у випадку, якщо шуканий ключ шифрування потрапляє до класу слабких ключів.
  2. Алгоритми [en] та [en] також розкриваються методом лінійного криптоаналізу.
  3. Розширення лінійного криптоаналізу, засноване на некорельованих між собою лінійних апроксимаціях, можливо для розкриття 6-раундових AES-192 і AES-256, а також 13-раундового [en]-256.

Захист від лінійного криптоаналізу

Для атаки на блочний шифр за допомогою лінійного криптоаналізу достатньо, як було описано вище, отримати лінійне співвідношення, суттєво зміщене по ймовірності від 1/2. Відповідно, перша мета під час проєктування шифру, стійкого до атаки, — мінімізувати ймовірні зміщення, впевнитися, що подібне співвідношення не буде існувати. Іншими словами, необхідно зробити так, щоб блочний шифр задовольняв (строгому лавиновому критерію) (СЛК). Вважають, що блочний шифр задовольняє СЛК, якщо при будь-якому зміненні тексту чи ключа в отриманому шифротексті рівно половина бітів змінює своє значення на протилежне, причому кожній біт змінюється з ймовірністю 1/2. Зазвичай це досягається шляхом вибору високо нелінійних S-блоків з посиленням дифузії.

Даний підхід забезпечує добрі обґрунтування стійкості шифру, але, щоб напевно доказати захищеність від лінійного криптоаналізу, розробникам шифрів необхідно враховувати складніше явище — ефект лінійних оболонок (англ. linear hull effect). Слід зауважити, що шифри, які оптимальні проти певного вузького класу атак, зазвичай слабкіші проти інших типів атак. Наприклад, відомо розташування S-блоків в DES, при якому значно підвищується стійкість до лінійного криптоаналізу, але погіршується стійкість до диференційного криптоаналізу.

Значну роль в побудові стійких S-блоків зіграло застосування бент-функцій. У 1982 році було виявлено, що послідовності максимальної довжини, побудовані на основі бент-функцій, мають гранично низькі значення як взаємної кореляції, так і автокореляції. Внаслідок, ряд криптографів працювали над застосуванням бент-функцій та їх векторних аналогів для граничного підвищення криптографічної стійкості блочних шифрів до лінійного і диференційного аналізу.

