差分密码分析-1

$DifferentialCryptanalysistoToyCipherDifferential\backslash ;Cryptanalysis\backslash ;to\backslash ;ToyCipher$

$CIPHER-1CIPHER-1$

以一个$toyciphertoycipher$为例：$CIPHER-1CIPHER-1$，其中，$S[\cdot ]S[·]$ 表示一个公开的 $S-BoxS-Box$ 置换（可逆)

在已知明文 $m_0{m}_{1}m\_\{0\}\; \backslash ;\; m\_\{1\}$ ，密文 $c_0{c}_{1}c\_\{0\}\backslash ;c\_\{1\}$ 的情况下（已知明文攻击），加密过程如下：

(已知：$m_0{m}_1{c}_0{c}_1;m\_\{0\}\; \backslash ;\; m\_\{1\}\backslash ;\; c\_\{0\}\backslash ;c\_\{1\}\; ;$ 未知：$k_0{k}_{1}uv)k\_\{0\}\backslash ;k\_\{1\}\backslash ;u\backslash ;v)$

由于两次加密使用的是相同的密钥 $k_{0}k\_\{0\}$和 $k_{1}k\_\{1\}$ ，所以对明文以密码最常用操作( $⨁\backslash bigoplus$ )做差分得到：

即，明文$m_0{m}_{1}m\_\{0\}\; \backslash ;\; m\_\{1\}$差分 == 中间状态 $u_0,u_{1}u\_\{0\},\; u\_\{1\}$ 的差分，消去了密钥 $k_{0}k\_\{0\}$ 的影响；

所以，跳过 $k_{0}k\_\{0\}$ 的影响，枚举 $k_{1}k\_\{1\}$ 的候选值，记 $tt$，当$tt$ 满足

时，记 $11$ 次有效的 $tt$ 计数，当 $tt$ 计数足够多时，则认为 $tt$ 有很大可能就是$k_{1}k\_\{1\}$ ，只需验证即可。

$Conclusion\underset{‾}{}{P}_1:Conclusion\backslash underline\{\; \}\backslash ;P\_1:$

1. 即使中间数据未知，仍然可以通过寻找已知数据的差异来断定中间数据的差异；
2. 差分分析的一种方法(init) ，通过寻找确定的一部分中间状态数据，穷举另一部分未知数据来恢复密钥。

下面是一个具体的分析的例子:

简单解释一下以上例子的过程：（已知明文攻击）

1. 选择两对明密文，根据上面推出的公式：中间值差分$(u_0⨁u_1)==(u\_\{0\}\backslash bigoplus\; u\_1)==$ 明文差分 $(m_0⨁m_1)(m\_\{0\}\; \backslash bigoplus\; m\_\{1\})$，计算出$u_0⨁u_{1}u\_\{0\}\; \backslash bigoplus\; u\_\{1\}$的值;

2. 计算出$S[\cdot ]S[·]$的逆$S^{-1}[\cdot ]=R[\cdot ]S^\{-1\}[·]=R[·]$，用来计算核心推导式;

3. 穷举所有的 $k_1=tk\_\{1\}=\; t$,根据式：$S^{-1}[t⨁c_0]⨁S^{-1}[t⨁c_0]S^\{-1\}\; [\; t\; \backslash bigoplus\; c\_\{0\}]\; \backslash bigoplus\; S^\{-1\}\; [\; t\; \backslash bigoplus\; c\_\{0\}]$计算出中间值差分;

4. 将3.中的结果与2.中的结果匹配，对可能使等式$S^{-1}[t⨁c_0]⨁S^{-1}[t⨁c_0]==m_0⨁m_{1}S^\{-1\}\; [\; t\; \backslash bigoplus\; c\_\{0\}]\; \backslash bigoplus\; S^\{-1\}\; [\; t\; \backslash bigoplus\; c\_\{0\}]\; ==\; m\_\{0\}\; \backslash bigoplus\; m\_\{1\}$成立的t计数（或存到一个集合中）需要注意使成立的t值可能不唯一，这就涉及到差分概率，后面再说;

5. 为了找出唯一的$t=k_{1}t=k\_\{1\}$，需要更多的明密文对来重复上述1.2.3.4.过程;

