Нахождение статистических аналогов для трех циклов алгоритма DES

Матсуи не описывал алгоритма получения эффективных линейных аналогов для алгоритма DES, состоящего из r циклов, но из финальных результатов можно предположить, что основная идея состоит в следующем: использовать связанные тройные суммы с наибольшим D.

Прежде чем пояснить вышесказанное на примере, рассмотрим несколько базовых определений:

Лемма 1. Если S₍₁₎,…, S_(n) – независимые бинарные случайные величины, тогда

D(S₍₁₎Å… ÅS_(n)) = ПD(S_(i)), (9)

где i=1,…, n.

Доказательство.Так как S₍₁₎ и S₍₂₎ независимы и при этом Р(S₍₁₎=1)=р₁, Р(S₍₂₎=1)=р₂, Р(S₍₁₎=0)=1– р₁ и Р(S₍₂₎=0)=1 – р₂. Тогда:

Р(S₍₁₎ÅS₍₂₎ = 1) = Р(S₍₁₎=1)Р(S₍₂₎=0) + Р(S₍₁₎=0)Р(S₍₂₎=1) = р₂(1 – р₁) + р₁(1 – р₂) = р₂ – р₁р₂ + р₁ – р₁р₂ = р₂ + р₁ – 2р₁р₂.

D(S₍₁₎ÅS₍₂₎) = 1 – 2р(S₍₁₎ÅS₍₂₎ =1) = 1 – 2(р₂ + р₁ – 2р₁р₂) = 1 – 2р₂ – 2р₁ + 4р₁р₂ = (1 – 2р₁)( 1 – 2р₂) = D(S₍₁₎)D( S₍₂₎).

Замечание 1. Массе называл тройной суммой S_(i) для i-го раунда случайную величину вида

S_(i) = f_i (X_(i)) Å g_i (Y_(i)) Å h_i (K_(i)), (10)

где f_i, g_i, h_i – равновероятностные булевы функции.

В определении Матсуи f_i, g_i, h_i – линейные функции.

Определение 2. Последовательные тройные суммы S_(1+i) и S_(i) называются связанными, если f_i+1 = g_i.

Из определения следует, что S(i) Å S(1+i) = fi (X(i)) Å gi (Y(i)) Å hi (K(i)) Å fi+1 (X(i+1)) Å gi+1 (Y(i+1)) Å bi+1 (K(i+1)),

где Y(i) = X(i+1).

Определение 3. Если S₍₁₎,…, S_(n) – связанные тройные суммы, то тогда S_{1… n} = S₍₁₎Å… ÅS_(n) = f₁ (X₍₁₎) Å g_n (Y_(n)) Å , (11)

и S_{1… n} называется n-раундовой тройной суммой.

В случае линейных функций формула (11) дает линейное соотношение

S_{1… n} =(X(1), a) Å (Y(n), b) Å , (12)

которое выполняется с вероятностью, определяемой D(S₍₁₎Å… ÅS_(n)) и леммой 1.

Определение 4. Эффективным линейным статистическим аналогом называется линейный статистический аналог (12) из заданного множества с наибольшим D.

Поясним все вышесказанное на примере. Для этого рассмотрим схему 3-раундового DES (см рис. 3.1).

Эффективными линейными статистическими аналогами 1-ой и третьей итераций являются уравнения

X(1)₁₇ Å Y(1)₂ Å Y(1)₈ Å Y(1)₂₄ Å Y(1)₁₄ = K(1)₂₆,

X(3)₁₇ Å Y(3)₂ Å Y(3)₈ Å Y(3)₂₄ Å Y(3)₁₄ = K(3)₂₆,

каждое из которых выполняется с вероятностью 3/16.

Учитывая, что Х(1) = P_R, X(3) = C_L, Y(1) = P_L Å X(2), Y(3) = C_R Å X(2), после сложения этих уравнений получим

(P_R Å C_L) ₁₇ Å (P_L Å C_R) ₂ Å (P_L Å C_R) ₈ Å (P_L Å C_R) ₂₄ Å (P_L Å C_R) ₁₄ = (К(1) Å К(3)) ₂₆. (13)

По лемме 1 D = (5/8)*(5/8) = 25/64 и это уравнение выполняется с вероятностью р = (1 – D)/2 = 39/128.

Найти биты ключа К(1) Å К(3) можно, решая уравнение (13) с использованием следующего алгоритма.

Алгоритм. Пусть N – число всех открытых текстов и Т – число открытых текстов, для которых левая часть (13) равна 0.

Если Т> N/2, то

К(1) Å К(3) =

 

Если Т< N/2, то

К(1) Å К(3) =

 

Успех алгоритма возрастает с ростом N и D = |1 – 2p|. Вероятность успеха определяется следующей леммой.

Лемма 2. Пусть N – число открытых текстов и р – вероятность выполнения линейного уравнения (2). Предположим, что D = |1 – 2p| ® 0. Тогда вероятность успеха алгоритма имеет вид

Р ® ,

Где

. (14)

 

Числовые вычисления (14) сведены в таблице 3.5.

Таблица 3.5

N	1/16 D2	1/8D2	1/4D2	1/2D2
Pусп	0,841	0,921	0,977	0,998

 

Аналогичным образом можно строить уравнения нахождения битов ключа и для большего количества циклов. Самое главное при этом вывести такие уравнения, левые части которых нам известны.