Примітки

  1. Matsui, 1993.
  2. Фергюсон, Шнайер, 2004, с. 82.
  3. Heys, Howard M.; Tavares, Stafford E. (1 березня 1996). . Journal of Cryptology (англ.). Т. 9, № 1. с. 1—19. doi:10.1007/bf02254789. ISSN 0933-2790. Архів оригіналу за 8 червня 2018. Процитовано 13 грудня 2017.
  4. Heys, 2002.
  5. Matsui, 1994.
  6. Bogdanov, Andrey; Rijmen, Vincent (1 березня 2014). . Designs, Codes and Cryptography (англ.). Т. 70, № 3. с. 369—383. doi:10.1007/s10623-012-9697-z. ISSN 0925-1022. Архів оригіналу за 13 червня 2018. Процитовано 13 грудня 2017.
  7. Knudsen, Lars R.; Mathiassen, John Erik (10 квітня 2000). . Fast Software Encryption (англ.). Springer, Berlin, Heidelberg. с. 262—272. doi:10.1007/3-540-44706-7_18. ISBN . Архів оригіналу за 14 квітня 2018. Процитовано 13 грудня 2017.
  8. Matsui, 1993, с. 389.
  9. Matsui, 1993, с. 397.
  10. Matsui, 1993, с. 389, 394.
  11. Kruppa H., Syed Umair Ahmed Shah (1998). (PDF). Архів оригіналу (PDF) за 14 грудня 2017.
  12. Matsui, 1993, с. 387.
  13. Junod, Pascal (16 серпня 2001). . Selected Areas in Cryptography (англ.). Springer, Berlin, Heidelberg. с. 199—211. doi:10.1007/3-540-45537-x_16. ISBN . Архів оригіналу за 14 квітня 2018. Процитовано 13 грудня 2017.
  14. Heys H. M. (1997). . doi:10.1049/EL:19970601. ISSN 0013-5194 ISSN 0013-5194. Архів оригіналу за 23 жовтня 2018. {{}}: Перевірте значення |issn= ()
  15. Wenling Wu. Linear cryptanalysis of NUSH block cipher (English) . Science in China Series F: Information Sciences. doi:10.1360/02YF9005. ISSN 1674-733X ISSN 1674-733X. {{}}: Перевірте значення |issn= ()
  16. Knudsen L., Raddum H. (2001). (PDF). NES/DOC/UIB/WP3/009/1. Public report of the NESSIE project. Архів оригіналу (PDF) за 3 березня 2016.
  17. (PDF). Архів оригіналу (PDF) за 11 серпня 2017.
  18. Röck A., Nyberg K. (April 11-15, 2011). (PDF). The Seventh International Workshop on Coding and Cryptography, April 11-15, 2011 Paris, France. Proceedings. Архів оригіналу (PDF) за 22 липня 2016.
  19. Matsui, Mitsuru (9 травня 1994). . Advances in Cryptology — EUROCRYPT'94 (англ.). Springer, Berlin, Heidelberg. с. 366—375. doi:10.1007/bfb0053451. ISBN . Архів оригіналу за 16 червня 2018. Процитовано 13 грудня 2017.
  20. Olsen, J.; Scholtz, R.; Welch, L. (November 1982). . IEEE Transactions on Information Theory. Т. 28, № 6. с. 858—864. doi:10.1109/tit.1982.1056589. ISSN 0018-9448. Архів оригіналу за 11 червня 2018. Процитовано 13 грудня 2017.
  21. Forrié R. (PDF). Архів оригіналу (PDF) за 15 грудня 2017.
  22. 1958-, Goldwasser, S. (Shafi), (1990). Advances in cryptology--CRYPTO '88 : proceedings. Berlin: Springer-Verlag. ISBN . OCLC 20933886.
  23. Nyberg, Kaisa (8 квітня 1991). . Advances in Cryptology — EUROCRYPT ’91 (англ.). Springer, Berlin, Heidelberg. с. 378—386. doi:10.1007/3-540-46416-6_32. ISBN . Архів оригіналу за 15 грудня 2017. Процитовано 13 грудня 2017.
  24. 1944-, Seberry, Jennifer,; 1962-, Zheng, Yuliang, (1993). Advances in cryptology--AUSCRYPT '92 : Workshop on the Theory and Application of Cryptographic Techniques, Gold Coast, Queensland, Australia, December 13-16, 1992 : proceedings. Berlin: Springer-Verlag. ISBN . OCLC 29186866.
  25. Advances in Cryptology — AUSCRYPT '92 | SpringerLink (en-gb) . doi:10.1007/3-540-57220-1.
  26. Adams, Carlisle M. (1 листопада 1997). . Designs, Codes and Cryptography (англ.). Т. 12, № 3. с. 283—316. doi:10.1023/a:1008229029587. ISSN 0925-1022. Архів оригіналу за 15 грудня 2017. Процитовано 13 грудня 2017.

Див. також

Література

  • Matsui M. Linear Cryptanalysis Method for DES Cipher. — Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings / T. Helleseth. — .
  • Matsui M. The First Experimental Cryptanalysis of the Data Encryption Standard. — 14th Annual International Cryptology Conference Santa Barbara, California, USA August 21–25, 1994 Proceedings / Y. G. Desmedt — Berlin: Springer Berlin Heidelberg, 1994. — .
  • Heys H. M. [[[d:Q21804716|Q21804716: A Tutorial on Linear and Differential Cryptanalysis]] A Tutorial on Linear and Differential Cryptanalysis]. — Taylor & Francis, 2002.. — DOI:10.1080/0161-110291890885.
  • Нільс Фергюсон, Брюс Шнайер. Практична криптографія = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М. : Діалектика, 2004. — 3000 прим. — , .

