分组密码线性分析技术.pptVIP

分组密码分析技术 密码分析和密码设计是相互对立、相互依存的。伴随着对任何一种密码的分析，分析者千方百计从该密码算法中寻找漏洞和缺陷，进而进行攻击。 对现代分组密码的分析更是如此，如DES自从诞生以来，对它的分析工作就没停止过。 分组密码分析技术 代换—置换网络 线性密码分析 差分密码分析 代换—置换网络 算法的输入为16比特的数据块，并且重复四次相同的操作处理数据块。 每一轮包括 1) S-box置换 2）比特变换 3）密钥混合。 代换—置换网络 S-box置换 S-box的最基本的性质是其非线性映射，S-box的输出不能通过对输入的线性变换而得到。 S-box要可逆 代换—置换网络 线性密码分析 —1 基本的分析概述 线性分析的分析者利用了包含明文、密文和子密钥的线性表达式发生的较大可能性 。 线性分析前提：假设攻击者已经知道了大量的明文和相对应的密文。 线性密码分析 —1 基本的分析概述 线性分析最基本的思想就是用一个线性表达式来近似表示加密算法的一部分，该线性表达式是关于模2的操作（用?表示XOR操作）。表达式具有如下的形式： 该表达式是u比特的输入与v比特的输出进行XOR操作的结果。 线性密码分析 线性密码分析的方法就是测定上述形式的线性表达式发生的可能性的大小。 如果一个密码算法使得等式成立的可能性非常大或者非常小，这说明该密码算法的随机性比较差。 一般情况下，假如我们随机选择u＋v个比特值，并且将它们代入等式,等式成立的可能性应该为1/2。 线性密码分析 在线性密码分析中，一个线性表达式成立的可能性与1/2之间的差值定义为偏移量（或偏差）。 一个线性表达式成立的可能性与1/2的距离越大，密码分析者利用线性密码分析就越有效果。 如果对于随机选择的明文找到相应的密文，使得上述表达式成立的可能性为PL，则线性可能性偏移量是PL－1/2。 线性可能性偏移量的绝对值| PL－1/2 |越大，线性密码分析对于知道较少明文情况下的攻击越有效。 线性密码分析 —2 堆积引理 考虑两个二进制变量X1，X2。通过计算简单的关系开始： X1 ? X2＝0是一个线性表达式，等价于X1＝X2； X1 ? X2＝1是一个仿射表达式，等价于X1≠X2。 线性密码分析 —2 堆积引理 给出如下的概率分布： 线性密码分析 —2 堆积引理 如果两个随机变量相互独立，则： 线性密码分析 —2 堆积引理 可以等价表示为： Pr( X1 ? X2＝0 )＝Pr( X1＝X2 ) ＝Pr( X1＝0, X2＝0 )＋Pr( X1＝1, X2＝1 ) ＝p1 p2＋( 1－p1 )( 1－p2 ) 另一种表示方法是： 令p1＝1/2＋ε１，p2＝1/2＋ε2，ε１、ε2是线性可能性偏移量，而且－1/2≤ε１, ε2≤1/2。 因此，Pr( X1 ? X2＝0 )＝1/2＋2ε１ε2，并且X1 ? X2＝0的线性偏移量ε1,2为2ε１ε2 线性密码分析 —2 堆积引理 扩展到多个随机二进制变量的情况 若有随机变量X1 … Xn且概率为p1＝1/2＋ε1，p2＝1/2＋ε2，…….，pn＝1/2＋εn。 Piling-Up 引理：对于n个相互独立的二进制随机变量，X1, X2, …, Xn，可得 或者等价表示为，其中ε1,2,......,n表示X1 ? X2 ? ... ? Xn＝0的线性偏移量。 线性密码分析- —2 堆积引理---例子 有四个相互独立的随机变量X1，X2，X3 和X4。 Pr ( X1 ? X2＝0)＝1/2＋ε1,2 Pr( X2 ? X3＝0 )＝1/2＋ε2,3， Pr( X1 ? X3＝0 )＝Pr( [X1 ? X2] ? [X2 ? X3]＝0 ) 应用Pi