Des

在 DES 的差分密碼分析中,為什麼假定 F(0…0) 始終為 0…0?

  • August 14, 2016

這篇關於差分密碼分析2n的論文中,描述了對 -Round DES的攻擊。

攻擊就是為 DES 輪尋找特定的輸入,輪函式的輸出F與輸入的機率相等。

對於論文中給出的輸入,總是假設一半只包含零。此外,假設該全零輸入的輪函式始終以機率 1 產生零:

F(0...0) = 0...0

據我了解,round 函式的F工作原理如下:擴展輸入,然後對鍵進行異或,然後執行替換。這與論文中描述的假設相衝突。

對於全零輸入,round 函式如何始終產生零,而與密鑰無關?

問題源於一個誤解:論文中描述的攻擊不適用於實際的輸入和輸出,而是它們之間的差異。因此差分密碼分析

給定兩條消息m1 = (l1, r1)並且m2 = (l2, r2)右半部分相等r1 = r2,顯然它遵循r1 - r2 = 0...0and F(r1) - F(r2) = 0...0

引用自:https://crypto.stackexchange.com/questions/39364