半弱密鑰的 DES 反定點
我正在尋找 DES 半弱密鑰的反定點的一些“真實範例”。據我所知,有 $ 2^{32} $ 12 個半弱鍵中的 4 個的反定點。這些要點的一兩個範例可能會有所幫助。
**反不動點:**對於 4 個(已知的)DES 半弱密鑰,存在 $ 2^{32} $ 明文這樣 $ E_k(x)=\overline{x} $
有關 DES 弱密鑰、半弱密鑰、定點和反定點的更多資訊,請參閱應用密碼學手冊,事實 7.90(備用連結)
K = 01FE01FE01FE01FE P = 771DF32699DF2F2A C = 88E20CD96620D0D5 K = 01FE01FE01FE01FE P = 668493768A3D5786 C = 997B6C8975C2A879 K = 01FE01FE01FE01FE P = 6F52785BC50C62BE C = 90AD87A43AF39D41 K = 01FE01FE01FE01FE P = DFFE8B7E72E5CFED C = 200174818D1A3012
會做。我發現通過隨機搜尋大約 $ 2^{34} $ DES 操作,它傾向於確認 $ 2^{32} $ 問題中說明。
解釋:
為了 $ i\in[1,16] $ , 筆記 $ L_{i-1} $ 和 $ R_{i-1} $ 的 32 位內容 $ L $ 和 $ R $ 在加密輪之前註冊 $ i $ ; 筆記 $ R_{16} $ 和 $ L_{16} $ 交換後最後一輪的輸出(即使該交換被額外的最終交換撤消,或者等效地沒有完成);筆記 $ K_i $ round 的 48 位子密鑰 $ i $ . 我們有 $ L_i=R_{i-1} $ 和 $ R_i=L_{i-1}\oplus F(E(R_{i-1})\oplus K_i) $ , 在哪裡 $ E $ 是擴展,並且 $ F $ 表示 S 盒和排列 $ P $ 結合。
對於四個鍵 $ K $
01FE01FE01FE01FE
,FE01FE01FE01FE01
,1FE01FE00EF10EF1
,E01FE01FF10EF10E
, 它認為 $ K_i=\overline{K_{17-i}} $ .如果發生這種情況 $ L_{8}=\overline{R_{8}} $ , 使用那個 $ E(\overline X)\oplus \overline{K_i}=\overline{E(X)}\oplus \overline{K_i}=E(X)\oplus K_i $ ,因此函式的輸入 $ F $ (S盒和排列 $ P $ ) 在第 8 輪和第 9 輪是相同的,因此它們的輸出是相同的。通過歸納,我們得到輸入 $ F $ 在回合 $ i $ 和 $ 17-i $ 是相同的,並且 $ L_i=\overline{R_{16-i}} $ . 因此 $ L_{16}=\overline{R_0} $ 和 $ R_{16}=\overline{L_0} $ , 因此 $ E_K(P)=\overline P $ 為了 $ P $ 對應於 $ L_0 $ 和 $ R_0 $ .
我們可以有效地建構 $ 2^{32} $ 明文 $ P $ 通過執行 DES 的最後 8 輪解密和最終排列來使用該屬性,從 $ 2^{32} $ 的值 $ L_{8}=\overline{R_{8}} $ .
未解決:是否存在 DES 密鑰 $ K $ 超過_ _ $ 2^{32} $ 反定點?