- •КУРС ЛЕКЦИЙ
- •Из сказанного выше следует, что
- •Допустим, что мы уже установили справедливость соотношений
- •По формуле Байеса
- •Среднее геометрического распределения равно
- •Пусть
- •Тогда
- •Для второй суммы справедлива оценка
- •Следовательно,
- •Отсюда получаем
- •Тогда
- •Это выполняется, когда
- •Тогда справедливо следующее равенство:
- •Обозначим
- •Положим
- •Это апостериорная вероятность того, что z=a. Аналогично
- •Из определения следует, что
- •Тогда уравнение
- •Рис. 1. Схема 3-х раундов DES.
- •Отсюда, используя разложение логарифма в ряд, получим
- •Таким образом,
- •Здесь IV – инициальное значение.
- •Из этих соотношений с учетом (1) получим
- •Аналогично,
- •Откуда следует, что
- •Из соотношений (2) и (3) получим
- •Отсюда
- •Отсюда
- •Находим подходящие тексты такие, что
- •Теперь проверяем равенство
- •Тогда
- •Тогда
- •Сложив два последние равенства, получим
- •Пример: IDEA
- •4.2. Арифметика остатков
- •Заметим, что
- •Подпись RSA.
- •Затем
- •Аналогично
- •Тогда по лемме
- •Глава 1. Примеры шифров……………………………………………………. 3
- •Глава 3. Синтез криптоалгоритмов…………………………………………….67
- •4.2. Арифметика остатков………………………………………………….81
62
вида (?, Н, Н, Н), где
Н= С + D K3 (C).
Н- это случайная функция от С, не являющаяся подстановкой. По результатам задачи о днях рождения с большой вероятностью существуют
С и С* , дающие одно и то же Н, так как Н – не взаимно-однозначное отображение. Тогда для двух С и С* появится одно и то же P3 .
Действительно, для С и С*
Z 2 = D K2 (Н) + Н.
Отсюда
P3 = Z 2 + D K1 ( Z3 ) = Z 2 + D K1 ( D K2 (Н) + Н)).
Для такой пары С и С* имеем уравнение
С + D K3 (C) = С* + D K3 (C* ),
где С и С* известны. Методом полного перебора находим ключ К3 . Аналогичным образом находим К2 и К1.
63
2.15. Криптоанализ режима DES, предложенного в качестве стандарта ANSI X9.52.
Для повышения стойкости тройного DES было предложено усилить режим с зацеплением тройного DES маскировками (СВСM). Biham и Knudsen [Biham 98] построили атаку на эту систему, значительно снижающую стойкость. Поэтому данный алгоритм в последний момент был снят с голосования по принятию его как стандарта.
|
|
P 0 |
|
|
|
P1 |
|
P 2 |
P 3 |
||||||||||||
IV2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Е(К1 ) |
|
|
|
|
Е(К1) |
|
|
|
Е(К1) |
|
|
|
|
Е(К1) |
|
||||
M1 |
|
Z1 |
M 2 |
|
|
Z 2 |
M 3 |
Z 3 |
|
|
M 4 |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
L1 |
|
|
|
|
L 2 |
|
|
|
L 3 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
D(К2 ) |
|
|
|
|
D(К2 ) |
|
|
|
D(К2 ) |
|
|
|
|
D(К2 ) |
|
||||
|
|
|
Y1 |
|
|
|
|
Y 2 |
|
|
|
Y 3 |
|
|
|
|
Y 4 |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
W1 |
|
|
|
|
W 2 |
|
|
|
W 3 |
|
|
|
|
W 4 |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
E(К1 ) |
|
|
|
|
E(К1 ) |
|
|
|
E(К1 ) |
|
|
|
|
E(К1 ) |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
C*1 |
|
|
C*2 |
|
|
C*3 |
|
C*4 |
Рис.1.Схема СВСМ.
Схема маскировки выглядит следующим образом (OFB). IV1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
E(К3 ) |
|
|
E(К3 ) |
|
|
E(К3 ) |
|
|
E(К3 ) |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
M1 |
|
|
M 2 |
|
M 3 |
|
M 4 |
Рис. 2.
|
|
|
|
|
64 |
Рассмотрим два блока шифртекста |
длины |
2 64 |
С1 |
и С2 . Ключи |
|
К1 , К2 , К3 и произвольные IV |
неизвестны. Допустим, |
что дан такой |
|||
открытый текст , что получено 2 64 |
С1 , а затем 2 64 |
С2 . Период схемы OFB |
|||
самое большее 2 64 (в среднем 2 63 ). Поскольку IV 2 |
неизвестно, то не |
||||
будем принимать во внимание первый |
блок С1 |
и |
первый блок С2 . |
Обозначим блоки открытого текста (после удаления первых блоков) в первых р шагах через Р1,1 , …., Р1, p . Тогда входы на первые блоки
шифрования DES на ключе К1 равны
Q1,i = P1,i + C1 , i =1,…, p.
Q1,i зашифровываются в C1 при использовании маскирующего блока Мi . Аналогично для любого i P 2,i - блок открытого текста, который под действием той же маскировки Мi переводится в С2 .
Q 2,i = P 2,i + C 2 , i =1,…, p.
Опробуем ключ К1 . Если мы угадали ключ, то должно выполняться
равенство
E K1 ( P1,i + C1 ) + D K1 ( C1 ) = Li + Yi i = 1,…, p.
Аналогичное равенство выполняется и для С2 :
E K1 ( P1,i + C 2 ) + D K1 ( C 2 ) = Li + Yi i = 1,…, p.
Рассмотрим отображение
ЕK2 ( ) + V,
где V – фиксировано. Это отображение пространства 64-мерных выборок в себя. Пусть V - случайно. Тогда с большой вероятностью существует ровно одна неподвижная точка этого отображения. Эта задача может быть
проинтерпретирована следующим образом. Пусть N = 2 64 дробинок размещают по 2 64 ящикам. Какова вероятность того, что ровно одна
дробинка попадет в свой ящик? N N общее число размещений N дробинок по N ящикам. Тогда число благоприятных событий (ровно одна дробинка попадет в свой ящик) будет равно N и, соответствующая вероятность
р = |
N(N −1)N −1 |
= (1− |
1 |
) |
N |
~ e |
−1 |
. |
N N |
N |
|
|
|||||
|
|
|
|
|
|
|
Если для некоторого i эта точка равна Мi + D K1 (СK,i ), то тогда
Q K,i |
= D K |
( Мi + ЕK |
2 |
( Мi |
+ D K (СK,i ))) = |
= D K |
1 |
|
|
1 |
|
( Мi + V + ( Мi + D K (СK,i ))) = |
|||||
1 |
|
|
|
1 |
|