[ Pobierz całość w formacie PDF ]
.Dla przykÅ‚adu, nasze powy\sze rozwa\ania wyznaczajÄ… charakterystykÄ™ dla3 rund z prawdopodobieÅ„stwem okoÅ‚o 0.048.Wiele tego typu charakterystykmo\na znalezć, zadanie to jest tym trudniejsze, im wiÄ™ksze ma byćprawdopodobieÅ„stwo i liczba rozwa\anych rund.Powróćmy teraz do prób zÅ‚amania DES-a zÅ‚o\onego z 4 rund.W tym celuwielokrotnie powtarzamy nastÄ™pujÄ…ce kroki:187 M.KutyÅ‚owski, W.-B.Strothmann1.losowo wybieramy parÄ™ danych wejÅ›ciowych o ró\nicy równej0080820060000000* i szyfrujemy oba ciÄ…gi,2.zakÅ‚adajÄ…c, \e ró\nica l XOR l wynosi 00808200, przeprowa-dzamy kryptoanalizÄ™ ró\nicowÄ… dla ostatniej rundy.Dla wszystkich prób prowadzimy statystykÄ™ otrzymanych  mo\liwychkluczy".Dla ka\dego klucza prowadzimy statystykÄ™, ile razy wystÄ…piÅ‚jako  mo\liwy klucz".W przypadkach, gdy zaÅ‚o\enie co do ró\nicyL3 XOR L3 jest faÅ‚szywe, wszystkie klucze sÄ… podawane z podobnymiprawdopodobieÅ„stwami.Gdy jednak zaÅ‚o\enie to jest speÅ‚nione (azachodzi to dla okoÅ‚o 4,8% przypadków), to prawdziwy klucz zostaniez pewnoÅ›ciÄ… wskazany jako jeden z  mo\liwych kluczy".Wynika ztego, \e w naszych statystykach prawdziwy klucz powinien wystÄ™po-wać wyraznie częściej ni\ inne klucze.OczywiÅ›cie, by tÄ™ statystycznÄ…prawidÅ‚owość odkryć, trzeba dysponować odpowiednio du\Ä… liczbÄ…eksperymentów.Poniewa\ dla charakterystyk opisujÄ…cych du\Ä… ilośćrund prawdopodobieÅ„stwo jest bardzo maÅ‚e, mo\emy być zmuszeni doprzeprowadzenia statystyki dla olbrzymiej liczby par danych wej-Å›ciowych.12.2.2.Kryptoanaliza liniowaLiniowa kryptoanaliza jest dziÅ› najbardziej efektywnÄ… metodÄ… kryp-toanalizy DES-a.Wymaga Å›rednio 243 par tekst jawny-kryptogram dlaznalezienia klucza (atak typu known plaintext).Metoda ta zostaÅ‚a od-kryta i opublikowana stosunkowo niedawno i, jak siÄ™ okazaÅ‚o, nie byÅ‚abrana pod uwagÄ™ podczas projektowania DES-a.Tak jak kryptoanalizaró\nicowa okazaÅ‚a siÄ™ bardzo efektywnym narzÄ™dziem do wykazy-wania, i\ wiele nowo projektowanych metod szyfrowania nie jest bez-piecznych.Liniowa aproksymacja S-boksów: chocia\ S-boksy nie obliczajÄ… Å‚a-twych do przedstawienia funkcji (na przykÅ‚ad funkcji liniowych), nieznaczy to, \e funkcji tych nie da siÄ™ przedstawić w przybli\eniu przezproste formuÅ‚y.188 KryptografiaDla pojedynczego S-boksu S rozwa\amy formuÅ‚y postaciijx XOR ij2 XOR " " " XOR ije = ohl XOR 0hl XOR " " " XOR 0h ,gdzie odpowiednio is oraz os oznaczajÄ… s-ty bit danych wejÅ›ciowych i danychwyjÅ›ciowych.Ze wzglÄ™du na zasady