Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Утверждение 1.

Доказательство. | Описание метода криптоанализа | Используемые аппроксимации |


Читайте также:
  1. II. Выбор и утверждение темы дипломной работы
  2. Верно ли следующее утверждение?
  3. Верно ли следующее утверждение?
  4. Верно ли следующее утверждение?
  5. Верно ли следующее утверждение?
  6. Верно ли следующее утверждение?
  7. Верно ли следующее утверждение?

Карондеев А.М. Козлов А.А. Силков А.А.

Сложение по модулю в блочном шифровании

Введение

Составной частью любого блочного шифра является процедура смешения с ключом. Обычно данная процедура представляет собой не что иное, как простой XOR промежуточного информационного блока c раундовым ключом (как в алгоритмах DES, AES и др.), однако ничто не мешает использовать любую другую операцию, например сложение по модуль (как в алгоритме ГОСТ 28147-89). С учетом современной элементной базы и структуры большинства блочных шифров замена операции XOR на сложение по модулю не приведет к существенному возрастанию сложности как программной, так и аппаратной реализации шифра. Целью данной работы является изучение криптографических свойств операции , а также, на примере SP-сетей, оценка сложности проведения линейного криптоанализа при использовании операции сложения по модулю .

2. Линейные статистические аналоги сложения по модулю

Рассмотрим сложение двух n -разрядных чисел , где , , . Его можно рассматривать как отображение:

  (1)

Обозначим аргументы этого отображения через .

Схематическое изображение блока приведено на рисунке 1.

Рисунок 1. Блок сложения по модулю

Рассмотрим координатные функции данного отображения. Их можно записать в виде:

  (2)

где ̶ значение переноса в i -й разряд, которое определяется следующим рекуррентным соотношением:

  (3)

Утверждение 1.

  (4)

где через aff обозначено множество аффинных функций.

Доказательство. Преобразуем рекуррентное соотношение (3) , после чего становится видно, что АНФ, полученная развертыванием этого рекуррентного соотношения, содержит одночлены и . ■

Как следствие, из равенства Парсеваля получаем соотношение:

  (5)

где через обозначен u -тый коэффициент Уолша-Адамара.

Утверждение 2. Для любого функция не имеет фиктивных переменных.

Доказательство. В самом деле, переменная существенна тогда и только тогда, когда она входит в АНФ, а ранее при доказательстве утверждения 1 уже было показано, что АНФ функции содержит одночлены и . ■

Теорема 1. Для любого , причем равенство достигается на двух линейных функциях и .

Доказательство. Выразим вектор значений булевой функции через вектор :

Таблица 1. Функция переноса

ai- 1 bi- 1 ai- 2 bi- 2 … a 0 b 0
0 0 0 0 … 0 0 … 0 0 1 1 … 1 1
0 1 0 0 … 0 0 … 0 1 1 1 … 1 1  
1 0 0 0 … 0 0 … 1 0 1 1 … 1 1  
1 1 0 0 … 0 0 … 1 1 1 1 … 1 1

 

Если оба старших разряда слагаемых A и B равны нулю, переноса не происходит вне зависимости от значений остальных разрядов. Если же оба старших разряда равны единице, то перенос происходит всегда. В оставшихся случаях значение функции совпадает со значением переноса из предыдущего разряда. Рассмотрим действительнозначный аналог функции и вычислим преобразование Уолша-Адамара (преобразование Фурье 2 типа). Вычисления будем производить по схеме «бабочка». Последние две итерации приведены в таблице 2.

 

Таблица 2. Вычисление преобразования Уолша-Адамара от функции переноса

ai- 1 bi- 1 … a 0 b 0    
0 0 0 … 0 0     0 0 1 … 1 1   …   …        
0 1 0 … 0 0     0 1 1 … 1 1 pi-1 i-1        
1 0 0 … 0 0     1 0 1 … 1 1 pi-1 i-1        
1 1 0 … 0 0     1 1 1 … 1 1   …   …        

 

В связи с особенностями строения функции , столбец значений поделен на четыре части. Вычисляя преобразование Уолша-Адамара по схеме «бабочка» на предпредпоследнем шаге имеем вычисленные вектора преобразовании от каждого из четырех блоков. Далее проделываем последние два шага.

Проанализируем результат. Из (5) следует, что значения элементов первого и четвертого блоков по модулю строго меньше 22 i -1. Поэтому значение 22 i -1 является максимальным по модулю среди коэффициентов Уолша-Адамара функции и достигается на двух аргументах (1000…00) и (0100…00). Эти наборы соответствуют линейным функциям и , а значение коэффициента Уолша-Адамара дает указанную вероятность совпадения 0.75. ■

Как следствие из теоремы 1 имеем:

для i -го выхода справедлвы соотношения:

,

причем эти два статистических аналога функции является наилучшими среди всех линейных.

Утверждение 3.

Доказательство.

   
0 0      
0 1      
1 0      
1 1   -1 -2

В самом деле, для утверждение верно, далее утверждение непосредственно следует из таблицы 2. ■

При проведении криптоанализа может быть полезна аппроксимация для суммы нескольких выходов. Докажем следующее утверждение о сумме для двух соседних выходов блока

Утверждение 4.

Дата добавления: 2015-11-14; просмотров: 45 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Roll and Speak| Особенности использования линейных статистических аналогов при анализе блочных шифров
mybiblioteka.su - 2015-2024 год. (0.011 сек.)