Chuẩn mã DỮ liệU

tải về 0.52 Mb.

trang	2/5
Chuyển đổi dữ liệu	10.09.2016
Kích	0.52 Mb.
	#31967

1 2 3 4 5

TRANH LUẬN VỀ DES.

Khi DES được đề xuất như một chuẩn mật mã, đã có rất nhiều ý kiến phê phán. Một lý do phản đối DES có liên quan đến các hộp S. Mọi tính toán liên quan đến DES ngoại trừ các hộp S đều tuyến tính, tức việc tính phép hoặc loại trừ của hai đầu ra cũng giống như phép hoặc loại trừ của hai đầu vào rồi tính tóan đầu ra. Các hộp S - chứa đựng thành phần phi tuyến của hệ mật là yếu tố quan trong nhất đối với độ mật của hệ thống( Ta đã thấy trong chương 1 là các hệ mật tuyến tính - chẳng hạn như Hill - có thể dễ dàng bị mã thám khi bị tấn công bằng bản rõ đã biết). Tuy nhiên tiêu chuẩn xây dựng các hộp S không được biết đầy đủ. Một số người đã gợi ý là các hộp S phải chứa các "cửa sập" được dấu kín, cho phép Cục An ninh Quốc gia Mỹ (NSA) giải mã được các thông báo nhưng vẫn giữ được mức độ an toàn của DES. Dĩ nhiên ta không thể bác bỏ được khẳng định này, tuy nhiên không có một chứng cớ nào được đưa ra để chứng tỏ rằng trong thực tế có các cửa sập như vậy.

Năm 1976 NSA đã khẳng định rằng, các tính chất sau của hộp S là tiêu chuẩn thiết kế:

P₀ Mỗi hàng trong mỗi hộp S là một hoán vị của các số nguyên 0, 1, . . . , 15.

P₁ Không một hộp S nào là một hàm Affine hoặc tuyến tính các đầu vào của nó.

P₂ Việc thay đổi một bít vào của S phải tạo nên sự thay đổi ít nhất là hai bít ra.

P₃ Đối với hộp S bất kì và với đầu vào x bất kì S(x) và S(x  001100) phải khác nhau tối thiểu là hai bít ( trong đó x là xâu bít độ dài 6 ).

Hai tính chất khác nhau sau đây của các hộp S có thể coi là được rút ra từ tiêu chuẩn thiết kế của NSA.

P₄ Với hộp S bất kì, đầu vào x bất kì và với e, f {0,1}: S(x) S(x  11ef00).

P5 Với hộp S bất kì , nếu cố định một bít vào và xem xét giá trị của một bít đầu ra cố định thì các mẫu vào để bít ra này bằng 0 sẽ xấp xỉ bằng số mẫu ra để bít đó bằng 1.( Chú ý rằng, nếu cố định giá trị bít vào thứ nhất hoặc bít vào thứ 6 thì có 16 mẫu vào làm cho một bít ra cụ thể bằng 0 và có 16 mẫu vào làm cho bít này bằng 1. Với các bít vào từ bít thứ hai đến bít thứ 5 thì điều này không còn đúng nữa. Tuy nhiên phân bố kết quả vẫn gần với phân bố đều. Chính xác hơn, với một hộp S bất kì, nếu ta cố định giá trị của một bít vào bất kì thì số mẫu vào làm cho một bít ra cố định nào đó có giá trị 0 (hoặc 1) luôn nằm trong khoảng từ 13 đến 19).

