Symmetric

差分攻擊中以整數個正確對為目標

  • June 6, 2021

眾所周知,攻擊者的目的是在差分密碼分析中發現一些高機率的差分特徵。然後他們構造一些明文結構,明文池,並期望一些正確的對以計算的機率滿足這個特徵。在這種情況下,他們確定所需的權利對的數量,然後根據預期的權利對數量建構他們的明文-密文對池。

換句話說,如果特徵機率等於p並且他們需要k個正確的對來進行某些密鑰恢復過程,那麼他們的明文-密文池由 $ k*p^{-1} $ 元素。

我的問題是,為什麼他們總是需要一些整數對?例如,我在看 The Rectangle Attack – Rectangling the Serpent,在這篇文章中,他們針對 8 對正確的對子,然後根據特徵,他們使用 $ 2^{72.8} $ 對來獲得它們。

在這個例子中,他們可以使用 $ 2^{73} $ 對並期待 $ 2^{3.2} $ 密鑰恢復的正確對。是否有任何理由選擇預期的正確對數作為整數?它總是最優的嗎?

因為你需要 8 個正確的對來進行攻擊,所以很自然地使用 $ k=8 $ 作為參考點。然後,中位數(通過二項分佈)正好是 $ p k/p=k $ 分,建議成功率至少50%。

然後 $ k $ 確實可以改變(包括小數值)以減少/增加成功機率,當然只要請求文本的數量 $ k/p $ 是積分。

沒有“最優”值,它是數據量和成功機率之間的權衡。環境 $ k $ 完全符合攻擊需要的是一個簡單的參考點。

引用自:https://crypto.stackexchange.com/questions/91399