Định lý 3.7. Mọi vết tuyến tính lan truyền qua 4r chu kỳ của XAES cĩ độ tương quan tối đa bị chặn trên là 2−r×(m−ε)×βθ2/2với ε = 2 nếu m chẵn, ε =1 nếu m lẻ.
$Chứng minh: Trong [19], J. Daemen đã chứng minh rằng độ tương quan của vết tuyến tính cĩ thể xấp xỉ bằng tích số của độ tương quan giữa đầu ra-đầu vào của các S-box hoạt động. Theo Định lý 3.4, số lượng S-box hoạt động của vết tuyến tính lan truyền qua 4r chu kỳ tối thiểu là 2
θ β
r . Kết hợp với Bổđề 3.2, ta cĩ được kết luận cần chứng minh.
Định lý 3.8. Trong thuật tốnXAES với r ≥ 1 và m ≥ε r (với ε = 2 nếu m chẵn,
1
=
ε nếu m lẻ), mọi vết tuyến tính truyền qua T = 4r chu kỳđều cĩ độ tương quan bị chặn trên bởi 2−(r−1)mNw2/2. ( ) ( 1) 2 4 2 2 1 1 / , , , , Nw m r CPr a b r mNw r ≥ ∀ ≥ ∀ ≥ ≤ − − ∀ ε (3.28) $Chứng minh:
Theo Định lý 3.7, mọi vết tuyến tính lan truyền qua 4r chu kỳ cĩ độ tương quan tối đa khơng vượt quá ( ) 2 2
2−r×m−ε ×βθ/ . Ta chứng minh: , , , Nw m r r ≥ ∀ ≥ ∀ ≥ε ∀ 1 1 2−r(m−ε)βθ2/2 ≤ 2−(r−1)mNw2/2 Ta cĩ: m ≥ εr⇒ rm−rε ≥ rm−m ⇒ r(m −ε) (≥ r−1)m Do βθ ≥ Nw > 0 nên suy ra:
(m− ) 2 ≥ (r−1)mNw2 ≥ 0 r ε βθ
⇒ ( ) 2 2 ( 1) 2 2 2
2−rm−ε βθ/ ≤ −r− mNw /
Từđĩ suy ra điều phải chứng minh &
Kết luận:
% Xét trường hợp r =2, do m ≥ 4 ≥ εr nên cĩ thể áp dụng Định lý 3.8: Mọi vết tuyến tính truyền qua T = 8 chu kỳ đều cĩ độ tương quan bị chặn trên bởi
2
2
2−m×Nw / . Nếu sử dụng khối dữ liệu cĩ Nb = Nw, giới hạn này đảm bảo tính an tồn đối với phương pháp tấn cơng tuyến tính. Điều này giải thích lý do vì sao trong trường hợp Nb = Nw, XAES sử dụng T + 2 = 10 chu kỳ biến đổi.
% Xét trường hợp r =3: Nếu m ≥ 6 thì m ≥εr. Nếu m = 5 thì ε = 1 và m ≥εr. Vậy, khi m ≥ 5, cĩ thể áp dụng Định lý 3.8 với r =3 để kết luận: Mọi vết tuyến tính truyền qua T = 12 chu kỳđều cĩ độ tương quan bị chặn trên bởi 2−mNw2. Nếu sử
dụng khối dữ liệu cĩ Nb = 2Nw, giới hạn này đảm bảo tính an tồn đối với phương pháp tấn cơng tuyến tính. Điều này giải thích lý do vì sao trong trường hợp 1.5 < Nb/Nw ≤ 2, XAES sử dụng T + 2 = 14 chu kỳ biến đổi.
% Xét trường hợp r = 4 và m = 4: khi đĩ, theo Định lý 3.7, mọi vết tuyến tính truyền qua T = 16 chu kỳđều cĩ độ tương quan bị chặn trên bởi 2−mNw2 = 2−8Nw2/2, đảm bảo tính an tồn đối với phương pháp tấn cơng tuyến tính cho trường hợp khối dữ
liệu cĩ Nb = 2Nw. Điều này giải thích lý do vì sao trong trường hợp m=4 và 1.5Nw < max{Nb, Nk} ≤ 2 Nw, XAES sử dụng T + 2 = 18 chu kỳ biến đổi.
