Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный
Дополнительный материал 14:

N. Дифференциальный и линейный криптоанализ DES

В этом приложении мы кратко обсуждаем две проблемы, которые связаны с шифром DES: дифференциальный и линейный криптоанализ. Полное рассмотрение этих двух проблем невозможно в этой книге. Это приложение дает общее представление и отсылает заинтересованных читателей к возможностям познакомиться с проблемой поближе в соответствующей литературе.

N.1. Дифференциальный криптоанализ

Дифференциальный криптоанализ для DES был изобретен Бихамом (Biham) и Шамиром (Shamir). В этом криптоанализе злоумышленник концентрируется на атаках с выборкой исходного текста. Анализ использует разность в прохождении различных входных сигналов через устройство или программу шифрации. Термин разность здесь применяется, чтобы рассмотреть с помощью операции ИСКЛЮЧАЮЩЕЕ ИЛИ несовпадение двух различных входных сообщений (исходные тексты). Другими словами, злоумышленник анализирует, как P \oplus  P' различаются при обработке в каждом раунде.

Вероятностные отношения

Идея относительно дифференциального криптоанализа базируется на вероятностных отношениях между входными разностями и разностями выхода. Два отношения представляют конкретный интерес в анализе: дифференциальный профайл и характеристика раунда, как это показано на рис. N.1.

Дифференциальный профайл и характеристика раунда в DES

увеличить изображение
Рис. N.1. Дифференциальный профайл и характеристика раунда в DES
Дифференциальный профайл

Дифференциальный профайл (он же профайл ИСКЛЮЧАЮЩЕЕ ИЛИ) показывает вероятностное отношение между входными разностями и разностями выхода S-блока. Подобные профайлы могут быть созданы для каждого из восьми S-блоков в DES.

Характеристика раунда

Характеристика раунда подобна дифференциальному профайлу, но вычисляется для целого раунда. Она показывает вероятность, с которой одна входная разность создала бы разность определенного выхода. Обратите внимание, что характеристика одна и та же для каждого раунда, потому что любое отношение, которое включает разности, не зависит от ключей раунда. Рисунок N.2 показывает четыре различные характеристики раунда.

Некоторые характеристики раунда для дифференциального криптоанализа

увеличить изображение
Рис. N.2. Некоторые характеристики раунда для дифференциального криптоанализа

Хотя существует много характеристик для раунда, рисунок N.2 показывает только четыре из них. В каждой характеристике мы разделили входные разности и разности выхода в левые и правые секции. Каждая левая или правая разность состоят из 32 битов или восьми шестнадцатеричных цифр. Все эти характеристики могут быть найдены использующими программами, которые могут найти отношение входа-выхода в раунде DES. Рисунок N.2а показывает, что входная разность (x, 0000000016) дает на выходе разность (x, 0000000016) с вероятностью 1. Рисунок N.2б показывает ту же самую характеристику, как рисунок N.2а, за исключением того, что левые и правые вход и выход поменялись местами; вероятность изменится чрезвычайно. Рисунок N.2в показывает, что входная разность (4008000016, 0400000016) дает разность выхода (0000000016, 040000016) с вероятностью 1/4. Наконец, рисунок N.2г показывает, что входная разность (0000000016, 6000000016) дает разность выхода (0080820016 600000016) с вероятностью 14/64.

Трехраундная характеристика

После создания и хранения однораундных характеристик анализатор может комбинировать различное количество раундов, чтобы создать множественную характеристику раунда. Рисунок N.3 показывает случай трехраундной DES. На рис. N.3, мы использовали три смесителя и только два устройства замены, потому что последний раунд не нуждается ни в каком устройстве замены. Характеристики, показанные в смесителях первых и третьих раундов, те же самые, как и на рисунке N.2b. Характеристика смесителя во втором раунде - та же самая, что и на рис. N.2a. Очень интересно отметить, что точки, в этом конкретном случае, разности входа и выхода - те же самые ( \Delta L_{3}=\Delta L_{0} и \Delta R_{3} = \Delta R_{0} ).

Трехраундная характеристика

увеличить изображение
Рис. N.3. Трехраундная характеристика
Шестнадцатираундная характеристика

Для шифра с шестнадцатью раундами можно скомпилировать много различных характеристик. Рисунок N.4 показывает пример. На этом рисунке шифр DES состоит из восьми секций с двумя раундами. Каждая секция использует характеристики а и б на рис. N.2. Ясно, что если последние раунды не имеют устройства замены, вход (x, 0) создает выход (0, x) с вероятностью (1/234)8.

 Шестнадцатираундная характеристика для дифференциального криптоанализа

увеличить изображение
Рис. N.4. Шестнадцатираундная характеристика для дифференциального криптоанализа

Атака

Для примера предположим, что Ева использует характеристику по рисунку N.4, чтобы напасть на DES с шестнадцатью раундами. Ева каким-то способом провоцирует Алису, чтобы зашифровать много исходных текстов в форме (x, 0), в которой левая половина - x (различные значения) и правая половина - 0. Ева затем сохраняет все зашифрованные тексты, полученные от Алисы, в форме (0, x). Обратите внимание, что 0 здесь означает 0000000016.

Нахождение ключа шифра

Окончательная цель злоумышленника в дифференциальном криптоанализе состоит в том, чтобы найти ключ шифра. Для этого нужно найти ключи каждого раунда от основания до вершины (K16 K1).

Нахождение последних ключей раунда

Если злоумышленник имеет достаточно много пар исходного текста / зашифрованного текста (каждый с различными значениями. x ), он может использовать отношения в последнем раунде, 0 = f(K16,x) и найти некоторые из битов в K16. Это можно сделать, выбирая самые вероятные значения.

Нахождение других ключей раунда

Ключи для других раундов можно найти, используя другие характеристики или применяя атаки грубой силы.

Безопасность

Известно, что необходимы 247 выборки пар исходного текста / зашифрованного текста, чтобы напасть на DES с 16 раундами. Найти такое огромное число выбранных пар чрезвычайно трудно в ситуациях реальной жизни. Это означает, что DES неуязвимы для этого типа атаки.

Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989
Олег Волков
Олег Волков
Россия, Балаково, МБОУ СОШ 19