Bổđề 3.1. [69] Cho F là ánh xạ nghịch đảo trên GF(2m). Giá trị lớn nhất của tỷ lệ truyền của F là 2ε−mvới ε = 2 nếu m là số chẵn, ε =1 nếu m là số lẻ. Giá trị lớn nhất của độ tương quan của F là 2(ε−m)2với ε = 2 nếu m là số chẵn, ε =1 nếu m là số lẻ.
Bổ đề 3.2. Mọi S-box Sϕđược sử dụng trong XAES cĩ giá trị lớn nhất của tỷ lệ truyền là 2ε−mvà giá trị lớn nhất của độ tương quan là 2(ε−m)2với ε =2 nếu m là số chẵn, ε =1 nếu m là số lẻ.
$Chứng minh: Trong S-box Sϕ gồm 3 bước biến đổi:
• biến đổi affine ( )0 ϕ A , • biến đổi nghịch đảo trên GF(2m), ký hiệu là F • biến đổi affine ( )1 ϕ A Vậy, Sϕ = ( )1 ϕ A !F ! ( )0 ϕ A . Do ( )0 ϕ A và ( )1 ϕ A là đẳng cấu nhĩm nên Sϕ và F cĩ cùng giá trị lớn nhất của tỷ lệ truyền và cùng giá trị lớn nhất của độ tương quan [17].
&
Định lý 3.5. Mọi vết sai phân lan truyền qua 4r chu kỳ của XAES cĩ tỷ lệ truyền tối đa bị chặn trên là 2−r(m−ε)βθ2với ε = 2 nếu m chẵn, ε =1 nếu m lẻ.
$Chứng minh: Trong [19], J. Daemen đã chứng minh rằng tỷ lệ truyền của vết sai phân cĩ thể xấp xỉ bằng tích số tỷ lệ truyền của các S-box hoạt động. Theo Định lý 3.4, số lượng S-box hoạt động của vết sai phân lan truyền qua 4r chu kỳ tối thiểu là
2
θ β
×
r . Kết hợp với Bổđề 3.2, ta cĩ được kết luận cần chứng minh. &
Định lý 3.5 là cơ sở để chứng minh tổng quát độ an tồn của XAES đối với phương pháp sai phân và phương pháp tuyến tính để phân tích mã. Gọi n là độ dài (tính bằng bit) của khối dữ liệu, theo J. Daemen và V. Rijmen, phương pháp sai phân chỉ hiệu quả nếu tồn tại vết sai phân cĩ tỷ lệ truyền qua hầu hết các chu kỳ lớn hơn
đáng kể so với 2 , cịn ph−n ương pháp tuyến tính chỉ hiệu quả nếu tồn tại vết tuyến tính cĩ độ tương quan qua hầu hết các chu kỳ lớn hơn đáng kể so với 2−n/2
([16],[17]). Thơng thường, trong việc chứng minh, vết (sai phân/tuyến tính) được khảo sát lan truyền qua T = Nr– 1 hay T = Nr– 2 chu kỳ [50]; một hoặc hai chu kỳ
cịn lại được dùng để tăng cường giới hạn biên an tồn cho thuật tốn.
Trong thuật tốn XAES, kích thước của khối dữ liệu là m×Nw×Nb bit. Ta cần chứng minh là mọi vết sai phân/tuyến tính lan truyền qua T ≤ Nr−2 chu kỳ của XAES cĩ tỷ lệ truyền/độ tương quan tối đa khơng vượt quá 2−m×Nw×Nb và
( ) 2
2−m×Nw×Nb / .
Để chứng minh điều này, trước tiên, ta sẽ chứng minh tính chất tổng quát sau:
Định lý 3.6. Trong thuật tốnXAES với r ≥ 1 và m ≥ε r (với ε = 2 nếu m chẵn,
1
=
ε nếu m lẻ), mọi vết sai phân truyền qua T = 4r chu kỳ đều cĩ tỷ lệ truyền bị chặn trên bởi 2−(r−1)×m×Nw2. ( ) ( 1) 2 4 2 1 1 P r m Nw r a b R r m Nw r ≥ ∀ ≥ ∀ ≥ → ≤ − − × × ∀ , , ε , (3.27) $Chứng minh:
Theo Định lý 3.5, mọi vết sai phân lan truyền qua 4r chu kỳ cĩ tỷ lệ truyền tối đa khơng vượt quá 2−r×(m−ε)×βθ2. Ta chứng minh:
, , , Nw m r r ≥ ∀ ≥ ∀ ≥ε ∀ 1 1 2−r(m−ε)βθ2 ≤ 2−(r−1)mNw2 Ta cĩ: r m ≥ε ⇒ rm−rε ≥ rm−m ⇒ r(m−ε) (≥ r−1)m Do βθ ≥ Nw > 0 nên suy ra:
(m− ) 2 ≥ (r−1)mNw2 ≥ 0 r ε βθ
⇒ 2−r(m−ε)βθ2 ≤ 2−(r−1)mNw2
Kết luận:
% Xét trường hợp r =2, do m ≥ 4 ≥εr nên cĩ thể áp dụng Định lý 3.6: Mọi vết sai phân truyền qua T = 8 chu kỳđều cĩ tỷ lệ truyền bị chặn trên bởi 2−m×Nw2. Nếu sử
dụng khối dữ liệu cĩ Nb = Nw, giới hạn này đảm bảo tính an tồn đối với phương
pháp tấn cơng sai phân. Điều này giải thích lý do vì sao trong trường hợp Nb = Nw, XAES sử dụng T + 2 = 10 chu kỳ biến đổi.
% Xét trường hợp r =3: Nếu m ≥ 6 thì m ≥εr. Nếu m = 5 thì ε = 1 và m ≥εr. Vậy, khi m ≥ 5, cĩ thể áp dụng Định lý 3.6 với r =3 để kết luận: Mọi vết sai phân truyền qua T = 12 chu kỳ đều cĩ tỷ lệ truyền bị chặn trên bởi 2−2mNw2. Nếu sử
dụng khối dữ liệu cĩ Nb = 2Nw, giới hạn này đảm bảo tính an tồn đối với phương pháp tấn cơng sai phân. Điều này giải thích lý do vì sao trong trường hợp 1.5 < Nb/Nw ≤ 2, XAES sử dụng T + 2 = 14 chu kỳ biến đổi.
% Xét trường hợp r = 4 và m = 4: khi đĩ, theo Định lý 3.5, mọi vết sai phân truyền qua T = 16 chu kỳđều cĩ tỷ lệ truyền bị chặn trên bởi 2−2mNw2 = 2−8Nw2, đảm bảo tính an tồn đối với phương pháp tấn cơng sai phân cho trường hợp khối dữ liệu cĩ Nb = 2Nw.