Chosen Plaintext Combined Attack against sm4 Algorithm
Download 124.2 Kb.
|
SM4
|
X4 = T(X1 ⊕ X2 ⊕ X3 ⊕ rk0) ⊕ X0 (23)
X5 = T(X2 ⊕ X3 ⊕ X4 ⊕ rk1) ⊕ X1 (24) Tanlangan ochiq matn kiritishni derivatsiya orqali aniqlash mumkin. Misol uchun, agar X2 tasodifiy tanlansa, X0 = X1 = X2 va X3 qat'iy qiymat bo'lsa, u holda shartni bajarish uchun uchinchi turning dumaloq kiritilishini ta'minlash mumkin. Xuddi shunday, yuqoridagi 3.1 va 3.2 bo'limlarni quvvat tahlili va tanlangan ochiq matn asosida differentsial tahlil qilish uchun mos ravishda birlashtirish, o'z navbatida rk2 va rk3 qiymatlarini tiklashi mumkin. Xulosa qilib aytganda, turli xil ochiq matnli kirishlarni tanlash, ikkinchi va to'rtinchi turlarning S-box chiqishini hujum ob'ektlari sifatida olish va differentsial tahlil bilan birlashtirib, SM4 shifrlash algoritmining birinchi to'rtta raundining kalitini olish mumkin. Nihoyat, SM4 ning dastlabki kaliti kalitni kengaytirish algoritmi bilan tiklanishi mumkin. 4.3. Murakkablikni tahlil qilish va yanada takomillashtirish Yuqorida aytib o'tganimizdek, bizning hujumimiz uchun ikkita qadam bor. Birinchi bosqichda, ya'ni tanlangan ochiq matnli hujum, tahlilning bir bosqichida dumaloq kalitlarni aniqlash uchun, S-boxning kirish va chiqishining ikkita differentsial munosabatlarini qurish uchun bir tahlil bosqichida uchta CPA amalga oshiriladi. Nozik oraliq qiymatning har bir bayti uchun 28 ta nomzod qiymat mavjud va hujum uchun 3 ta egri chiziq guruhini tahlil qilish kerak. Demak, to'rtta dumaloq kalitni tiklash uchun kalit qidirish maydonining murakkabligi 6 4 28 ni tashkil qiladi. Shu bilan birga, bizning hujumimiz uchun zarur bo'lgan izlar soni 6 N, bu erda N har bir CPA uchun zarur bo'lgan izlar soni. Tajribalar uchun hujumimizni yanada qulayroq qilish uchun biz quyidagi yaxshilanishlarni amalga oshirdik. Biz birinchi navbatda tahlilning 2-bosqichini muhokama qilamiz. CPA bayt bo'yicha amalga oshirilganligi sababli, rk0 ning har bir bayti 100% ehtimollik bilan ikkita nomzod qiymatiga ega. Shu bilan bir qatorda, biz uchta emas, ikkita CPAni amalga oshiramiz. Shunday qilib, rk0 uchun 24 ta nomzod qiymatlari mavjud. Bundan tashqari, rk1 ham birma-bir rk0 ga mos keladigan 24 ta nomzod qiymatga ega, chunki rk1 rk0 tomonidan aniqlanadi. 3.1-bo'lim tahlilidan farqli o'laroq, biz 2-turni tahlil qilishni davom ettiramiz va rk0 va rk1 ning 24 ta nomzod qiymatlarini taxmin qilamiz. Taxmin qilingan dumaloq kalitlarga asoslanib, biz S-box chiqishi va izlar o'rtasidagi korrelyatsiya koeffitsientlarini qayta hisoblaymiz. Maksimal koeffitsientga mos keladigan yumaloq kalit to'g'ri. Keyin, biz ma'lum rk0 va rk1 bilan tahlilning 4-raundida yana ikkita CPAni amalga oshiramiz. Xuddi shunday, shunga o'xshash differentsial tahlil 4-bosqichda o'tkaziladi va rk2 va rk3 ning 24 ta nomzod qiymatlari tiklanadi. rk2 va rk3 ning to'g'ri qiymatlari mos ravishda tanlanishi mumkin Download 124.2 Kb. Do'stlaringiz bilan baham: 
|