konstrukcji S-boksów równość taka niemo\e zachodzić dla wszystkich danych wejÅ›ciowych.Nam wystarcza jednak,gdy jest stosunkowo czÄ™sto albo stosunkowo rzadko speÅ‚niona.JeÅ›li takjest, to mówimy \e formuÅ‚a ta liniowo aprok-symuje S-boks S.Na przykÅ‚ad, S-boks S5 mo\e być scharakteryzowany przez formuÅ‚Ä™z4 = o0 XOR Oi XOR 02 XOR 03.Równość ta zachodzi dla ok.19% danych wejÅ›ciowych.Mo\na wiÄ™czaÅ‚o\yć, \eZ4 = -n(o0 XOR Oi XOR 02 XOR 03)i bÄ™dzie to prawdÄ… dla ok.100% -19% = 81% przypadków (wa\ne jest wiÄ™c,by udziaÅ‚ procentowy przypadków, dla których dana równość zachodzi,odbiegaÅ‚ jak najbardziej od 50%).W powy\szej formule mo\na nastÄ™pniezastÄ…pić z'4 poprzez XOR odpowiedniego bitu klucza i bitu danychwejÅ›ciowych rundy.Z formuÅ‚ aproksymujÄ…cych liniowo pojedyncze S-boksy mo\na zbudowaćformuÅ‚y opisujÄ…ce zwiÄ…zki pomiÄ™dzy danymi wejÅ›ciowymi rundy, bitamiklucza oraz wynikami rundy.OczywiÅ›cie, zwiÄ…zki te zachodzÄ… tylkostatystycznie dla stosunkowo du\ej lub stosunkowo maÅ‚ej liczby danychwejÅ›ciowych.FormuÅ‚y dla poszczególnych rund mo\na powiÄ…zać ze sobÄ….PrzykÅ‚ad: dla DES-a z trzema rundami mo\na wyprowadzić nastÄ™pujÄ…ceformuÅ‚y aproksymujÄ…ce zachowanie algorytmu:XOR (p7, pw, p24, P29, P47, C7, Cis, C24, C29, C47) = k\2 XOR ^2 (12.1)gdzie pi oznacza i-ty bit tekstu jawnego, Cj oznacza /-ty bit krypto-gramu, k"zaÅ› oznacza u-ty bit klucza w-tej rundy.Równość (12.1) zachodzi zprawdopodobieÅ„stwem q dla losowo wybranego tekstu jawnego (q jestznane, ale nie bÄ™dziemy q podawać).189 M.KutyÅ‚owski, W.-B.StrothmannDla grupy m losowo wybranych tekstów jawnych wyliczamy wartość stojÄ…cÄ…po prawej stronie równoÅ›ci (12.1).Niech r bÄ™dzie liczbÄ… przypadków, wktórych otrzymaliÅ›my 1 (tym samym 0 otrzymujemy w m  rprzypadkach).Na podstawie wartoÅ›ci r/m oraz Ä… przyjmujemy teraznastÄ™pujÄ…cÄ… wartość dla k - % k\2 XOR k\2'-Przypadek 1: q > 0.5wtedy k := 0, jeÅ›li r/m 0.5,Przypadek 2: q 0.5, oraz k := 1, jeÅ›li r/m +w? = (^"-;)»  % (gfl)P = 1 mod p.Zatem g = 1 mod p,sprzeczność.¡%A.2.7.Pierwiastki modulo nMówimy, \e y jest resztÄ… kwadratowÄ… modulo n, jeÅ›li istnieje x, takie \e xz y mod n.W takim przypadku mówimy te\, \e x jest pierwiastkiem z ymodulo n.Zacznijmy od wyznaczenia pierwiastków modulo liczba pierwsza.Lemat 29.JeÅ›li p jest liczbÄ… pierwszÄ… i x2 = 1 mod p, to x  1 mod p lub x  1 mod p.Dowód.JeÅ›li x2  1 mod /?, to x2  1 = 0 mod p, a zatem p dzieli x2 -1 = (x + l)(x  1) [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • personata.xlx.pl