Người ta không biết rõ là liệu có còn một chuẩn thiết kế nào đầy đủ hơn được dùng trong việc xây dựng hộp S hay không.
Sự phản đối xác đáng nhất về DES chính là kích thước của không gian khoá: 2⁵⁶ là quá nhỏ để đảm bảo an toàn thực sự. Nhiều thiết bi chuyên dụng đã được đè xuất nhằm phục vụ cho việc tấn công với bản rõ đã biết. Phép tấn công này chủ yếu thực hiện tìm khoá theo phương pháp vét cạn. Tức với bản rõ x 64 bít và bản mã y tương ứng, mỗi khoá đều có thể được kiểm tra cho tới khi tìm được một khoá K thảo mãn e_K(x) = y. Cần chú ý là có thể có nhiều hơn một khoá K như vậy).
Ngay từ năm 1977, Diffie và Hellman đã gợi ý rằng có thể xây dựng một chíp VLSI (mạch tích hợp mật độ lớn) có khả năng kiểm tra được 10⁶khoá/giây. Một máy có thể tìm toàn bộ không gian khoá cỡ 10⁶ trong khoảng 1 ngày. Họ ước tính chi phí để tạo một máy như vậy khoảng 2.10⁷$.
Trong cuộc hội thảo tại hội nghị CRYPTO'93, Michael Wiener đã đưa ra một thiết kế rất cụ thể về máy tìm khoá. Máy này xây dựng trên một chíp tìm khoá, có khả năng thực hiện đồng thời 16 phép mã và tốc độ tới 510⁷ khoá/giây. Với công nghệ hiện nay, chi phí chế tạo khoảng 10,5$/chíp. Giá của một khung máy chứa 5760 chíp vào khoảng 100.000$ và như vậy nó có khả năng tìm ra một khoá của DES trong khoảng 1,5 ngày. Một thiết bị dùng 10 khung máy như vậy có giá chừng 10⁶ $ sẽ giảm thời gian tìm kiếm khoá trng bình xuống còn 3,5 giờ.

DES TRONG THỰC TẾ.

Mặc dù việc mô tả DES khá dài dòng song người ta có thể thực hiện DES rất hữa hiệu bằng cả phần cứng lẫn phần mềm. Các phép toán duy nhất cần được thực hiện là phép hoặc loại trừ các xâu bít. Hàm mở rộng E, các hộp S, các hoán vị IP và P và việc tính toán các giá tri K₁,.. . ,K₁₆ đều có thể thực hiện được cùng lúc bằng tra bảng ( trong phần mền ) hoặc bằng cách nối cứng chúng thành một mạch.

Các ứng dụng phần cứng hiện thời có thể đạt được tốc độ mã hoá cực nhanh. Công ty Digital Equipment đã thông báo tại hội nghị CRUPTO'92 rằng họ sẽ chế tạo một chíp có 50 ngàn tranzistor có thể mã hoá với tốc độ 1 Gbít/s bằng cách dùng nhịp có tốc độ 250MHz. Giá của chíp này vào khoảng 300$. Tới năm 1991 đã có 45 ứng dụng phần cứng và chương trình cơ sở của DES được Uỷ ban tiêu Chuẩn quốc gia Mỹ (NBS) chấp thuận.
Một ứng dụng quan trọng của DES là trong giao dịch ngân hàng Mỹ - (ABA) DES được dùng để mã hoá các số định danh cá nhân (PIN) và việc chuyển tài khoản bằng máy thủ quỹ tự động (ATM). DES cũng được Hệ thống chi trả giữa các nhà băng của Ngân hàng hối đoái (CHIPS) dùng để xác thực các giao dụch vào khoản trên 1,510¹² USA/tuần. DES còn được sử dụng rộng rãi trong các tổ chức chính phủ. Chẳng hạn như bộ năng lượng, Bộ Tư pháp và Hệ thống dự trữ liên bang.

Các chế độ hoạt động của DES.

Có 4 chế độ làm việc đã được phát triển cho DES: Chế độ chuyển mã điện tử (ECB), chế độ phản hồi mã (CFB), chế độ liên kết khối mã (CBC) và chế độ phản hồi đầu ra (OFB). Chế độ ECB tương ứng với cách dùng thông thường của mã khối: với một dãy các khối bản rõ cho trước x₁,x₂,. . .( mỗi khối có 64 bít), mỗi x_i sẽ được mã hoá bằng cùng một khoá K để tạo thành một chuỗi các khối bản mã y₁y₂ ... theo quy tắc y_i = e_K(y_i-1x_i) i  1. Việc sử dụng chế độ CBC được mô tả trên hình 3.4.
Hình 3.4. Chế độ CBC.

