Cryptography Reference
In-Depth Information
definierte Zufallsvariable voneinander stochastisch unabhängig sind. Dann gilt (4.3.1
2)
.
Die oben bewiesenen Lemmas zeigen also, dass man eine lineare Abhängigkeit für ein
SPKS aus den linearen Abhängigkeiten seiner S-Box gewinnen kann, sofern man über die
Komposition weitere Annahmen macht. In der Praxis macht man diese Annahmen, ohne
sie weiter nachzuprüfen, und kommt damit häufig sehr weit, wie wir nun sehen werden.
Beispielhafte Umsetzung
Zum Abschluss wollen wir erläutern, wie man nun unter Berücksichtigung der obigen
Lemmas eine lineare Abhängigkeit findet, die für den weiter oben beschriebenen Test
benutzt werden kann. Dazu betrachten wir wieder Beispiel 4.2.1. Zur Veranschaulichung
sind die relevanten Bits in Abbildung 4.3 markiert.
Für die S-Box
S
betrachten wir zum Beispiel die lineare Abhängigkeit
(
{
1
}, {
2
,
3
}
)
,
also die Gleichung
x
(1) =
S
(
x
)(2)
S
(
x
)(3)
. Die zugehörige Ausrichtung hat den Wert
−
1
/
2
(siehe Tabelle 4.1). Nehmen wir nun diese Gleichung für die zweite S-Box und die
triviale Gleichung, d. h. die Gleichung zum Indexpaar
(
⊕
)
, für die erste und dritte S-
Box bei der ersten Wortsubstitution, so erhalten wir nach Lemma 4.3.2 für die gesamte
Wortsubstitution eine Ausrichtung von
∅
,
∅
−
1
/
2
bzgl. der Gleichung
u
0
(5) =
v
0
(6)
⊕ v
0
(7)
.
(4.3.13)
Zieht man die erste Rundenschlüsseladdition mit in Betracht, dann ist nach Lemma 4.3.4
die Ausrichtung bzgl.
x
(5) =
v
0
(6)
⊕
v
0
(7)
(4.3.14)
betragsmäßig
1
/
2
. Zieht man nun außerdem die erste Bitpermutation mit in Betracht,
erhält man nach Lemma 4.3.3 betragsmäßig eine Ausrichtung von
1
/
2
bezüglich der
Gleichung
x
(5) =
w
0
(10)
⊕ w
0
(11)
.
(4.3.15)
Eine weitere Rundenschlüsseladdition führt zu einer betragsmäßigen Ausrichtung von
1
/
2
bzgl.
x
(5) =
u
1
(10)
⊕ u
1
(11)
.
(4.3.16)
Wie zu Beginn erhält man für die zweite Wortsubstitution unter Benutzung der linearen
Approximationstabelle von
S
und Lemma 4.3.2 eine Ausrichtung von
−
1
/
4
bezüglich der
Gleichung
u
1
(10)
⊕
u
1
(11) =
v
1
(8)
⊕
v
1
(9)
.
(4.3.17)
Während wir dabei durch die vorherige Gleichung auf die Bits
10
und
11
für
u
1
festgelegt
waren, kommen prinzipiell verschiedene Teilmengen
J
⊆{
8
,
9
,
10
,
11
}
für die Bits
v
1
im
