Статистический анализ современных блочных шифров
С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.
http://www.ict.nsc.ru/jct/annotation/978
В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ®, полное число раундов ®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном 12 и 256-битном 14.
Недавно наткнулся на эту совсем небольшую и достаточно интересную статью, сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?
Берем автомобиль, молотком разбиваем лобовое стекло.
И делаем вывод: двигатель тоже можно разбить молотком.
Или отрываем руль в машине, выходим на дорогу и говорим: если руль сам не едет значит и автомобиль не поедет.
комментариев: 9796 документов: 488 редакций: 5664
Классическое определение взлома шифра — это нахождение ключа или чтение открытого текста быстрее, чем полным перебором.
Но в последнее время это определение настолько расширилось, что если кто-то найдёт и опубликует полнораундовый различитель шифра от идеальной псевдослучайной модели, то это тоже будет скорее всего считаться атакой, такой шифр забракуют и посчитают почти взломанным (пример — RC4, хотя он не блочный).
При том, что прицельные виды криптоанализа против малого числа раундов более эффективны. Статистический метод — самый примитивный, годится для выявления грубых изъянов в дизайне и не гарантирует стойкости даже при хороших результатах тестов.
NIST тестировал всех кандидатов статистическими методами во время конкурса (скорее в качестве формальности, чтобы выпустить ещё один отчёт) и даже выпустил свой пакет тестов — "батарея НИСТ".
Да
Так же нельзя судит по 2-м раундам о всем шифре...