- •КУРС ЛЕКЦИЙ
- •Из сказанного выше следует, что
- •Допустим, что мы уже установили справедливость соотношений
- •По формуле Байеса
- •Среднее геометрического распределения равно
- •Пусть
- •Тогда
- •Для второй суммы справедлива оценка
- •Следовательно,
- •Отсюда получаем
- •Тогда
- •Это выполняется, когда
- •Тогда справедливо следующее равенство:
- •Обозначим
- •Положим
- •Это апостериорная вероятность того, что z=a. Аналогично
- •Из определения следует, что
- •Тогда уравнение
- •Рис. 1. Схема 3-х раундов DES.
- •Отсюда, используя разложение логарифма в ряд, получим
- •Таким образом,
- •Здесь IV – инициальное значение.
- •Из этих соотношений с учетом (1) получим
- •Аналогично,
- •Откуда следует, что
- •Из соотношений (2) и (3) получим
- •Отсюда
- •Отсюда
- •Находим подходящие тексты такие, что
- •Теперь проверяем равенство
- •Тогда
- •Тогда
- •Сложив два последние равенства, получим
- •Пример: IDEA
- •4.2. Арифметика остатков
- •Заметим, что
- •Подпись RSA.
- •Затем
- •Аналогично
- •Тогда по лемме
- •Глава 1. Примеры шифров……………………………………………………. 3
- •Глава 3. Синтез криптоалгоритмов…………………………………………….67
- •4.2. Арифметика остатков………………………………………………….81
65
= D K1 ( V + D K1 (СK,i )).
Тогда атака состоит из следующих шагов:
1.Выбираем произвольный блок V.
2.Опробуем ключ К1 . Пусть К’ – очередной проверяемый ключ.
3.Вычисляем
T1 ( К’) = D K ' ( V + D K ' (C1 )), |
(1) |
||||
T 2 ( К’) = D |
K |
' ( V + D |
K |
' (C 2 )). |
|
|
|
|
|
Находим подходящие тексты такие, что
Q1,i = T1 ( К’), Q 2, j = T 2 ( К’).
4. Если нашли такие открытые тексты, то вычисляем
U= D K ' (C1 ) + D K ' (C 2 ).
Сучетом (1) последнее равенство влечет
U= ЕK ' ( Q1,i ) + ЕK ' ( Q 2, j ).
Теперь проверяем равенство
U = ЕK ' ( Q 2,i ) + ЕK ' ( Q1, j ).
5.Если равенство выполняется, то ключ К1 = К’. Если равенство не выполняется, то опробуем новый К’.
6. Если ключ К1 не найден, то опробуем другое V |
и повторяем |
действия 1-5. |
|
Объясним причину работы атаки. Поскольку неподвижная точка одна, |
|
то |
|
Мi + D K ' (С1 ) = М j + D K ' (С2 ). |
|
Тогда |
|
D K ' (С1 ) + D K ' (С2 ) = Мi + М j = U. |
(2) |
Рассмотрим теперь Q1, j и Q 2,i . Для них соответствующие маскировки |
|
М j и Мi , а выходы из блока расшифрования на ключе К2 |
равны |
D K ' (С1 ) + М j и D K ' (С2 ) + Мi .
Отсюда, согласно (2),
Y1, j = D K ' (С1 ) + М j = D K ' (С2 ) + Мi = Y 2,i .
Раз равны выходы, то равны и входы:
L1, j = L 2,i