Trong các chế độ OFB và CFB dòng khoá được tạo ra sẽ được cộng mod 2 với bản rõ (tức là nó hoạt động như một hệ mã dòng, xem phần 1.1.7). OFB thực sự là một hệ mã dòng đồng bộ: dòng khoá được tạo bởi việc mã lặp véc tơ khởi tạo 64 bít (véc tơ IV). Ta xác định z₀ =IV và rồi tính dòng khoá z₁z₂ . . . theo quy tắc z_i = e_K(z_i-1), i1. Dãy bản rõ x₁x₂ . . . sau đó sẽ được mã hoá bằng cách tính y_i = x_i  z_i,i 1.

Trong chế độ CFB, ta bắt đầu với y₀ = IV (là một véc tơ khởi tạo 64 bít) và tạo phần tử z_i của dòng khoá bằng cách mã hoá khối bản mã trước đó. Tức z_i = e_K(y_i-1), i 1. Cũng như trong chế độ OFB: y_i = x_i  z_i,i 1. Việc sử dụng CFB được mô tả trên hình 3.5 (chú ý rằng hàm mã DES e_K được dùng cho cả phép mã và phép giải mã ở các chế độ CFB và OFB).
Hình 3.5. Chế độ CFB

Cũng còn một số biến tấu của OFB và CFB được gọi là các chế độ phản hồi K bít (1 < K < 64 ). Ở đây ta đã mô tả các chế độ phản hồi 64 bít. Các chế độ phản hồi 1 bít và 8 bít thường được dùng trong thực tế cho phép mã hoá đồng thời 1 bit (hoặc byte) số liệu.

Bốn chế độ công tác có những ưu, nhược điểm khác nhau. Ở chế độ ECB và OFB, sự thay đổi của một khối bản rõ x_i 64 bít sẽ làm thay đổi khối bản mã y_i tương ứng, nhưng các khối bản mã khác không bị ảnh hưởng. Trong một số tình huống đây là một tính chất đáng mong muốn. Ví dụ, chế độ OFB thường được dùng để mã khi truyền vệ tinh.
Mặt khác ở các chế độ CBC và CFB, nếu một khối bản rõ x_i bị thay đổi thì y_i và tất cả các khối bản mã tiếp theo sẽ bi ảnh hưởng. Như vậy các chế độ CBC và CFB có thể được sử dụng rất hiệu quả cho mục đích xác thực. Đặc biệt hơn, các chế độ này có thể được dùng để tạo mã xác thực bản tin ( MAC - message authentication code). MAC được gắn thêm vào các khối bản rõ để thuyết phục Bob tin rằng, dãy bản rõ đó thực sự là của Alice mà không bị Oscar giả mạo. Như vậy MAC đảm bảo tính toàn vẹn (hay tính xác thực) của một bản tin ( nhưng tất nhiên là MAC không đảm bảo độ mật).
Ta sẽ mô tả cáchb sử dụng chế độ BCB để tạo ra một MAC. Ta bắt đầu bằng véc tơ khởi tạ IV chứa toàn số 0. Sau đó dùng chế đô CBC để tạo các khối bản mã y₁,. . . ,y_n theo khoá K. Cuối cùng ta xác định MAC là y_n. Alice sẽ phát đi dãy các khối bản rõ x₁,x₂,. . . ,x_n cùng với MAC. Khi Bob thu được x₁. . .x_n anh ta sẽ khôi phục lại y₁. . .y_n bằng khoá K bí mật và xác minh xem liệu y_n có giống với MAC mà mình đã thu được hay không.
Nhận thấy Oscar không thể tạo ra một MAC hợp lệ do anh ta không biết khoá K mà Alice và Bob đang dùng. Hơn nữa Oscar thu chặn được dãy khối bản rõ x₁. . .x_n và thay đổi ít nhiều nội dung thì thì chắc chắn là Oscar không thể thay đổi MAC để được Bob chấp nhận.
Thông thường ta muốn kết hợp cả tính xác thực lẫn độ bảo mật. Điều đó có thể thực hiện như sau: Trước tiên Alice dùng khoá K₁ để tạo MAC cho x₁. . . x_n . Sau đó Alice xác định x_n+1 là MAC rồi mã hoá dãy x1. . .x_n+1 bằng khoá thứ hai K₂ để tạo ra bản mã y₁. . .y_n+1 . Khi Bob thu được y1. . .y_n+1 , trước tiên Bob sẽ giải mã ( bằng K₂) và kiểm tra xem x_n+1 có phải là MAC đối với dãy x₁. . .x_n dùng K₁ hay không.
Ngược lại, Alice có thể dùng K₁ để mã hoá x₁. . .x_n và tạo ra được y₁...y_n , sau đó dùng K₂ để tạo MAC y_n+1 đối với dãy y₁. . .y_n. Bob sẽ dùng K₂ để xác minh MAC và dung K₁ để giải mã y₁. . .y_n.
3.5. PHÉP TỐI ƯU HOÁ THỜI GIAN - BỘ NHỚ.

