спочатку був направлений на розтин алгоритму DES. Згодом лінійний криптоаналіз був поширений і на інші алгоритми. [12]
Сенс лінійного криптоаналізу полягає в знаходженні співвідношень такого вигляду: [12]
Pi1? Pi2? ...? Pia? Cj1? Cj2? ...? Cjb = Kk1? Kk2? ...? Kkc
Де P n , C n і K n - n-е біти відкритого тексту, шифртекста і ключа відповідно. span>
Для довільно обраних біт відкритого тексту, шифртекста і ключа ймовірність P справедливості такого співвідношення становить близько ВЅ. У тому випадку, якщо криптоаналітику вдається знайти такі біти, при яких імовірність P помітно відрізняється від ВЅ, даними співвідношенням можна скористатися для розкриття алгоритму. [12]
Для розкриття ключа шифру DES цим методом необхідно 2 47 пар відомих відкритих і зашифрованих текстів. [16]
2.5 Тимчасової криптоанализ
Суть даного методу полягає у вимірюванні часу, який витрачає пристрій на шифрування того чи іншого тексту. Існує деякий математичне обгрунтування, що доводить, що даним способом можна отримати деяку інформацію про ключі. [13]
Загальна схема атаки описана в [17]. Атаку можна трактувати як проблему розпізнавання сигналів. "Сигнал" складається з варіацій виміру часу для відомих біт, "шум" - з похибок вимірювання часу і варіацій виміру часу для невідомих біт. Властивості "сигналу" і "шуму" визначають кількість замірів часу, необхідних для атаки. Нехай отримано j повідомлень y0, y1,., Yj-1 і їм відповідні вимірювання часу T0, T1,., Tj-1. Ймовірність, що припущення xb для перших b біт правильно, пропорційна,
В
де t (yi, xb) - час, необхідний для перших b ітерацій циклу вичсіленія yix mod n з використанням біт xb, - очікувана Фунція розподілу ймовірності Tt (y, xb) за всіма значеннями y і правильному xb. Т.к. F визначена як розподіл вероятностіTi-t (yi, xb), якщо xb правильно, то це - найкраща функція для передбачення Ti-t (yi, xb). Зверніть увагу, що вимірювання часу і проміжні значення s можуть використовуватися для поліпшення оцінки F.
При правильному припущенні для xb-1 є два можливих значення для xb. Ймовірність того, що xb - є правильним, а xb '- неправильним, може бути знайдена як
В
2.6 гратковий криптоанализ
На відміну від попередніх методів розкриття, гратковий криптоаналіз є не статистичним, а алгебраїчним. Замість оц...