Додаткові джерела

  • Linear Cryptanalysis of DES [ 22 жовтня 2017 у Wayback Machine.]
  • A Tutorial on Linear and Differential Cryptanalysis [ 26 листопада 2018 у Wayback Machine.]
  • A tutorial on linear (and differential) cryptanalysis of block ciphers [ 10 грудня 2017 у Wayback Machine.]
  • "Improving the Time Complexity of Matsui's Linear Cryptanalysis", improves the complexity thanks to the Fast Fourier Transform [ 4 березня 2016 у Wayback Machine.]

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

V kriptografiyi linijnim kriptoanalizom nazivayut metod kriptoanalitichnogo rozkrittya sho vikoristovuye linijni nablizhennya dlya roboti shifru Linijnij kriptoanaliz buv vinajdenij yaponskim kriptologom Micuru Macui yap 松井 充 Macui Micuru Zaproponovanij nim u 1993 roci na konferenciyi Eurocrypt 93 algoritm buv vid samogo pochatku spryamovanij na rozkrittya DES i FEAL Zgodom linijnij kriptoanaliz buv poshirenij i na inshi algoritmi Na sogodni razom z diferencialnim kriptoanalizom ye odnim z najbilsh rozpovsyudzhenih metodiv rozkrittya blochnih shifriv Rozrobleni ataki na blochni ta potokovi shifri Vidkrittya linijnogo kriptoanalizu stalo poshtovhom do pobudovi novih kriptografichnih shem Princip robotiKriptoanaliz vidbuvayetsya u dva etapi Pershij pobudova spivvidnoshen mizh vidkritim tekstom shifrotekstom ta klyuchem yaki spravedlivi z visokoyu jmovirnistyu Drugij vikoristannya cih spivvidnoshen razom z vidomimi parami vidkritij tekst shifrotekst dlya otrimannya bitiv klyucha Pobuduvannya linijnih viraziv Zmist algoritmu polyagaye v otrimanni spivvidnoshen nastupnogo vidu P i 1 P i 2 P i a C j 1 C j 2 C j b K k 1 K k 2 K k c 1 displaystyle P i 1 oplus P i 2 oplus dots oplus P i a oplus C j 1 oplus C j 2 oplus dots oplus C j b K k 1 oplus K k 2 oplus dots oplus K k c qquad 1 de P n C n K n displaystyle P n C n K n n ni biti tekstu shifrotekstu j klyucha vidpovidno Dani spivvidnoshennya nazivayutsya linijnimi aproksimaciyami Imovirnist P spravedlivosti takogo spivvidnoshennya dlya dovilno obranih bitiv vidkritogo tekstu shifrotekstu i klyucha priblizno dorivnyuye 1 2 Takimi spivvidnoshennyami imovirnist yakih pomitno vidriznyayetsya vid 1 2 mozhna koristuvatisya dlya rozkrittya algoritmu Ideya linijnogo kriptoanalizu viznachiti virazi vidu 1 yaki mayut visoku abo nizku jmovirnist viniknennya Yaksho algoritm shifruvannya maye visoku chastotu vikonannya rivnyannya 1 abo navproti rivnyannya vikonuyetsya s nizkoyu chastotoyu todi ce svidchit pro bidnu zdatnist randomizaciyi shifru Yaksho imovirnist vikonannya rivnyannya 1 dorivnyuye p todi jmovirnist zmishennya p 1 2 Chim bilshe velichina imovirnosti zmishennya p 1 2 tim krasha zastosovanist linijnogo kriptoanalizu z menshoyu kilkistyu vidkritih tekstiv neobhidnih dlya ataki Ye dekilka vidiv atak linijnogo kriptoanalizu Rozglyadayetsya algoritm Macui pochatkovo dlya kozhnogo raundu shifru znahoditsya linijna aproksimaciya z najbilshoyu