3.3 Kết luận
Sử dụng hướng tiếp cận truyền thống với vết sai phân đơn và vết tuyến tính đơn trong việc chứng minh tính an tồn của thuật tốn theo chiến lược vết rộng đối với phương pháp phân tích mã sai phân và phương pháp phân tích mã tuyến tính, chúng tơi đã chứng minh tổng quát các cơng thức xác định chặn trên của tỷ lệ truyền của vết
sai phân đơn và chặn trên của độ tương quan của vết tuyến tính đơn lan truyền qua T = 4r chu kỳ của XAES. Áp dụng các kết quả tổng quát này cho phép kết luận mỗi
thể hiện của XAES (với các giá trị cụ thể của tham số cấu trúc và tham số xử lý) đều an tồn đối với phương pháp sai phân và phương pháp tuyến tính, đồng thời giải thích cơ sở việc chọn số chu kỳ mã hĩa cho mỗi thể hiện của XAES.
Một số vấn đề mở:
• Việc chứng minh cơng thức tổng quát xác định chặn trên của tỷ lệ truyền của vết sai phân (Định lý 3.5) và độ tương quan của vết tuyến tính (Định lý 3.7) hồn tồn độc lập với giá trị của branch number βθcủa MixColumns. Khi áp dụng vào giải thuật XAES với giá trịβθ là Nw hay Nw + 1, kết quả nhận được gồm Định lý 3.6 và Định lý 3.8. Trong trường hợp các ánh xạ tuyến tính được chọn dùng trong MixColumns khơng đảm bảo điều kiện βθ ≥ Nw, cĩ thể áp dụng Định lý 3.5 và Định lý 3.7để xác định số lượng chu kỳ mã hĩa tối thiểu
để thuật tốn an tồn đối với tấn cơng sai phân và tấn cơng tuyến tính. Điều này mở ra khả năng xây dựng các thuật tốn mã hĩa khối với tầng khuếch tán (cĩ vai trị tương tự như MixColumns trong XAES) cĩ hệ số branch number bất kỳ.
• Bên cạnh hướng tiếp cận sử dụng vết lan truyền đơn được áp dụng thành cơng trong chứng minh tính an tồn của các thuật tốn như Shark[90], Square[18], Rijndael[16], GrandCru[8], Anubis[3], Khazad[91]…, hướng tiếp cận sử dụng tập vết lan truyền được đề xuất và nhiều cơng trình đã tập trung theo hướng này
để khảo sát lại các thuật tốn mã hĩa khối đã được đề xuất [12][38][44][46][47][71][72]. Chính vì vậy, ngồi việc chứng minh tính an tồn của XAES với vết lan truyền đơn, chúng tơi đã chứng minh tính an tồn của XAES theo hướng tiếp cận mới sử dụng tập vết lan truyền với kết quả được trình bày trong Chương 4.
Chương 4
Tính an tồn của XAES dựa trên
xác suất sai phân của tập vết sai phân và xác suất tuyến tính của bao tuyến tính Tĩm tắt chương:
$ Nội dung của chương 4 trình bày hướng tiếp cận xác định chặn trên của xác suất sai phân của tập vết sai phân và chặn trên của xác suất tuyến tính của bao vết tuyến tính:
% Trình bày tĩm tắt về hướng tiếp cận và các cơng trình liên quan chứng minh tính an tồn của giải thuật sử bằng cách xác định chặn trên của xác suất sai phân của tập vết sai phân và chặn trên của xác suất tuyến tính của bao tuyến tính
% Trình bày kết quả xác định chặn trên tổng quát của xác suất sai phân của tập vết sai phân và chặn trên tổng quát của xác suất tuyến tính của bao tuyến tính đối với XAES:
o Khảo sát 2 chu kỳ của XAES để xác định chặn trên của xác suất (sai phân/tuyến tính) của tập vết sai phân/tuyến tính với kết quả trọng tâm là Định lý 4.2 và Định lý 4.5.
o Xác định chặn trên tổng quát cho xác suất (sai phân/tuyến tính) của tập vết sai phân/tuyến tính qua 4 chu kỳ của XAES với kết quả trọng tâm được trình bày trong Định lý 4.3 và Định lý 4.6.
o Xác định chặn trên tổng quát cho xác suất (sai phân/tuyến tính) của tập vết sai phân/tuyến tính qua r ≥ 4 chu kỳ của XAES với kết quả trọng tâm được trình bày trong Định lý 4.4 và Định lý 4.7.