6. 将多个明密文对产生的可能$t=k_{1}t=k\_\{1\}$结果取交集，直到得到最后的唯一的结果，即可以断定其为正确的$k_{1}k\_\{1\}$

$CIPHER-2CIPHER-2$

下面考虑一个更复杂的例子，假设$Cipher-2Cipher-2$有两个$SS$盒及$33$个密钥：

明显，在以上例子中，虽然有关系 $m_0⨁m_{1}m\_\{0\}\; \backslash bigoplus\; m\_\{1\}$，但无法通过$S[\cdot ]S[·]$的逆找到中间值$ww$和$vv$，因为再往前传递数据的过程中，$S[\cdot ]S[·]$会消去已有的差分关系（当然，不是完全消去）

那么，就需要更进一步的考虑$SS$盒对该差分传递的影响

下面做一个小测试，考虑两个相同$SS$盒的输出差分: 取i,j分别为进入两个S盒的数据，且i是j的补，即$j=i⨁fj=i\; \backslash bigoplus\; f$，则有下表$

#小知识：二进制数据$ii$的补$==i⨁F_{16}==i⨁\vec{1}==i\backslash bigoplus\; F\_\{16\}\; ==i\backslash bigoplus\; \backslash vec\{1\}$

按照$CIPHER-1CIPHER-1$的办法无法获取中间值$vv$和$ww$，因为经过了非线性的$SS$盒，$⨁\backslash bigoplus$的差分无法被传递下去； 所以选定明文 $ii$，和通过明文 $ii$ 可以推出的明文 $jj$ ，并将其分别进入 $SS$ 盒，拿到其输出 $SS$ 盒的差分，建立下表：

通过上面发现，在第五列，$dd$ 出现的频率更高，下面给出以上由 $ii$ 到 $jj$ 到 $S[i]⨁S[j]S[i]\; \backslash bigoplus\; S[j]$ 的推导过程：

所以，我们只需要有一个明文 $ii$ 即可；

根据对 $CIPHER-1CIPHER-1$ 的攻击可以知道，$m_0⨁m_1==u_0⨁u_1==Fm\_\{0\}\backslash bigoplus\; m\_\{1\}\; ==\; u\_\{0\}\; \backslash bigoplus\; u\_\{1\}\; ==\; F$,所以有：*当两个异或等于 $FF$ 的值分别进入该 $SS$ 盒，会有$\frac{10}{16}\backslash frac\{10\}\{16\}$的概率得到输出差分 $dd$ ；

同时，通过猜测$k_{2}k\_\{2\}$可以得到 $ww$ 位置的差分，而 $ww$ 位置的差分又等于 $vv$ 位置的差分。

所以得到结论：

通过选择两个输入差分为 F 的明文产生密文（并不是选择明文攻击），猜测 $k_{2}k\_\{2\}$ 从反向在中间进行对比，如果差分数据十分随机，则猜测的 $k_{2}k\_\{2\}$ 不对，如果猜测 $k_{2}k\_\{2\}$ 使得在中间 $v_0⨁v_{1}v\_\{0\}\backslash bigoplus\; v\_\{1\}$ 为 $dd$，则很大可能猜测的 $k_{2}k\_\{2\}$ 正确。

那么更进一步，对任何一对"选择"的明密文，猜测 $k_{2}k\_\{2\}$ ，并将所有 $k_{2}k\_\{2\}$ 的猜测记在$hashhash$表中，如果 $k_{2}k\_\{2\}$ 使得中间的差分 $v_0⨁v_1=v\_\{0\}\backslash bigoplus\; v\_\{1\}\; =$差分分布表中频率出现最高的数据（如 $Table6.1Table\backslash ;6.1$ 的 $dd$），则将该$hashhash$表中对于的 $k_{2}k\_\{2\}$ 的位置计数 $+1+1$.(*逆向推 $k_{2}k\_\{2\}$ 的过程中，正确的 $k_{2}k\_\{2\}$ 将会使中间值差分出现的频率远高于其他值出现的频率，如上图 $v_0⨁v_1=dv\_\{0\}\; \backslash bigoplus\; v\_\{1\}=d$ 概率为 $\frac{10}{16}\backslash frac\{10\}\{16\}$,而其他为$\frac{1}{16}\backslash frac\{1\}\{16\}$.

