Các đặc trưng vi sa

P ) T Thật vậy cho bất kỳ giá tr iV cố định chúng ta có:

2.3.6 Các đặc trưng vi sa

Đóng góp của các hộp CP tới bảo mật thuộc các mã hóa cơ bản DDP được tối thiểu bởi các thuộc tính khác nhau của các hộp CP. Cho cặp đẩu vào tới hộp CP X’ và X” với các đầu ra tương ứng Y’ và Y”, ở đây X’, X”, Y’, Y” ∈ {0,1}n. Đầu vào khác là ∆X = X'⊕X". Nó được gọi là biến đổi ∆X

tới đầu ra khác ∆Y =Y'⊕Y", trong suốt quá trình họat động của hộp. Tùy vào cặp giá trị đầu vào X’ và X"= X'⊕∆X , giống như đầu vào khác biến đổi

X

∆ với các đầu ra khác vi sai ∆Y với xác xuất khác nhau Pr(∆Y /∆X). Cho biến đổi ngẫu nhiên chúng ta có Pr(∆Y /∆X) =2-n. Tuy nhiên mã hóa là một biến đổi tất định với Pr(∆Y /∆X) có thể lớn hơn giá trị 2-n cho một số cặp ca biệt của ∆X và ∆Y. Bộ ba (∆X,∆Y,Pr(∆Y /∆X)) được quy vào một đặc trưng vi sai của một số phép toán hoặc biến đối. Việc thử tấn công theo hướng tìm kiếm và khai thác các đặc điểm vi sai với giá trị lớn nhất của xác suất

)/ /

Pr(∆Y ∆X . Phương pháp tán công này được gọi là phân tích mã vi sai(Differential Cryptanalysis DCA). Thực hiện một mã hóa có thể miêu tả giống như biểu diễn liên tục các thuộc tính vi sai của thuật toán bằng định nghĩa đặc trưng của toàn bộ biến đổi. Do vậy hệ số có ích của các hộp DDP gây cản trở tấn công vi sai có thể tính tới các đánh giá các đặc trưng vi sai của chúng. Với các hoạt động điều khiển có thể xét vi sai ∆(X,V) =(∆X,∆V) giống một số đầu vào. DC có thể mô tả giống (∆X,∆V,∆Y,Pr(∆Y /∆X))

Các bit khác không của vi sai gọi là bit hoạt động. Cho phép các chỉ

số thấp trong vi sai ∆t biểu diễn số bit hoạt động. Trong trường hợp đặc

biệt ∆V =∆V0 =(0,...,0) với các hộp CP, ta có duy nhất Pr(∆Y /∆X) ≠0 nếu )

( )

(∆Y =ϕ ∆X

ϕ . Giá trị của Pr(∆Y /∆X) bằng với xác suất khi đó vector đầu

vào ∆X được biến đổi thành vector đầu ra ∆Y. Với các hộp CP có bậc h<n

và vi sai (∆X,∆V) thỏa mãn điều kiện ϕ(∆Y)=ϕ(∆X) =t≤h, khi đó có

)/ / Pr(∆Y ∆X ≤n−1. Trung bình có thể đánh giá Pr(∆Y /∆X)= 1 −       t n . Giá trị xác suất cao nhất n-1 có các đặc điểm vi sai với các vi sai chứa 1 bit hoạt động:

1) ) ( )

(∆Y =ϕ ∆X =

ϕ . Để xem xét trạng thái tổng quát của các vi sai trong

trường hợp ϕ(∆V)=0, nó có ích để trình bày hàm xác suất lớn nhất

Với trọng số t được cho cố định. Nếu t>1, thì phân phối xác suất của các vi sai là không đều; tuy nhiên, nếu bậc của hộp CP tăng, thì vi sai giữa xác suất lớn nhất và nhỏ nhất giảm, gần với giá trị xác suất lớn nhất. Vì vậy, lớn hơn giá trị h của hộp CP, lớn hơn là sự đóng góp của nó để bảo vệ chống lại DCA(Phân tích mã vi sai), như trong trường hợp của LCA(Phân tích mã tuyến tính). Khi xác suất của DC giảm nét với sự tăng trong giá trị t, chúng ta có thể hy vọng rằng các DC hiệu quả nhất là các vi sai thu được của chúng với một vài bit hoạt động. Trong khi đang thực hiện DCA, các vi sai hiệu quả nhất sẽ được chọn phụ thuộc vào cấu trúc cụ thể của thuật toán mã hóa. Tại điểm này, chúng ta có thể chỉ bàn đến khuynh hướng chung mà được giới thiệu bởi các phép toán DDP.

Hiển nhiên rằng các bit hoạt động của vi sai đầu vào ∆X không đóng

góp vào hiệu ứng thác lũ. Hiệu ứng thác lũ được kết nối hiệu quả với các

hộp DDP là nguyên nhân bởi các bit hoạt động của vi sai X

t ∆ , trong đó t≥1. Nếu chúng ta có X 0 ∆ , thì vi sai V 1 ∆ (hoặc X t

∆ , khi t≤n/8) tạo ra 2 (hoặc 2i, trong đó i=1, …,t) bit hoạt động trong DY vi sai đầu ra với xác suất

2-1( ! ) 1 )...( 1 ( 2 i i t t t t − − + ≈ ).

