Статистический анализ современных блочных шифров

С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.

http://www.ict.nsc.ru/jct/annotation/978

В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ^®, полное число раундов ^®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном 12 и 256-битном 14.

Недавно наткнулся на эту совсем небольшую и достаточно интересную статью, сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?

На страницу: 1, 2, 3 След.

Комментарии

—	*Гость* (10/11/2009 22:37) <#>

В том то и дело, что дальнейшие исследования в этом направлении безперспективны, что и показали авторы статьи.
Они смогли вывести зависимости после 2-4-х раундов, и если бы были зависимости для большего числа раундов, думаете они о этом не написали бы? Кричали бы как о мега-научном открытии.

—	*Гость* (10/11/2009 22:39) <#>

Другое дело если бы они нашли новый вид криптоанализа, хоят бы для начала для такого числа раундов, а потом уже была бы перспектива расширить на больше раундов.
А так .... :)

—	дрг (10/11/2009 22:41) <#>

Москва не сразу строилась. Ктонибудь в будущем распространит зависмости на бОльшее колво раундов.

—	Дрг (10/11/2009 22:46) <#>

Скажите, а что за стопка книг?

—	*Гость* (10/11/2009 22:48) <#>

Я совсем не хочу утверждать о идеальности AES и д.р., но думаю если его и взломают, то последее чем будут ломать, это описанный в статье метод...

—	*Гость* (10/11/2009 22:50) <#>

"Скажите, а что за стопка книг?" -в статье описан.

—	Дрг (10/11/2009 22:55) <#>

Акробат ридера нет, а соединение медленное. Вы не могли бы вкратце описать?

—	*Гость* (10/11/2009 23:02) <#>

В кратце: для случайных текстов и 100 случайных ключей подсчитывали на каком раунде шифртекст отличен от случайного.

—	*Гость* (10/11/2009 23:05) <#>

PDF вьювер, всего полтора мегабайта.

http://blog.kowalczyk.info/sof.....trapdf/download.html

—	*Гость* (10/11/2009 23:06) <#>

Поправка:текст не случайный.
"Рассмотрим последовательность блоков Xui, u ∈ {0, 1, 2, 3},
у которых подблок с номером u равен i, а остальные – нулевые, i пробегает значения
0, 1, ..., N − 1."

—	*Гость* (10/11/2009 23:25) <#>

Кстати с таким же успехом могли бы и ключи брать не случайные. По идее больше бы зависимостей нашли. Хотя... с таким же успехом в результате.

—	*Гость* (10/11/2009 23:43) <#>

В том то и дело, что дальнейшие исследования в этом направлении безперспективны, что и показали авторы статьи

Ничего подобного авторы не показали, очевидно же. В статье был продемонстрировен метод, приводящий к интересным резу-
льтатам. Кстати, еще неизвестно, чем бы дело кончилось при наличии доступа к вычислительным мощностям, сравнимым, например, с новым кластером РАН. Опять же, отсутствие материала по теме может означать что угодно, взять хотя-бы узлы замены ГОСТ. Такие дела...©

—	*Гость* (10/11/2009 23:54) <#>

Вы на вероятности неслучайности шифртекста при большем числе раундов смотрели?)
И кстати если у них будет возможнось работать с величинами 2^86 и более, тогда и их анализ не нужен будет.

—	unknown (11/11/2009 09:48, исправлен 11/11/2009 09:49) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

НИСТ проводил такое исследование ещё во время конкурса AES. И не одной "стопкой книг", а целой батареей тестов.
И даже получил более "впечатляющие" результаты.

Которые, на самом деле, никого особо не впечатлили.

file

http://csrc.nist.gov/archive/aes/round1/r1-rand.pdf

В тестах были выявлены и скорректированы ошибки:

http://eprint.iacr.org/2004/018

И "дайхардом" всё проверяли — там и тесты типа "карточные игры" или "сборщик купонов" и т.д.

Эта тема достаточно хорошо исследована и не содержит новизны.
Это предыстоки современного криптоанализа, которыми занимались в семидесятых-восьмидесятых годах.

Единственно, можно заметить, что существует "хи-квадрат криптоанализ", который отличается от простых статистических тестов (учитывает свойства раундовой функции, является расширением линейного криптоанализа) и вот он действительно имеет перспективы для дальнейшего исследования и усовершенствования.

—	unknown (17/11/2009 09:36, исправлен 17/11/2009 10:04) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Я совсем не хочу утверждать о идеальности AES и д.р., но думаю если его и взломают, то последее чем будут ломать, это описанный в статье метод...

А вот эти авторы ( Anna Rimoldi + возможно кто-то ещё — работа не опубликована, будет представлена на декабрьской конференции) здесь утверждают, что взломали полнораундовый AES в модели связанных ключей именно таким методом — с помощью дайхардовских тестов. Правда они использовали комбинированный статистическо-алгебраический (тесты подгонялись под алгебраические особенности шифра — как раз похоже на метод "хи-квадрат") криптоанализ, но зато якобы построили различитель всего за 2⁴⁵ операций.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]