以上的寻找输入差分 $d_{in}d\_\{in\}$ 及其经过两个 $S-BoxS-Box$ 之后的输出差分 $d_{out}d\_\{out\}$ 的值可以建一个差分表 $DDT\backslash textcolor\{red\}\{DDT\}$ ,如下：

从下图可以看出，当输入差分为$ff$时，输出差分为$dd$出现的频率最高次数为10，所以选择差分 $ff$ 从 $plaintextplaintext$ 注入，获得一条差分概率最大的路径，概率为$\frac{10}{16}\backslash frac\{10\}\{16\}$,路径为$f\to df\backslash rightarrow\; d$.

对 $CIPHER-2CIPHER-2$ 的分析让我们发现了 $S[\cdot ]S[·]$ 的一些规律，比如：

• 如果两对差分输入位上均不同，如 $0001and11100001\backslash ;and\backslash ;1110$，观察上表的 $1ande1\backslash ;and\backslash ;e$ ，输出差分在各位也均不同；
• 在所有位位置不同的十对输入将产生除了第二个最低有效位位置之外的所有不同的输出对；
• $andsoonandsoforthand\backslash ;so\backslash ;on\backslash ;and\backslash ;so\backslash ;forth$

那么，如果一对输入输出差分$(\alpha ,\beta )(\backslash alpha,\backslash beta)$，即输入差分 $\alpha \backslash alpha$ 通过 $S[\cdot ]S[·]$ 可以得到输出差分 $\beta \backslash beta$ ,则称该过程为通过操作 $S[\cdot ]S[·]$ 的差分特征 $(differential)characteristicacrosstheoperationS[\cdot ](differential)\; \backslash ;characteristic\backslash ;across\backslash ;the\backslash ;operation\backslash ;S[\cdot ]$ 记作$\alpha \stackrel{S[\cdot ]}{}\beta \backslash alpha\backslash ;\backslash stackrel\{S[·]\}\{\backslash rightarrow\}\backslash ;\backslash beta$ ,一个特征成立就有与其对应的概率如 $f\stackrel{S[\cdot ]}{}bf\backslash ;\backslash stackrel\{S[·]\}\{\backslash rightarrow\}\backslash ;b$ 的概率为$\frac{10}{16}\backslash frac\{10\}\{16\}$.

$DifferentialCryptanalysisusingCharacteristicDifferential\backslash ;Cryptanalysis\backslash ;using\backslash ;Characteristic$

$CIPHER-3CIPHER-3$

有了上面的规律，可以考虑一个更加复杂的$ToyCipherToyCipher$：$CIPGERTHREECIPGERTHREE$在$CIPHER-2CIPHER-2$的基础上，又多加了一个$S[\cdot ]S[·]$及一个密钥$k_{3}k\_3$

有了对$CIPHER-2CIPHER-2$的分析方法，对$CIPHER-3CIPHER-3$分析就容易理解多了：如果考虑通过一个$S[\cdot ]S[·]$，则给定差分 $ff$ 会得到差分 $dd$ 的概率时 $\frac{10}{16}\backslash frac\{10\}\{16\}$；那么，考虑差分继续往后传播，到第二个$S[\cdot ]S[·]$，通过查表 $Table6.2Table\; 6.2$ 可以得知，概率最高的是特征 $d\stackrel{S[\cdot ]}{}cd\backslash ;\backslash stackrel\{S[·]\}\{\backslash rightarrow\}\backslash ;c$，概率为 $\frac{6}{16}\backslash frac\{6\}\{16\}$，也就是说，如果我们希望能够通过"猜密钥"的方式（或者是枚举）得到密钥 $k_{3}k\_3$ ，就需要经过两个 $S[\cdot ]S[·]$ ，而带来的影响是，差分概率降低（*我们选取的是差分概率最高的一条特征路径）。很自然的，我们把通过两个$S[\cdot ]S[·]$的差分特征概率乘起来 $\frac{10}{16}\ast \frac{6}{16}=\frac{15}{64}\backslash frac\{10\}\{16\}\; *\; \backslash frac\{6\}\{16\}=\backslash frac\{15\}\{64\}$，也就是说，我们猜出正确的$k_{3}k\_3$的概率是$\frac{15}{64}\backslash frac\{15\}\{64\}$,但这也是很大的降低了噪声对我们猜测密钥的影响，因为随机猜测密钥的。

接差分密码分析-2...