pan> чи не стане з'являтися частіше інших. Беремо цей підключ або безліч таких підключів в якості криптографічного рішення для підключа до (r) .
. Повторюємо пп.1-3 для передостаннього циклу, при цьому значення y (r-1) обчислюються розшифрування Шифртекст на знайденому подключе останнього циклу до (r) . Далі діємо аналогічно, поки не будуть розкриті ключі всіх циклів шифрування.
Запропонований вперше для аналізу конкретного шифру, ДКА виявився застосовним для аналізу широкого класу марківських шифрів. Марківським називається шифр, у якого рівняння шифрування на одному циклі задовольняє умові: вірогідність диференціала не залежить від вибору відкритих текстів. Тоді, якщо підключи циклів незалежні, то послідовність різниць після кожного циклу утворює марковскую ланцюг, де подальший стан визначається тільки попереднім. Прикладами марковських шифрів є DES і FEAL.
Можна показати, що марківський r-циклової шифр з незалежними підключив є вразливим для ДКА тоді і тільки тоді, коли для одного циклу шифрування ключ за відомою трійці (y, y *, D x) може бути легко обчислений, і існує (r-1)-циклової диференціал (a, b) к-1 такий, що його ймовірність задовольняє умові
P (D y (r-1) = b | D x = a)>> 2 -n ,
де n-кількість біт в блоці шіфруемоготексту.
Складність розкриття ключа r-циклічного шифру Q (r) визначається як число використовуваних шифрування з наступним обчисленням ключа:
Q (r) і 2/(P max - 1/(2 n -1)),
Де P max = max (a) max ( b) (P (D y (r-1) = b | D x = a)).
Зокрема, якщо P max В»1/(2 n -1), то атака не буде успішною. Оскільки обчислення підключа - більш трудомістка операція, ніж шифрування, то одиницею виміру складності є складність знаходження можливих підключів одного циклу по відомим (D y (r-1), y (r), y * (r)).
Відмінною рисою диференціального аналізу є те, що він практично не використовує алгебраїчні властивості шифру (лінійність, афінність, транзитивність, замкнутість і т.п.), а заснований лише на нерівномірності розподілу ймовірності диференціалів. br/>
2.4 Лінійний криптоаналіз
Лінійний криптоаналіз винайшов японський криптолог Міцуру Мацуї (Mitsuru Matsui). Запропонований ним в 1993 р. метод ...