енціального криптоаналізу. Вони визначили поняття марковского шифру і продемонстрували, що стійкість до диференціального криптоаналізу може бути промодельована і оцінена кількісно. Криптоаналітика Лай (Lai) стверджував (він привів підтвердження, але не доказ), що IDEA стійкий до диференціального криптоаналізу вже після 4 з 8 етапів. Згідно Біхам, його спроба розкрити IDEA за допомогою криптоаналізу з пов'язаними ключами також не увінчалася успіхом. p align="justify"> Віллі Майєр (Willi Meier) досліджував три алгебраїчних операції IDEA і показав, що, хоча вони несумісні, є випадки, коли ці операції можна спростити так, щоб в деякій мірі полегшити. Його розтин 2-етапного IDEA виявилося ефективнішим розтину грубою силою (2 42 операцій), але для IDEA з 3 і більше етапами ефективність цього розтину була нижчою розтину грубою силою. Безпека повного 8-етапного IDEA залишилася непохитною.
Джоан Дейм (Joan Daemen) відкрила клас слабких ключів IDEA. Ці ключі не є слабкими в тому сенсі, в якому слабкі деякі ключі DES, для яких функція шифрування обратна самій собі. Слабкість цих ключів полягає в тому, що зломщик може легко визначити їх за допомогою розтину з обраним відкритим текстом. Наприклад, слабким є наступний ключ (у шістнадцятковій запису):
, 0000,0 x00, 0000,0000,000 x, xxxx, x000
У позиції "x" може стояти кожна цифра. При використанні такого ключа побітовое XOR певних пар відкритих текстів одно побітову XOR одержані пар шифротекст. p align="justify"> У будь-якому випадку ймовірність випадкової генерації одного з таких слабких ключів дуже мала: 1/2 96 . Небезпека випадково вибрати такий ключ практично не існує. До того ж, нескладно модифікувати IDEA так, щоб виключити наявність слабких ключів - досить виконати XOR кожного підключа з числом 0x0dae.может працювати в будь-якому з режимів роботи блокового шифру, описаних в розділі 9. Проти подвійних реалізацій IDEA може бути зроблено те ж розтин "зустріч посередині", що й проти DES. Однак, так як ключ IDEA більш ніж у два рази довше ключа DES, це розтин непрактично. Обсяг потрібної для такого розкриття пам'яті складе 64 * 2 128 бітів, або 10 39 байтів.
Можна реалізувати IDEA з незалежними підключив, особливо якщо кошти розподілу ключів дозволяють працювати з довгими ключами. Для IDEA потрібно всього 52 16-бітових ключа, загальною довжиною 832 бітів. Цей варіант виразно безпечніше, але ніхто не зможе сказати наскільки. p align="justify"> У наївною модифікації може бути збільшений удвічі розмір блоку. Алгоритм також прекрасно працював би з 32-бітовими подблоков замість 16-бітових і з 256-бітовим ключем. Шифрування виконувало...
