Лемма о накоплении - Piling-up lemma
Эта статья нужны дополнительные цитаты для проверка.Февраль 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
В криптоанализ, то лемма о накоплении это принцип, используемый в линейный криптоанализ строить линейное приближение к действию блочные шифры. Он был представлен Мицуру Мацуи (1993) как аналитический инструмент для линейного криптоанализа.
Теория
Лемма о накоплении позволяет криптоаналитику определить вероятность что равенство:
держится, где Икс есть бинарные переменные (то есть биты: либо 0, либо 1).
Позволять п(A) обозначают «вероятность того, что A истинно». Если он равен один, A обязательно произойдет, и если оно равно нулю, A не может произойти. Прежде всего, рассмотрим лемму о накоплении двух двоичных переменных, где и .
Теперь мы рассматриваем:
Благодаря свойствам xor операция, это эквивалентно
Икс1 = Икс2 = 0 и Икс1 = Икс2 = 1 являются взаимоисключающие события, так что мы можем сказать
Теперь мы должны сделать главное предположение леммы о накоплении: двоичные переменные, с которыми мы имеем дело, независимый; то есть состояние одного не влияет на состояние остальных. Таким образом, мы можем расширить функцию вероятности следующим образом:
Теперь выразим вероятности п1 и п2 как ½ + ε1 и ½ + ε2, где ε - смещение вероятности - величина, на которую вероятность отклоняется от 1/2.
Таким образом, вероятность смещения ε1,2 для суммы XOR выше 2ε1ε2.
Эта формула может быть расширена на большее количество Икс выглядит следующим образом:
Обратите внимание, что если любое из ε равно нулю; то есть, если одна из двоичных переменных несмещена, вся функция вероятности будет несмещенной - равной ½.
Связанное с этим несколько иное определение смещения: фактически минус два раза предыдущее значение. Преимущество в том, что теперь с
у нас есть
добавление случайных величин означает умножение их (2-е определение) смещений.
Упражняться
На практике Иксs приближения к S-боксы (компоненты подстановки) блочных шифров. Обычно Икс значения являются входными данными для S-блока и Y значения - соответствующие выходы. Просто взглянув на S-блоки, криптоаналитик может определить вероятностные смещения. Уловка состоит в том, чтобы найти комбинации входных и выходных значений с вероятностью ноль или один. Чем ближе приближение к нулю или единице, тем полезнее приближение в линейном криптоанализе.
Однако на практике двоичные переменные не являются независимыми, как предполагается при выводе леммы о накоплении. Это соображение необходимо иметь в виду при применении леммы; это не формула автоматического криптоанализа.
Рекомендации
- Мацуи, Мицуру (1994). «Метод линейного криптоанализа для шифра DES». Достижения в криптологии - EUROCRYPT ’93. Springer. С. 386–397. Дои:10.1007/3-540-48285-7_33.