最大期望微分/線性機率 (MEDP/MELP) 是什麼意思?
我正在閱讀這篇論文,其中大量引用了 MEDP 和 MELP 術語。儘管我認為我得到了一般含義,但我無法驗證它確實是正確的。
對於 MEDP,我會說這是通過 k 輪加密可以實現的最大偏差。
對於 MELP,我會說這是一個方程在 k 輪加密中的最大機率。
兩者都用於評估加密方案對差分和線性密碼分析的抵抗力,例如通過設置這些指標的上限。那正確嗎?
此外,我注意到在很多情況下,這些數量被用於 2 輪加密。(是各種AES MEDP,MELP論文)他們只選擇2輪是否有特殊原因,或者只是計算複雜性的問題?
您連結到的論文給出了 MEDP 和 MELP 的精確定義。我將嘗試更廣泛、更清楚地解釋這些定義。
首先,關於給定分組密碼的差分機率 (DP) 函式採用輸入差異 $ \Delta x $ , 輸出差 $ \Delta y $ , 和一個鍵 $ k $ 作為輸入並生成一個機率作為輸出。這個機率可以理解為:“明文對的數量 $ (P_a, P_b) $ 這樣 $ P_a \oplus P_b = \Delta x $ 和 $ E_k(P_a) \oplus E_k(P_b) = \Delta y $ (在哪裡 $ E_k(\cdot) $ 是給定分組密碼在密鑰下的加密函式 $ k $ ) 除以可能的明文對的總數,其中 $ P_a \oplus P_b = \Delta x $ (這只是 $ 2^B $ 在哪裡 $ B $ 是塊密碼的塊大小(以位為單位)。”
預期微分機率 (EDP) 是一個函式,它採用輸入差異和輸出差異,並找到該輸入-輸出差異模式的簡單平均 DP(對所有可能的鍵進行平均)。在這種情況下,期望降低到簡單的平均值,因為正如論文所述,我們假設所有鍵都是等機率的。所以用簡單的英語,將每個鍵的差異模式的 DP 相加,然後將結果和除以鍵空間的大小(例如 $ 2^{128} $ 對於 AES-128)。
MEDP 只是所有可能的輸入差異和輸出差異對上的最大此類 EDP,不包括全零輸入/輸出差異(如果不排除,這將是最大的,但對密碼分析沒有用處)。在(希望)更簡單的英語中,這詢問輸入和輸出差異的哪種模式為攻擊者提供了找到一對匹配該模式的明文的最佳機會(平均所有密鑰),以及這個最佳機會有多少機會?
MEDP 用於評估分組密碼對差分密碼分析的彈性。如果您可以證明密碼具有非常低的 MEDP,那麼該密碼可證明是安全的,可以抵禦這種類型的攻擊(“非常低”意味著僅略高於隨機排列的 MEDP,即 $ \dfrac{1}{2^B} $ ).
切換到線性機率 (LP),對於給定的分組密碼,這是一個採用輸入遮罩的函式 $ a $ (一串位 $ B $ long),輸出遮罩 $ b $ , 和一個鍵 $ k $ 並返回一個機率。就這些口罩的使用方式而言, $ a \bullet X $ 意味著採取 $ B $ -位串 $ a $ 並將其與 $ B $ -位串 $ X $ ,然後將所有 $ B $ 結果字元串的位以獲得校驗和位。正如論文第 5 節所述,LP 函式生成的機率為: $ 2 \cdot $ “明文-密文對數 $ (P_i, E_k(P_i)) $ 為此 $ a \bullet P_i = b \bullet E_k(P_i) $ 除以可能的明文總數(即 $ 2^B $ )” $ -1 $ 全部平方。例如,如果表達式 $ a \bullet P_i = b \bullet E_k(P_i) $ 對於可能的明文的一半是正確的 $ P_i $ 那麼LP將是 $ (2 \cdot \frac{1}{2} -1)^2 = 0^2 = 0 $ . 如果表達式為真的明文數量偏離 50%(高於或低於 50%),則 LP 將高於 0,並且偏差越大,LP 越接近 1。
ELP 與 EDP 非常相似,因為對於特定的輸入和輸出遮罩對,ELP 給出了平均 LP(對所有可能的等機率鍵進行平均)。與 MEDP 一樣,MELP 只是所有可能的輸入-輸出遮罩對(不包括全零遮罩)上的最大 ELP。與 MEDP 類似,MELP 用於評估分組密碼對線性密碼分析的彈性(可證明非常低的 MELP 證明該密碼對這種類型的攻擊是安全的)。
對於您問題的最後一部分,本文之所以如此關注為 2 輪 AES 找到確切的 MEDP 和 MELP,是因為可以證明 4 輪(或更多)AES 的 MEDP 和 MELP 是有上限的由 2 輪 MEDP(分別為 MELP)提高到 4 次方。因此,如果他們找到 2 輪 MEDP/MELP,他們可以立即給出整個密碼的 MEDP/MELP 的上限。