Линейный криптоанализ в значительной степени зависит от структуры S-блоков. Как оказалось, S-блоки DES не оптимизированы против такого метода вскрытия. Действительно, смещение в S-блоках, реализованное в DES, составляет 9–16%, что не обеспечивает надежной защиты от линейного криптоанализа. Согласно Дону Копперсмиту, устойчивость к линейному криптоанализу “не входило в число критериев проектирования DES”. Либо разработчики не знали о существовании линейного криптоанализа, либо при проектировании отдали преимущество устойчивости против известной им более мощной атаки.
Линейный криптоанализ современнее дифференциального и в ближайшее время возможно дальнейшее продвижение в этом направлении. Некоторые идеи выдвинуты в /1270, 811/, но неясно, можно ли их эффективно применить против полного алгоритма DES. Однако они превосходно работают против вариантов с уменьшенным числом раундов.
Известен ряд попыток расширения концепции дифференциального криптоанализа на характеристики более высоких порядков. Ларс Кнудсен (Lars Knudsen) использует нечто, называемое частичными дифференциалами для вскрытия 6-раундового DES. Этот метод требует 32 подобранных текста и 20000 шифрований. Но этот метод слишком нов, чтобы можно было утверждать, что он облегчит вскрытие полного 16-раундового DES.
|
|
Еще один метод атаки — дифференциально-линейный криптоанализ — объединяет дифференциальный и линейный методы криптоанализа. Сьзен Лангфорд (Susan Langford) и Хеллман предлагают метод вскрытия 8-раундового DES, который восстанавливает 10 битов ключа с вероятностью успеха 80% при 512 подобранных открытых текстах, и с вероятностью 95% при 768 подобранных открытых текстах. После этого необходим лобовой поиск в оставшемся пространстве ключей (246 возможных ключей). Хотя по времени этот метод вскрытия сопоставим с описанными выше, для него требуется намного меньше открытых текстов. Однако расширение этого метода на большее число раундов представляется делом непростым.
Но этот метод слишком нов, и работа продолжается. В ближайшие годы возможны заметные успехи. Возможно, к успеху приведет сочетание этого метода вскрытия с дифференциальным криптоанализом более высоких порядков.
ЛИТЕРАТУРА
ПРИЛОЖЕНИЕ
Таблица 1
Соответствие входов и выходов алгоритма шифрования DES
Вход S5 блока | Выход S5 блока | ||
Десятичное значение | Двоичное значение | Двоичное значение | Десятичное значение |
Таблица 2
|
|
Анализ блока S5 алгоритма шифрования DES для применения метода линейного криптоанализа
i | Значения j | ||||||||||||||
S(i,j) | |||||||||||||||
12* | |||||||||||||||
Таблица 3
|
|
30 пар открытый – закрытый тест, зашифрованных с помощью учебного алгоритма на ключе К = 101010101010
|
|
Открытый блок | Зашифрованный блок |