jmovirnistyu zmishennya Otrimanni virazi ob yednuyutsya v spilnu dlya vsih raundiv linijnu aproksimaciyu imovirnist zmishennya yakoyi dozvolyaye znajti lema pro nabigannya znakiv Dali rozglyadayetsya algoritm znahodzhennya najkrashoyi linijnoyi aproksimaciyi dlya odnogo raundu V blochnih shifrah analiz perevazhno koncentruyetsya na S bloki oskilki voni ye nelinijnoyu chastinoyu shifru Cherez te sho S blok prijmaye na vhodi m bitiv i povertaye n bitiv vid kriptoanalitika potribno pobuduvati 2m n aproksimacij Shob znajti jmovirnist dlya odniyeyi aproksimaciyi na vhid S bloku dayutsya usi 2m mozhlivih vhidnih znachen i jde pidrahunok skilki raziv dana aproksimaciya virna dlya vhidnih i vihidnih bitiv Otrimana kilkist zbigiv dilitsya na 2m V algoritmi DES najbilshu jmovirnist zmishennya maye linijna aproksimaciya dlya tablici S5 u yakij chetvertij z shesti vhidnih bitiv dorivnyuye XOR nad usima chotirma vihidnimi bitami z jmovirnistyu 12 64 Dlya povnoraundovogo DES otrimano spivvidnoshennya z jmovirnistyu vikonannya 1 2 2 24 Linijnij kriptoanaliz maye odnu duzhe korisnu vlastivist pri pevnih umovah napriklad koli pro vidkritij tekst vidomo sho vin skladayetsya z simvoliv v koduvanni ASCII mozhna zvesti spivvidnoshennya 1 do rivnyannya vidu C j 1 C j 2 C j b K k 1 K k 2 K k c displaystyle C j 1 oplus C j 2 oplus dots oplus C j b K k 1 oplus K k 2 oplus ldots oplus K k c Tut vidsutni biti vidkritogo tekstu tobto mozhna pobuduvati ataku na osnovi tilki shifrotekstu Taka ataka mozhe zastosovuvatis do perehoplenogo shifrotekstu i ye bilsh praktichnoyu Lema pro nabigannya znakiv en Hocha aproksimaciyu z najbilshim vidhilennyam vid 1 2 ne vazhko znajti dlya odnogo raundu vinikaye problema z obchislennyam imovirnosti zmishennya pri ekstrapolyuvanni metodu na povnoraundovij shifr V principi ce vimagalo b vid kriptoanalitika pereglyanuti vsi mozhlivi kombinaciyi vidkritih tekstiv j klyuchiv sho ye nemozhlivim Rozv yazannya ciyeyi problemi zrobiti ryad pripushen ta nabliziti imovirnist vikoristovuyuchi lemu pro nabigannya znakiv Nehaj mi otrimali linijni aproksimaciyi F i 1 i n displaystyle F i 1 leq i leq n dlya riznomanitnih raundiv yaki dorivnyuyut 0 z jmovirnistyu p i displaystyle p i Todi jmovirnist togo sho zagalna linijna aproksimaciya F 1 F 2 F n displaystyle F 1 oplus F 2 oplus dots oplus F n dorivnyuye nulyu dorivnyuye P 1 2 2 n 1 i 1 n p i 1 2 displaystyle P frac 1 2 2 n 1 prod i 1 n p i frac 1 2 Otrimannya bitiv klyucha Yak tilki otrimana linijna aproksimaciya mozhna zastosuvati pryamij algoritm i vikoristovuyuchi pari vidkritij tekst shifrotekst pripustiti znachennya bitiv klyucha Pri comu logichno vikoristovuvati maksimalno efektivne spivvidnoshennya tobto take dlya yakogo vidhilennya imovirnosti P vid 1 2 maksimalno Dlya kozhnogo naboru znachen bitiv klyucha v pravij chastini rivnyannya 1 obchislyuyetsya kilkist par vidkritij tekst shifrotekst T dlya yakih spravedliva rivnist 1 Toj kandidat dlya