Matsui 線性密碼分析的問題
我試圖了解已知的明文攻擊,該攻擊在Mitsuru Matsui*的 DES Cipher 的線性密碼分析方法中進行了簡要說明。*我幾乎理解了它(因為我正在對其進行程式並且它產生了很好的部分結果)但是有些事情我並不完全理解。
如果我沒記錯的話,對於 4 輪攻擊,Matsui 使用 3 輪 DES 線性近似,解密最後一輪並使用明文位、密文位和來自 $ F(C_R,K_4) $ 存在 $ C_R $ 密文的右邊部分和 $ K_4 $ 由 DES 密鑰計劃派生的第 4 個子密鑰。這樣,因為只有一點 $ F(C_R,K_4) $ 在表達式中使用,只有一個 S-Box 影響它,因此我們可以使用算法 2 獲得這 6 位。此外,我們也可以使用算法 2 獲得線性表達式的右側部分的第 7 位。現在我們有 7 位 56 位密鑰,為了再得到 7 位,我們做同樣的事情,但不是解密最後一輪,而是加密第一輪,用相同的線性表達式表示剩餘的三輪,但這次使用 $ F(P_R, K_1) $ ,這又給了我們 7 位。我遇到的問題是:
1-如果我沒有程式錯誤,至少有一位密鑰(在反轉 DES 密鑰計劃之後)在兩組 7 位中,所以它只給了我們 13 個(不是 14 個)有效位實際的鑰匙。我從哪裡得到松井說的第 14 位?
2-即使我得到 14 位,我應該如何得到其餘的位?在論文中他說“很容易推斷出剩餘的關鍵位,我們省略了細節”,但老實說,除了暴力破解 42 位的明顯方式之外,我不知道如何做到這一點,我認為這完全是不可行。
歡迎任何指導。
On 1:我沒有看到 14 位聲明有爭議。你能否提供更多關於你所做的與他的論文相對應的細節以及出了什麼問題?
On 2:由於他的攻擊複雜度大於 $ O(2^{42}) $ 這個蠻力步驟可以忽略不計,所以可以接受。他實際上將他原來的攻擊提高到 $ O(2^{43}) $ 在第二篇論文中。
還 $ 2^{42} $ 如今,即使沒有特殊用途的硬體(見評論),加密也是絕對可行的。即使在當時,人們也反對將密碼限制為 40 位的出口限制。