Статистический анализ современных блочных шифров
С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.
http://www.ict.nsc.ru/jct/annotation/978
В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ®, полное число раундов ®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном 12 и 256-битном 14.
Недавно наткнулся на эту совсем небольшую и достаточно интересную статью, сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?
комментариев: 90 документов: 0 редакций: 0
Вот когда будет представлена, увидим.
Кстати идея атаки на AES, испльзуя его алгебраическую структуру, не нова.
Еще одно подтверждение мысли о необходимости осторожного использования математики в криптографии. :)
комментариев: 9796 документов: 488 редакций: 5664
При том, что она практически вся на ней построена, но слепо верить в неё да, нельзя. Нужно ещё построить модель в рамках которой доказывать ограниченность шифра и как-то аргументированно убедить всех специалистов — что это хорошая модель, покрывающая все мыслимые потребности безопасности.
А потом явится некто вроде Н. Коблица и заявит что-то вроде — "фигня вся эта ваша криптография — никаких доказанных теорем, одни аргументы для убеждения в математической обёртке" ;-)
комментариев: 9796 документов: 488 редакций: 5664
Да, так точнее.
И все атаки не были доведены даже до теоретического завершения.
Зато алгебраическая атака против нескольких раундов DES, который вообще никакой алгебраической структуры не имеет (зато у него S-блоки маленькие), была более успешной. Не всё так просто. Всё ещё сложнее :-)