yakogo vidhilennya T vid polovini kilkosti par vidkritij tekst shifrotekst najbilshe za absolyutnim znachennyam vvazhayetsya najbilsh jmovirnim naborom znachen bitiv klyucha ZastosuvannyaLinijnij kriptoanaliz pochatkovo rozroblyavsya dlya atak na blochni shifri ale vzhivanij i do potokovih Samim rozrobnikom bulo detalno doslidzheno jogo zastosuvannya do DES Zastosuvannya do DES Eksperimenti Micuru Macui po atakah po vidkritomu tekstu obchislennya provodilisya na HP9750 66 MGc dali nastupni rezultati Na 8 raundovij DES znadobilos 221 vidomih vidkritih tekstiv Ataka zajnyala 40 sekund Na 12 raundovij DES znadobilos 233 vidomih vidkritih tekstiv ta 50 godin Na 16 raundovij DES bulo potribno 243 vidomih vidkritih tekstiv ta 50 dniv 2001 roci Paskal Zhyuno fr Pascal Junod proviv ryad eksperimentiv shob viznachiti skladnist ataki V rezultati viyavilos sho v dijsnosti ataka na 16 raundovij DES mozhe uspishno zastosovuvatisya pri nayavnosti 239 241 vidomih tekstiv Pri velikij kilkosti raundiv shifru linijnij kriptoanaliz yak pravilo vikoristovuyetsya razom z metodom gruboyi sili pislya togo yak pevni biti klyucha znajdeni za dopomogoyu linijnogo kriptoanalizu provoditsya vicherpnij poshuk po mozhlivomu znachennyu inshih bitiv U takogo pidhodu ye dekilka osnov po pershe najkrashi linijni aproksimaciyi dozvolyayut znajti znachennya lishe dekilkoh bitiv klyucha po druge kilkist neobhidnih vidkritih tekstiv v takomu vipadku menshe a perebir reshti bitiv klyucha zajmaye menshe chasu Na vidminu vid diferencijnogo kriptoanalizu yakomu potribni obrani vidkriti teksti metod zadovolnyayetsya vidomimi vidkritimi tekstami sho znachno zbilshuye jogo zonu zastosuvannya Ale i v linijnomu kriptoanalizi inodi buvaye korisno vikoristovuvati obrani vidkriti teksti zamist vidomih Napriklad dlya DES isnuye metodika sho znachno zmenshuye kilkist neobhidnih danih j obchislen vikoristovuyuchi obrani vidkriti teksti Zastosuvannya do inshih metodiv shifruvannya Okrim DES ta FEAL vidomi i inshi algoritmi pidvladni linijnomu kriptoanalizu napriklad Linijnij kriptoanaliz diye proti algoritmu RC5 u vipadku yaksho shukanij klyuch shifruvannya potraplyaye do klasu slabkih klyuchiv Algoritmi en ta en takozh rozkrivayutsya metodom linijnogo kriptoanalizu Rozshirennya linijnogo kriptoanalizu zasnovane na nekorelovanih mizh soboyu linijnih aproksimaciyah mozhlivo dlya rozkrittya 6 raundovih AES 192 i AES 256 a takozh 13 raundovogo en 256 Zahist vid linijnogo kriptoanalizuDlya ataki na blochnij shifr za dopomogoyu linijnogo kriptoanalizu dostatno yak bulo opisano vishe otrimati linijne spivvidnoshennya suttyevo zmishene po jmovirnosti vid 1 2 Vidpovidno persha meta pid chas proyektuvannya shifru stijkogo do ataki minimizuvati jmovirni zmishennya vpevnitisya sho podibne spivvidnoshennya ne bude isnuvati Inshimi slovami neobhidno zrobiti tak shob blochnij shifr zadovolnyav strogomu lavinovomu kriteriyu SLK Vvazhayut sho blochnij shifr