Дифференциальный криптоанализ высшего порядка - Higher-order differential cryptanalysis

В криптография, дифференциальный криптоанализ высшего порядка является обобщением дифференциальный криптоанализ, атака, использованная против блочные шифры. В то время как в стандартном дифференциальном криптоанализе используется различие только между двумя текстами, дифференциальный криптоанализ более высокого порядка изучает распространение набора различий между большим набором текстов. Сюэцзя Лай в 1994 г. заложила основу, показав, что дифференциалы являются частным случаем более общего случая производных более высокого порядка.[1] Ларс Кнудсен в том же году смог показать, как концепция производных высшего порядка может быть использована для организации атак на блочные шифры.[2] Эти атаки могут превосходить стандартный дифференциальный криптоанализ. Дифференциальный криптоанализ более высокого порядка был особенно использован для взлома KN-Cipher, шифр, который, как ранее было доказано, невосприимчив к стандартному дифференциальному криптоанализу.[3]

Производные высшего порядка

Блочный шифр, который отображает -битные строки в -битовые строки для фиксированного ключа можно рассматривать как функцию . В стандартном дифференциальном криптоанализе нужно найти пару входных разностей и разница на выходе так что два входных текста с разницей могут привести к выходным текстам с разницей то есть, что верно для многих . Обратите внимание, что разница, используемая здесь, заключается в XOR что является обычным случаем, хотя возможны и другие определения различия.

Это мотивирует определение производной функции в какой-то момент так как[1]

.

Используя это определение, -я производная при можно рекурсивно определить как[1]

.

Так например .

Производные более высокого порядка, как определено здесь, имеют много общих свойств с обыкновенная производная такой как правило сумм и правило продукта. Важно также, что использование производной снижает алгебраическая степень функции.

Дифференциальные атаки высшего порядка

Чтобы реализовать атаку с использованием производных более высокого порядка, необходимы знания о распределении вероятностей производной шифра. Вычисление или оценка этого распределения обычно представляет собой сложную задачу, но если известно, что рассматриваемый шифр имеет низкий алгебраическая степень можно использовать тот факт, что производные уменьшают эту степень. Например, если известно, что шифр (или анализируемая функция S-блока) имеет только алгебраическую степень 8, любая производная 9-го порядка должна быть 0.

Поэтому важно для любого шифр или функция S-box, в частности, чтобы иметь максимальную (или близкую к максимальной) степень, чтобы противостоять этой атаке.

Кубические атаки рассматриваются как вариант дифференциальных атак высшего порядка.[4]

Устойчивость к дифференциальным атакам высшего порядка

Ограничения дифференциальных атак высшего порядка

Работает для малых или малых S-блоков алгебраической степени или малых S-блоков. В дополнение к операциям AND и XOR.

Смотрите также

Рекомендации

  1. ^ а б c Лай, Сюэцзя (1994). Производные высшего порядка и дифференциальный криптоанализ. Коммуникации и криптография. 276. Springer США. С. 227–233. Дои:10.1007/978-1-4615-2694-0_23. ISBN  978-1-4613-6159-6.
  2. ^ Кнудсен, Ларс (1994). Усеченные дифференциалы и дифференциалы высшего порядка (PDF /PostScript ). Быстрое программное шифрование (FSE 1994). Springer-Verlag. стр. 196–211. Получено 2007-02-14.
  3. ^ Якобсен, Томас и Кнудсен, Ларс (1997). Атака интерполяции на блочные шифры. Быстрое программное шифрование. Конспект лекций по информатике. 1267. Springer Berlin Heidelberg. С. 28–40. Дои:10.1007 / BFb0052332. ISBN  978-3-540-63247-4.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  4. ^ Дэниел Дж. Бернштейн (2009-01-14). "Почему кубические атаки ничего не сломали?". Получено 2014-05-18.