Trong phần này sẽ mô tả phép tối ưu hoá thời gian - bô nhớ khá lý thú khi phá DES bằng tấn công bản rõ chọn lọc. Ta nhớ lại rằng, trong phép tấn công bản rõ chọn lọc, Oscar đã thu được cặp rõ - mã được tạo bởi khoá K (chưa biết). Bởi vậy, Oscar có x và y, trong đó y = e_K(x) và anh ta muốn xác định được K.

Một đặc điểm của phép tối ưu hoá thời gian - bộ nhớ này là nó không phụ thuộc vào "cấu trúc" của DES trên mọi phương diện. Khía cạnh duy nhất của DES có quan hệ tới phép tấn công này là các bản rõ và các bản mã 64 bít trong khi các khoá có 56 bít.
Ta đã thảo luận về ý tưởng tìm khoá bằng phương pháp vét cạn: với một cặp rõ - mã cho trước, hãy thử tất cả 2⁵⁶ khoá cụ thể. Điều này không yêu cầu bộ nhớ, nhưng trung bình phải thử 2⁵⁵ khoá trước khi tìm được khoá đúng. Mặt khác, với một bản rõ x cho trước, Oscar có thể tính trước y_K = e_K(x) đối với toàn bộ 2⁵⁶ khoá K và xây dựng một bảng các cặp (y_K,K) được sắp xếp theo các tạo độ đầu của chúng. Sau đó khi Oscar thu được bản mã y ( là kết quả của phép mã bản rõ x), anh ta phải nhìn vào giá trị y trong bảng và lập tức tìm được khoá K. Như vậy trong trường hợp này việc tìm được khoá K chỉ yêu câu một thời gian cố định nhưng ta phải có một bô nhớ có dung lượng lớn và cần thời gian tính toán trước lớn ( chú ý là quan điểm này không có lợi thế về thời gian tính toán tổng cộng nếu chỉ cần tìm một khoá, bởi vì việc xây dựng bảng cũng mất nhiều thời gian như việc tìm khóa vét cạn. Phương pháp này chỉ có lợi khi cần tìm nhiều khoá trong một khoảng thời gian vì ta chỉ cấn dùng một bảng cho tất cả các trường hợp).
Phép tối ưu hoá thời gian - bộ nhớ sẽ có thời gian tính toán nhỏ hơn phép tìm kiếm vét cạn và có yêu cầu bộ nhớ nhỏ hơn việc lập bangr tra cứu. Thuật toán có thể mô tả theo hai tham số m và t là các số nguyên dương. Thuật toán cần một hàm rút gọn R để rút gọn một xâu bít có độ dài 64 thành một xâu bít có độ dài 56 ( chẳng hạn R phải vứt bỏ 8 trong 64 bít). Giả sử x là một xâu bản rõ cố định 64 bít. Hãy xác định hàm g(K₀) =R(e_Ko(x)) với một xâu bít K₀ có độ dài 56. Chú ý rằng g là một hàm thực hiện ánh xạ 56 bít sab\ng 56 bít.
Trong giai đoạn tiền xử lý, Oscar chọn m xâu bít ngẫu nhiên có độ dài 56 được kí hiệu là X(i,0), 1 i  m. Oscar tính x(i,j) với 1  j  t theo quan hệ truy toán sau: X(i,j) = g(X(i,j-1)), 1  i x  m , 1  j  t như chỉ trên hình 3.6.

