Cryptography Reference
In-Depth Information
...
...
...
f
f
f
bb: Bitpermutation
dd: Hintereinanderschaltung
cc: Konstantenaddition
...
...
...
...
...
...
β
f
f
f
k
aa: Parallelschaltung
...
...
...
...
...
a: Parallelschaltung
b: Bitpermutation
c: Konstantenaddition
d: Hintereinanderschaltung
Abbildung 4.2: Operationen zum Aufbau eines SPKS
Beweis.
Wir halten zunächst fest, dass für die Funktion
H
:
{
0
,
1
}→{−
1
,
1
}
, die durch
H
(
x
)=1
−
2
x
definiert ist,
x
)=
H
(
x
)
H
(
x
)
für
x, x
∈{
H
(
x
⊕
·
0
,
1
}
(4.3.9)
gilt, wobei hier »
« die Multiplikation bezeichnet. Zudem verwenden wir im Folgenden
die Darstellung der Ausrichtung aus Lemma 4.3.1 und erhalten:
L
[
h
]=2
−
(
a
+
a
)
x∈{
0
,
1
}
a
x
∈{
0
,
1
}
a
·
2(
i∈I
x
(
i
)
x
)(
j
)))
(1
−
x
(
i
)
⊕
⊕
h
(
x
·
i
∈I
j∈M
=2
−
(
a
+
a
)
x∈{
0
,
1
}
a
x
∈{
0
,
1
}
a
(1
−
2(
i∈I
x
(
i
)
⊕
f
(
x
)(
j
)))
x
(
i
)
⊕
f
(
x
)(
j
)
⊕
j∈J
i
∈I
j
∈J
(1
=2
−
(
a
+
a
)
X
J
X
I
[
f
](
x
)
I
[
f
](
x
)
·
x∈{
0
,
1
}
a
x
∈{
0
,
1
}
a
X
I
[
f
](
x
)
·
2
−a
X
J
=2
−a
I
[
f
](
x
)
x∈{
0
,
1
}
a
x
∈{
0
,
1
}
a
J
=2
−a
X
I
[
f
](
x
)
I
[
f
]
·
x∈{
0
,
1
}
a
=
I
[
f
]
·
J
I
[
f
]
,
wobei wir (
1
) wegen (4.3.9) erhalten.
Aus dem Lemma folgt insbesondere, dass
(
L, M
)
für
h
eine ideale lineare Abhängigkeit
ist, wenn
(
I,J
)
eine ideale lineare Abhängigkeit für
f
und
(
I
,J
)
eine ideale lineare
Abhängigkeit für
f
ist.
Beispiel 4.3.5 (Beispiel 4.2.1 fortgef.). In unserem Beispiel gilt für die S-Box
S
und
I
=
1
/
4
und
J
,
I
=
,
J
=
:
I
[
S
]=
{
3
}
,
J
=
{
2
,
3
}
{
1
,
3
}
{
1
}
−
I
[
S
]=
−
1
/
2
.Damit
