19、线性密码分析技术详解

线性密码分析技术详解

1. 密钥候选集与线性表达式

在密码分析中，我们的目标是找到一组密钥候选集，使得 $|T – (N/2)|$（差值的绝对值）达到最大。这里我们会尝试所有可能的密钥位值，以找出最有可能的候选密钥集。

例如，对于一个 64 位的密钥，如果我们找到了一个涉及 32 位密钥的表达式，且每个密钥需要进行 $2^{20}$ 次操作，那么推导出这 32 位密钥需要 $O (2^{20} × 2^{32}) = O(2^{52})$ 次操作。之后，我们可以用 $O(2^{32})$ 的时间对另外 32 位密钥进行暴力破解，这比之前的 $O(2^{52})$ 操作要容易得多。实际上，我们可以在少于 $O(2^{53})$ 次操作内推导出整个密钥。

2. S 盒的线性表达式

2.1 计算线性表达式及偏差

构建用于密码分析的完整线性方程的第一步是学习如何计算简单的线性表达式以及确定它们的偏差。下面通过一个 3 位 S 盒 [3, 7, 2, 4, 1, 5, 0, 6] 来举例说明。

我们要找到涉及输入位和输出位的方程，例如 $X_0 ⊕X_2 = Y_1 ⊕Y_2$。对这个 3 位 S 盒的所有可能输入值（0 - 7）运行该线性方程，发现有 2 次结果为真（$S(3) = 4$ 和 $S(7) = 6$），概率为 $1/4 = 0.25$。偏差 $\varepsilon$ 通常缩写为 $\varepsilon = (2 - 4)/8 = -1/4$。

2.2 遍历所有可能的线性表达式

由于有 3 个可能的输入位和 3 个可能的输出位，每个