Hình 3.6. Tính X(i,j)

Sau đó Oscar xây dựng một bảng các cặp T = (X(i,t), X(i,0) được sắp xếp theo toạ độ đầu của chúng( tức là chỉ lưu giữ cột đầu và cột cuối của X).

Sau khi thu được bản mã y ( là bản mã của bản rõ x đã chọn). Oscar cần phải xác định K và anh ta sẽ xác định được nếu K nằm trong t cột đầu của bảng X, tuy nhiên anh ta chỉ làm điều này bằng cách chỉ nhìn vào bảng T.
Giả sử rằng K = X(i,t-j) với j nào đó, 1  j  t ( tức giả sử rằng K nằm ở t cột đầu tiên của X). Khi đó rõ ràng là g^j(K) = x(i,t), trong đó g^j kí hiệu hàm nhận được bằng cách lặp g một số lần bằng j. Bây giờ ta thấy rằng:
g^j(K) = g^j-1(g(K))

= g^j-1(R(e_K(x)))

= g^j-1(R(y))
G
iả sử tính ỵ_j,1  j  t, từ quan hệ truy toán

R(y) nếu j = 1

y_i =

g(ỵ_j-1) nếu 2  j  t

Từ đó rút ra rằng y_j = X(i,t-j) nếu K = X(i,t-j). Tuy nhiên cần chú ý rằng y_j = X(i,t) chưa đủ để đảm bảo là K = X(i,t-j). Sở dĩ như vậy vì hàm rút gọn R không phải là một đơn ánh: miền xác định của R có lực lượng 2⁶⁴ và giá trị của R có lực lượng 2⁵⁶, bởi vậy tính trung bình có 2⁸ = 256 nghịch ảnh của một xâu bít bất kì cho trước có độ dài 56. Bởi vây cần phải kiểm tra xem y = e_X(i,t-j)(x) hay không để biết liệu X(i,t-j) có thực sự là khoá hay không. Ta không lưu trữ giá trị X(i,t-j) nhưng có thể dễ dàng tính lại nó từ X(i,0) bằng cách lặp t-j lần hàm g.
Oscar sẽ thực hiện theo thuật toán được mô tả trên hình 3.7.

Hình 3.7. Phép tối ưu hoá bộ nhớ - thời gian trong DES.

Tính y₁ = R(y)
for j = 1 to t do
if y_j = X(i,t-j) với giá trị i nào đó then
Tính X(i,t-j) từ X(i,0) bằng cách lặp t-j lần hàm g.
if y = eX(i,t-j)(x) then

đặt K = X(i,t-j) và QUIT

6. Tính y_j+1 = g(y_j)

Bằng cách phân tích xác suất thành công của thuật toán, có thể chứng tỏ rằng nếu mt²  N = 2⁵⁶ thì xác suất để K = X(i,t-j) với i, j nào đó sẽ vào khoảng 0,8môi trường/N. Thừa số 0,8 tính theo điều kiện không phải tất cả cácX(i,t) đều phân biệt . Điều này gợi ý cho ta nên lấy m  t  N^1/3 và xây dựng khoảng N^1/3 bảng, mỗi bảng dùng một hàm rút gọn R khác nhau. Nếu thực hiện đươc điều này thì yêu cầu về bộ nhớ là 112N^1/3 bít ( vì ta cần lưu trữ 2N^2/3 số nguyên, mỗi số có 56 bít). Thời gian tiền tính toán dễ dàng thấy là cỡ O(N).

Việc phân tích thời gian chạy của thuật toán có khó hơn hơn một chút: Trước hết ta thấy rằng, bước 3 có thể chạy trong một thời gian không đổi (sử dụng phép mã hash) hoặc trong trường hợp xấu nhất, bước 3 có thể chạy với thời gian O(logm) khi dùng phép tmf kiếm nhị phân. Nếu bước 3 không thoả mãn (tức là phép tìm kiếm không thành công) thì thời gian chạy là O(N^2/3). Các phân tích chi tiết hơn chứng tỏ rằng, ngay cả khi tính cả thời gian chạy của các bước 4 và5 thì thời gian chạy trung bình chỉ tăng một lương là hằng số.

