Линейные преобразования

Линейный слой, или линейное преобразование блочного шифра служит для распространения локальных изменений в блоке. Эти свойства распространения имеют существенное влияние на эффективность нескольких криптоаналитических атак, таких как дифференциальный и линейный криптоанализ.

Для измерения диффузионной силы (мощности) линейного преобразования может быть использовано число ветвлений [16].

Определение 2.1. Хэмминговый Весw_h вектора - это число компонентов вектора, которые отличны от нуля.

Определение 2.2 [16]. Числом ветвлений В линейного преобразования является

В( ) =

Число ветвлений линейного преобразования, таким образом, это наименьшая возможная сумма из числа активных компонентов входного и выходного векторов линейного преобразования. Линейное преобразование в векторном пространстве размерности D может иметь число ветвлений D + 1. Такое преобразование называется Максимальным Расстоянием Сепарабельности (МDS) и может быть построено, например, с помощью теории ошибко-корректирующих кодов.

Ветвления часто измеряются на байтовом уровне, просмотром линейного преобразования, как преобразования байт векторов, но также может быть измерены на битовом уровне. Обратите внимание, что ветвления битового уровня преобразования всегда строго меньше, чем D + 1.

Битовый уровень перестановок, применяемых, например, в DES, как правило, имеют низкое число ветвлений. Это делает устойчивость к дифференциальному и линейному криптоанализу тяжёлой для анализа, сильно зависящей от конкретного выбора S-блоков.

Более поздние шифры, такие как Rijndael и Khazad, использовали линейные преобразования с известным высоким ветвлением. Это позволяет дизайнерам показать, что некоторые атаки, такие как линейный и дифференциальный криптоанализ, вряд ли работают.

2.3.5 Ключевое управление (планирование)

Ключевой график (ключевое расписание) блочного шифра берет мастер-ключ, предоставляемый пользователю, и вычисляет реальные поключи, используемые в циклах шифра.

Цель ключевого планирования заключается в распространении влияния отдельных ключевых битов на блок подлежащий шифрованию через подключи. Менее оптимальное расписаний ключей может привести к слабым ключам, как в DES и IDEA [17] [23] [11], дополненных свойствами, как в DES или связанных с ними ключевых атак [5], как одна из них на RC4 в [21].

Ключевое планирование может быть выполнено несколькими различными путями. DES использует простые битовые перестановки, в то время как Blowfish использует сам шифр для ключевого планирования. Медленный, сложный график ключевого управления может помочь защититься от атак, но может сделать шифр непригодным для использования в ситуациях, где необходима частая смена ключа. Ключевой график блочного шифра берет мастер-ключ, предоставляемый пользователю, и вычисляет реальные подключи, используемые в циклах шифра.

[1]⁾ При подготовке содержания раздела использованы материалы работы диссерт. японца. Jorge Nakahara. Криптоанализ и проектирование блочных шифров. Июнь 2003.

[2]⁾ Представленный позже как версия шифра SHACAL для больших размеров блоков

[3]⁾ Молдавян А.А. и др. Криптография: скоростные шифры. - СПб.: БХВ-Петербург, 2002. - 496 с.