- •КУРС ЛЕКЦИЙ
- •Из сказанного выше следует, что
- •Допустим, что мы уже установили справедливость соотношений
- •По формуле Байеса
- •Среднее геометрического распределения равно
- •Пусть
- •Тогда
- •Для второй суммы справедлива оценка
- •Следовательно,
- •Отсюда получаем
- •Тогда
- •Это выполняется, когда
- •Тогда справедливо следующее равенство:
- •Обозначим
- •Положим
- •Это апостериорная вероятность того, что z=a. Аналогично
- •Из определения следует, что
- •Тогда уравнение
- •Рис. 1. Схема 3-х раундов DES.
- •Отсюда, используя разложение логарифма в ряд, получим
- •Таким образом,
- •Здесь IV – инициальное значение.
- •Из этих соотношений с учетом (1) получим
- •Аналогично,
- •Откуда следует, что
- •Из соотношений (2) и (3) получим
- •Отсюда
- •Отсюда
- •Находим подходящие тексты такие, что
- •Теперь проверяем равенство
- •Тогда
- •Тогда
- •Сложив два последние равенства, получим
- •Пример: IDEA
- •4.2. Арифметика остатков
- •Заметим, что
- •Подпись RSA.
- •Затем
- •Аналогично
- •Тогда по лемме
- •Глава 1. Примеры шифров……………………………………………………. 3
- •Глава 3. Синтез криптоалгоритмов…………………………………………….67
- •4.2. Арифметика остатков………………………………………………….81
59
V1* = W*0 + L1* .
Из этих соотношений с учетом (1) получим |
|
W 0 + W*0 = L1 + L1* . |
(2) |
Аналогично, |
|
Z 2 = P 2 + L1, |
|
Z *2 = P*2 + L1* . |
|
Откуда следует, что |
|
P 2 + P*2 = L1 + L1* . |
(3) |
Из соотношений (2) и (3) получим |
|
P 2 + P*2 = W 0 + W*0 . |
(4) |
Так как мы знаем открытый текст, то нам известно P 2 + P*2 . Тогда мы |
|
знаем W 0 + W*0 и С0 , С*0 и можем опробовать ключ К3 , что в среднем |
|
потребует 2 55 операций. |
= С1* и |
Нахождение вероятностей таких пар троек, у которых С1 |
С2 =С *2 следует из задачи о днях рождения. |
А именно, если вероятность |
|||||||
такой пары при произвольном С0 есть |
1 |
, |
то вероятность хоть какой- |
|||||
|
||||||||
|
1 |
|
|
2128 |
|
|
||
нибудь пары ~ |
= |
1 |
. Значит надо иметь ~ 264 блоков шифртекста |
|||||
128 |
2 |
64 |
||||||
|
2 |
|
|
|
|
|
|
|
для определения ключа К3 . |
|
|
|
|||||
Зная К3 , находим Wi |
и, применяя аналогичную технику, определяем |
К2 и К1. Для данной атаки потребуется 3 2 55 операций опробования и 3 264 блоков шифртекста.