Статистический анализ современных блочных шифров
С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.
http://www.ict.nsc.ru/jct/annotation/978
В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ®, полное число раундов ®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном 12 и 256-битном 14.
Недавно наткнулся на эту совсем небольшую и достаточно интересную статью, сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?
Они смогли вывести зависимости после 2-4-х раундов, и если бы были зависимости для большего числа раундов, думаете они о этом не написали бы? Кричали бы как о мега-научном открытии.
А так .... :)
http://blog.kowalczyk.info/sof.....trapdf/download.html
"Рассмотрим последовательность блоков Xui, u ∈ {0, 1, 2, 3},
у которых подблок с номером u равен i, а остальные – нулевые, i пробегает значения
0, 1, ..., N − 1."
Ничего подобного авторы не показали, очевидно же. В статье был продемонстрировен метод, приводящий к интересным резу-
льтатам. Кстати, еще неизвестно, чем бы дело кончилось при наличии доступа к вычислительным мощностям, сравнимым, например, с новым кластером РАН. Опять же, отсутствие материала по теме может означать что угодно, взять хотя-бы узлы замены ГОСТ. Такие дела...©
И кстати если у них будет возможнось работать с величинами 2^86 и более, тогда и их анализ не нужен будет.
комментариев: 9796 документов: 488 редакций: 5664
И даже получил более "впечатляющие" результаты.
Которые, на самом деле, никого особо не впечатлили.
http://csrc.nist.gov/archive/aes/round1/r1-rand.pdf
В тестах были выявлены и скорректированы ошибки:
http://eprint.iacr.org/2004/018
И "дайхардом" всё проверяли — там и тесты типа "карточные игры" или "сборщик купонов" и т.д.
Эта тема достаточно хорошо исследована и не содержит новизны.
Это предыстоки современного криптоанализа, которыми занимались в семидесятых-восьмидесятых годах.
Единственно, можно заметить, что существует "хи-квадрат криптоанализ", который отличается от простых статистических тестов (учитывает свойства раундовой функции, является расширением линейного криптоанализа) и вот он действительно имеет перспективы для дальнейшего исследования и усовершенствования.
комментариев: 9796 документов: 488 редакций: 5664
А вот эти авторы ( Anna Rimoldi + возможно кто-то ещё — работа не опубликована, будет представлена на декабрьской конференции) здесь утверждают, что взломали полнораундовый AES в модели связанных ключей именно таким методом — с помощью дайхардовских тестов. Правда они использовали комбинированный статистическо-алгебраический (тесты подгонялись под алгебраические особенности шифра — как раз похоже на метод "хи-квадрат") криптоанализ, но зато якобы построили различитель всего за 245 операций.