zadovolnyaye SLK yaksho pri bud yakomu zminenni tekstu chi klyucha v otrimanomu shifroteksti rivno polovina bitiv zminyuye svoye znachennya na protilezhne prichomu kozhnij bit zminyuyetsya z jmovirnistyu 1 2 Zazvichaj ce dosyagayetsya shlyahom viboru visoko nelinijnih S blokiv z posilennyam difuziyi Danij pidhid zabezpechuye dobri obgruntuvannya stijkosti shifru ale shob napevno dokazati zahishenist vid linijnogo kriptoanalizu rozrobnikam shifriv neobhidno vrahovuvati skladnishe yavishe efekt linijnih obolonok angl linear hull effect Slid zauvazhiti sho shifri yaki optimalni proti pevnogo vuzkogo klasu atak zazvichaj slabkishi proti inshih tipiv atak Napriklad vidomo roztashuvannya S blokiv v DES pri yakomu znachno pidvishuyetsya stijkist do linijnogo kriptoanalizu ale pogirshuyetsya stijkist do diferencijnogo kriptoanalizu Znachnu rol v pobudovi stijkih S blokiv zigralo zastosuvannya bent funkcij U 1982 roci bulo viyavleno sho poslidovnosti maksimalnoyi dovzhini pobudovani na osnovi bent funkcij mayut granichno nizki znachennya yak vzayemnoyi korelyaciyi tak i avtokorelyaciyi Vnaslidok ryad kriptografiv pracyuvali nad zastosuvannyam bent funkcij ta yih vektornih analogiv dlya granichnogo pidvishennya kriptografichnoyi stijkosti blochnih shifriv do linijnogo i diferencijnogo analizu PrimitkiMatsui 1993 Fergyuson Shnajer 2004 s 82 Heys Howard M Tavares Stafford E 1 bereznya 1996 Journal of Cryptology angl T 9 1 s 1 19 doi 10 1007 bf02254789 ISSN 0933 2790 Arhiv originalu za 8 chervnya 2018 Procitovano 13 grudnya 2017 Heys 2002 Matsui 1994 Bogdanov Andrey Rijmen Vincent 1 bereznya 2014 Designs Codes and Cryptography angl T 70 3 s 369 383 doi 10 1007 s10623 012 9697 z ISSN 0925 1022 Arhiv originalu za 13 chervnya 2018 Procitovano 13 grudnya 2017 Knudsen Lars R Mathiassen John Erik 10 kvitnya 2000 Fast Software Encryption angl Springer Berlin Heidelberg s 262 272 doi 10 1007 3 540 44706 7 18 ISBN 3540447067 Arhiv originalu za 14 kvitnya 2018 Procitovano 13 grudnya 2017 Matsui 1993 s 389 Matsui 1993 s 397 Matsui 1993 s 389 394 Kruppa H Syed Umair Ahmed Shah 1998 PDF Arhiv originalu PDF za 14 grudnya 2017 Matsui 1993 s 387 Junod Pascal 16 serpnya 2001 Selected Areas in Cryptography angl Springer Berlin Heidelberg s 199 211 doi 10 1007 3 540 45537 x 16 ISBN 354045537X Arhiv originalu za 14 kvitnya 2018 Procitovano 13 grudnya 2017 Heys H M 1997 doi 10 1049 EL 19970601 ISSN 0013 5194 ISSN 0013 5194 Arhiv originalu za 23 zhovtnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Perevirte znachennya issn dovidka Wenling Wu Linear cryptanalysis of NUSH block cipher English Science in China Series F Information Sciences doi 10 1360 02YF9005 ISSN 1674 733X ISSN 1674 733X a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite journal title Shablon Cite journal cite journal a Perevirte znachennya issn dovidka Knudsen L Raddum H 2001 PDF NES DOC UIB WP3 009 1 Public report of the NESSIE project Arhiv originalu