■在差分分析攻击时,所有子密钥是固定的(在给定 未知密钥k下),而明文则是随机选择的。 在计算差分概率时,明文和所有子密钥是独立且 是均匀随机选择的。 通过差分分析,逐步推算出各轮实际所用的子密 钥k; 有结论表明,若(r-1)轮差分(a,b)的差分概率 P(△X(r-1)=b△X=a)>> 则这样的r轮迭代分组密码是经受不了差分分 析攻击的
在差分分析攻击时,所有子密钥是固定的(在给定 未知密钥k下),而明文则是随机选择的。 在计算差分概率时,明文和所有子密钥是独立且 是均匀随机选择的。 通过差分分析,逐步推算出各轮实际所用的子密 钥ki。 有结论表明,若(r-1)轮差分(a,b)的差分概率 P(X (r 1) b | X a) 2 1 1 n 则这样的r轮迭代分组密码是经受不了差分分 析攻击的
差分分析攻击计算复杂性主要与所需明文对 (B,B)数目有关,即主要取决于数据复杂性 对于分组为n-bit的r轮迭代,差分分析攻击的 数据复杂性为: 2 Cd(r)≥ max 2n-1 Pm)= max max P(△X(r-1)=b|△B=a) b 如果一个r轮选代分组密码的Pms2,则 认为该密码算法可以抗差分分析攻击
差分分析攻击计算复杂性主要与所需明文对 (B,B')数目有关,即主要取决于数据复杂性。 对于分组为n-bit的r轮迭代,差分分析攻击的 数据复杂性为: 2 1 1 2 ( ) ( 1) max n r d P C r maxmax ( ( 1) | ) ( 1) Pmax P X r b B a a b r 如果一个 r 轮迭代分组密码的 n r P 23 ( 1) max ,则 认为该密码算法可以抗差分分析攻击
■3.4.3线性攻击 线性攻击就是用最佳线性函数逼近S盒输出 的非零线性组合 对于已知明文m、密文y和特定密钥k,寻找 线性表达式(a·m)e(by)=(d●k),其中(a,b,d) 为攻击参数。 对每一S盒的输入和输出之间构造统计线性 路径,并最终扩展到整个算法
3.4.3线性攻击 线性攻击就是用最佳线性函数逼近S盒输出 的非零线性组合。 对于已知明文m、密文y和特定密钥k,寻找 线性表达式(am)(by)=(dk),其中(a,b,d) 为攻击参数。 对每一S盒的输入和输出之间构造统计线性 路径,并最终扩展到整个算法
■定义33:对于布尔函数h:ΣΣ,如果 存在a∈{0,1}(这里i=1,2,…n),使得 h(s)=a1s1a2S2④,,anSn,这里 9··· n)∈∑,则称该布尔函数为线 性的。所有n个变量的布尔线性函数全 体构成的集合记为 Ln={h:Σn→Σh=a1s1a2S2.anSn}
定义3.3:对于布尔函数h: n → ,如果 存在 a i {0,1}(这里i=1,2,…n),使得 h(s)=a 1 s 1 a 2 s 2 … a n s n,这里 s=(s 1,s 2,…,s n ) n,则称该布尔函数为线 性的。所有 n个变量的布尔线性函数全 体构成的集合记为 L n={h: n → |h=a 1 s 1 a 2 s 2 … a n s n }
如果对于某些h(s)∈Ln,布尔函数h:n→∑ 满足f()=h(s)或者f()=h(s)④1,则称该布尔 函数为仿射函数。所有n个变量的仿射布尔 函数的集合记为: An=InU{hdIh∈Ln}=LnU 两个布尔函数fg:∑Σ之间的汉明距离 d(,g)是向量(f(a)④g(a0),(a1)④g(x1) f(a2n)④g(a2n1)中1的个数,即g不一致 的个数。这里=(0,0,0), a1=(0,0,…,1)…2n1-=(1,1,…,1)
如果对于某些h(s) Ln,布尔函数h: n → 满足f(s)=h(s)或者f(s)=h(s) 1,则称该布尔 函数为仿射函数。所有 n个变量的仿射布尔 函数的集合记为: A n=L n ∪{h 1|h L n}=L n ∪ 两个布尔函数f,g : n → 之间的汉明距离 d(f,g)是向量(f( α 0 ) g( α 0),f( α 1 ) g( α 1),…, f( α 2 n-1 ) g( α 2 n-1)) 中 1的个数,即 f和 g不一致 的个数。这里 α 0=(0,0,…0), α 1=(0,0,…1),… α 2 n-1=(1,1,…1) 。 L n