THÁM MÃ VI SAI (DC).

Phương pháp DC do Biham và Shamir đưa ra là một phương pháp tấn công DES rất nổi tiếng. Đây là một phép tấn công với bản rõ chọn lọc. Mặc dù phương pháp này không cho một phương pháp thực tế để phá DES 16 vòng thông dụng, nhưng nó có thể thực hiện thành công trong việc phá DES có số vòng mã hoá ít hơn. Chẳng hạn DES 8 vòng có thể phá được trong vòng vài phút trên một máy tính cá nhân nhỏ.

Bây giờ ta sẽ mô tả những ý tưởng cơ bản dùng trong kỹ thuật này, ta có thể bỏ qua phép hoá vị ban đầu IP và phép hoán vị ngược của nó ( không ảnh hưởng tới việc phân tích mã). Như đã nói ở trên, ta chỉ xét hạn chế DES n vòng với n  16. Bởi vậy, với các điều kiện trên, ta coi L₀R₀ là bản rõ và L_nR_n là bản mã trong DES n vòng ( cần chú ý rằng ta không cần đảo L_nR_n ).
Phương pháp DC xoay quanh việc so sánh kết quả phép hoặc - loại trừ của hai bản rõ với kết quả của phép hoặc - loại trừ của hai bản mã tương ứng. Đại thể ta sẽ xét hai bản rõ L₀R₀ vàL₀^*R₀^* với giá trị của phép hoặc - loại trừ L₀'R₀' = L₀R₀ L₀^*R₀^*. Trong phần này ta sẽ sử dụng ký hiệu ( ' ) để chỉ phép hoặc - loại trừ (XOR) của hai xâu bít.
Định nghĩa 3.1

Giả sử S_j là một hộp S (1 j  8 ). Xét một cặp đã sắp xếp của các xâu bít độ dài 6 ( ký hiệu là B_j, B_j^*). Ta nói rằng XOR vào (của S_j ) là B_j B_j^* và XOR ra ( của S_j ) là S_j(B_j)  S_j(B_j^*).
Chú ý rằng XOR vào là một xâu bít có độ dài 6 và XOR ra là một xâu bít có độ dài 4.
Định nghĩa 3.2

Với bất kỳ B_j'  (Z₂)⁶, ta định nghĩa tập (B_j') gồm các cặp được sắp xếp (B_j,B_j^*) có XOR vào là B_j'.
Dễ dàng thấy rằng một tập (B_j') bất kỳ đều chứa 2⁶= 64 cặp và
(B_j') = {(B_j,B_j B_j' ) : B_j (Z₂)⁶}
Với mỗi cặp trong (B_j') ta có thể tính XOR ra của S_j và lập bảng phân bố kết quả. Có 64 XOR ra phân bố trong 2⁴ = 16 giá trị có thể. Tính không đều của các phân bố này là cơ sở cho phép tấn công.
Ví dụ 3.1.

Giả sử xét hộp S đầu tiên S₁ và XOR vào 110100, khi đó:

(110100) = {(000000,110100), (000001,110100), . . . ,(111111,110100)}

Với mỗi cặp được sắp trong tập(110100) ta tính XOR ra của S₁. Ví dụ S₁(000000) = E₁₆ = 1110 và S₁(110100) = 9₁₆ = 1001, bởi vậy XOR đối với cặp (000000,110100) là 0111.

Nếu làm công việc này cho tất cả 64 cặp trong (110100) thì ta sẽ thu được phân bố sau của các XOR ra:

0000	0001	0010	0011	0100	0101	0110	0111
0	8	16	6	2	0	0	12

1000	1001	1010	1011	1100	1101	1110	1111
6	0	0	0	0	8	0	6

Trong ví dụ 3.1 chỉ có 8 trong 16 XOR ra có thể xuất hiện trên thực tế. Ví dụ cụ thể này có phân bố rất không đều. Nói chung nếu ta cố định một hộp S là S_j và một XOR vào B_j' thì trung bình có khoảng 75-80% các XOR ra là có thể xuất hiện.