PDF za 3 bereznya 2016 PDF Arhiv originalu PDF za 11 serpnya 2017 Rock A Nyberg K April 11 15 2011 PDF The Seventh International Workshop on Coding and Cryptography April 11 15 2011 Paris France Proceedings Arhiv originalu PDF za 22 lipnya 2016 Matsui Mitsuru 9 travnya 1994 Advances in Cryptology EUROCRYPT 94 angl Springer Berlin Heidelberg s 366 375 doi 10 1007 bfb0053451 ISBN 9783540601760 Arhiv originalu za 16 chervnya 2018 Procitovano 13 grudnya 2017 Olsen J Scholtz R Welch L November 1982 IEEE Transactions on Information Theory T 28 6 s 858 864 doi 10 1109 tit 1982 1056589 ISSN 0018 9448 Arhiv originalu za 11 chervnya 2018 Procitovano 13 grudnya 2017 Forrie R PDF Arhiv originalu PDF za 15 grudnya 2017 1958 Goldwasser S Shafi 1990 Advances in cryptology CRYPTO 88 proceedings Berlin Springer Verlag ISBN 9780387971964 OCLC 20933886 Nyberg Kaisa 8 kvitnya 1991 Advances in Cryptology EUROCRYPT 91 angl Springer Berlin Heidelberg s 378 386 doi 10 1007 3 540 46416 6 32 ISBN 3540464166 Arhiv originalu za 15 grudnya 2017 Procitovano 13 grudnya 2017 1944 Seberry Jennifer 1962 Zheng Yuliang 1993 Advances in cryptology AUSCRYPT 92 Workshop on the Theory and Application of Cryptographic Techniques Gold Coast Queensland Australia December 13 16 1992 proceedings Berlin Springer Verlag ISBN 9783540572206 OCLC 29186866 Advances in Cryptology AUSCRYPT 92 SpringerLink en gb doi 10 1007 3 540 57220 1 Adams Carlisle M 1 listopada 1997 Designs Codes and Cryptography angl T 12 3 s 283 316 doi 10 1023 a 1008229029587 ISSN 0925 1022 Arhiv originalu za 15 grudnya 2017 Procitovano 13 grudnya 2017 Div takozhDiferencijnij kriptoanalizLiteraturaMatsui M Linear Cryptanalysis Method for DES Cipher Workshop on the Theory and Application of Cryptographic Techniques Lofthus Norway May 23 27 1993 Proceedings T Helleseth ISBN 978 3 540 57600 6 Matsui M The First Experimental Cryptanalysis of the Data Encryption Standard 14th Annual International Cryptology Conference Santa Barbara California USA August 21 25 1994 Proceedings Y G Desmedt Berlin Springer Berlin Heidelberg 1994 ISBN 978 3 540 58333 2 Heys H M d Q21804716 Q21804716 A Tutorial on Linear and Differential Cryptanalysis A Tutorial on Linear and Differential Cryptanalysis Taylor amp Francis 2002 DOI 10 1080 0161 110291890885 Nils Fergyuson Bryus Shnajer Praktichna kriptografiya Practical Cryptography Designing and Implementing Secure Cryptographic Systems M Dialektika 2004 3000 prim ISBN 5 8459 0733 0 ISBN 0 4712 2357 3 Dodatkovi dzherelaLinear Cryptanalysis of DES 22 zhovtnya 2017 u Wayback Machine A Tutorial on Linear and Differential Cryptanalysis 26 listopada 2018 u Wayback Machine A tutorial on linear and differential cryptanalysis of block ciphers 10 grudnya 2017 u Wayback Machine Improving the Time Complexity of Matsui s Linear Cryptanalysis improves the complexity thanks to the Fast Fourier Transform 4 bereznya 2016 u Wayback Machine

Дата публікації:
Топ