Để mô tả và đưa ra các phân bố này, ta cần phải có thêm mọt số khái niệm thích hợp. Sau đó là một số định nghĩa.
Định nghĩa 3.3

Với 1  j  8 và với các xâu bít B_j' có độ dài 6 còn C_j' có độ dài 4, ta định nghĩa:

IN_j(B_j',C_j') = { Bj (Z₂)⁶ : S_j(B_j)  S_j(B_j B_j') = C_j'}
và

N_j(B_j',C_j') = | IN_j(B_j',C_j' ) |.
N_j(B_j',C_j' ) là số các cặp có XOR vào bằng B_j' và có XOR ra bằng C_j' với hộp S_j. Các cặp thực tế có các XOR vào xác định và tạo nên các XOR ra xác định có thể nhận được từ tập IN_j(B_j',C_j' ). Ta thấy rằng, tập này có thể được phân thành N_j(B_j',C_j' )/2 cặp, mỗi cặp có số XOR vào bằng B_j'.
Chú ý rằng phân bố được lập bảng ở trong ví dụ 3.1 chứa các giá trị N₁(110100,C₁'), C₁' (Z₂)⁴. Các tập IN₁(110100,C₁') được liệt kê trên hình 3.8.

Với mỗi hộp trong 8 hộp S có 64 XOR và có thể. Bởi vậy có thể tính được tất cả 512 phân bố và dễ dàng dùng máy tính để lập bảng các phân bố này.

Cần nhớ lại rằng, đầu vào của các hộp S ở vong thứ i là B = E J, trong đó E = E(R_i-1) là một hàm mở rộng của R_i-1 và J = K_i là các bít khoá của vòng thứ i. Bây giờ số XOR vào (cho tất cả 8 hộp) có thể được tính như sau:

B  B^* = (E  J)  (E^*  J)

= E  E^*

Có thể thấy môt điều rất quan trọng là XOR vao không phụ thuộc vào các bít khoá J ( tuy nhiên chắc chắn XOR ra sẽ phụ thuộc vào các bít khóa này.

Hình 3.8. Các xâu vào có thể với XOR vào là 110100.

Các XOR ra	Các xâu vào có thể
0000
0001	000011,001111,011110,011111, 101010,101011,110111,111011
0010	000100,000101,001110,010001, 010010,010100,011010,011011, 100000,100101,010110,101110, 101111,110000,110001,111010
0011	000001,000010,010101,100001, 110101,110110
0100	010011,100111
0101
0110
0111	000000,001000,001101,010111 011000,011101,100011,101001 101100,110100,111001,111100
1000	001001,001100,011001,101101 111000,111101
1001
1010
1011
1100
1101	000110,010000,010110,011100 100010,100100,101000,110010
1110
1111	000111,001010,001011,001100 111110,111111

Каталог: files -> FileMonHoc
FileMonHoc -> NGÂn hàng câu hỏi lập trình cơ BẢn nhóm câu hỏI 2 ĐIỂM
FileMonHoc -> CHƯƠng 2 giới thiệu về LÝ thuyết số
FileMonHoc -> CÁc hệ MẬt khoá CÔng khai kháC
FileMonHoc -> BỘ MÔn duyệt chủ nhiệm Bộ môn
FileMonHoc -> Khoa công nghệ thông tin cộng hòa xã HỘi chủ nghĩa việt nam
FileMonHoc -> Chủ nhiệm Bộ môn Ngô Thành Long ĐỀ CƯƠng chi tiết bài giảNG
FileMonHoc -> Chủ nhiệm Bộ môn Phan Nguyên Hải ĐỀ CƯƠng chi tiết bài giảNG
FileMonHoc -> Khoa: CÔng nghệ thông tin cộng hòa xã HỘi chủ nghĩa việt nam
FileMonHoc -> MẬt mã khóA ĐỐi xứng lý thuyết cơ bản của Shannon
FileMonHoc -> Khoa công nghệ thông tin bài giảng LẬp trình cơ BẢn biên soạn

tải về 0.52 Mb.

Chia sẻ với bạn bè của bạn:

1 2 3 4 5