Thực tế hiển nhiên chỉ ra rằng sử dụng các khối con dữ liệu để chỉ ra giá trị V tăng đáng kể hiệu quả của các hộp CP như bản gốc mã hóa. Vì vậy, tương tự với tấn công tuyến tính, phân tích mã vi sai của DDP trên cơ sở các mã dường như hiệu quả hơn với các vi sai với một số bit hoạt động. Trong trường hợp ϕ(∆V)=0, xác suất của đặc điểm vi sai có thể được tính

toán như xác xuất mà các bit hoạt động đầu vào được di chuyển tới các bit hoạt động đầu ra như trong trường hợp của việc tính toán các trọng số LC.

Khi hộp P2/1 là khối xây dựng chính trong các hộp DDP, các DC của

các hộp này được định nghĩa bởi cấu trúc mạng của chúng, phân phối của

các bit điều khiển và các DC của phần tử chuyển mạch P2/1. Nhờ vào kích

thước nhỏ của hộp P2/1, dễ dàng để xác định tất cả các đặc điểm vi sai của

chúng (xem hình 2.13).

Hình 2.13 Các đặc điểm vi sai với xác suất khác không tương ứng vói hộp CP cở sở P2/1.

Trong khi xem xét các thuộc tính vi sai của các hộp DDP, nó hiệu quả để

giải thích quy trình của việc biến đổi 2 giá trị đầu vào X’ và X’’=X’⊕∆X

khi thực hiện phép toán DDP trên vectơ ∆X . Với việc giải thích như vậy,

chúng ta có thể đặc trưng hóa các thuộc tính vi sai của phép toán DDP, việc sử dụng các xác suất của một số tập của các DC với trọng số cố định

1

) (∆X =t

ϕ và ϕ(∆Y)=t2 Vì vậy, thay thế cho việc xem xét các cặp cụ thể

của sai đầu vào và đầu ra, đôi khi chúng ta sẽ xem xét một số bit hoạt động tự do DC được định nghĩa như sau:

Định nghĩa 2.6 Giả sử U là một vector, vi sai các bit hoạt động tự do được kết nối với vector này là 1 vi sai bất kỳ U

t

∆ như là U t

∆ ∈{∆U :ϕ(∆U)=t}.

Để phân biệt cụ thể các vi sai t-bit từ các vi sai các bit hoạt động tự

do U

t

∆ có cùng trọng số, đầu tiên nó được biểu diễn như U

it i t|1,...

∆ , trong đó

i1,i2,…,it biểu diễn số các số để tương ứng với các bit hoạt động.

Định nghĩa 2.7 Giả sử Y=F(X) là một hàm biến đổi. đặc điểm vi sai bit hoạt động tự do là một bộ ba ( X t1 ∆ , Y t2 ∆ ,Pr( Y t2 ∆ / X t1 ∆ )) trong đó X t1 ∆ và Y t2 ∆ là các vi sai các bit hoạt động tự do đầu vào và đầu ra, tương ứng, và Pr( X

t

∆ / Y t

∆ )là xác suất của vi sai đầu ra được cung cấp từ vi sai đầu vào là X

t1 ∆

Khái niệm của các bit hoạt động tự do DC và các vi sai các bit hoạt động tự do là có ích để đặc trưng hóa một số thuộc tính vi sai tổng quát của

các phép toán DDP. Ví dụ, xem xét việc biến đổi X

t1

∆  →Pn/m Yt2 t2

∆ tương

ứng với biến đổi của vi sai đầu vào bất kỳ X

t1 ∆ ∈{∆X :ϕ(∆X)=t1} trong vi sai đầu ra bất kỳ Y t2 ∆ ∈{∆Y:ϕ(∆Y)=t2}, trong đó vi sai X t1 ∆ thông qua hộp Pn/m.

Chú ý là trong trường hợp này ϕ(∆V)=0 các bit hoạt động tự do DC (

Xt1 t1 ∆ , Y t2 ∆ ,Pr( Y t2 ∆ / X t1

∆ )) với mỗi giá trị có thể t có xác suất Pr( Y

t2 ∆ / X

t1

∆ )=1 bởi

vì chúng chỉ tính đến trọng số của các vi sai và không làm khác biệt giữa các vị trí khác nhau của các bit hoạt động. Nếu ϕ(∆V)=0 và t1≠t2 thì Pr(

Yt2 t2 ∆ / X

t1

∆ )=0. Các bit hoạt động tự do DC có ích, khi trong trường hợp ϕ(∆V)

≠0 được xem xét. Việc sử dụng DC của phần tử chuyển mạch và tính đến

phân phối bit của các đặc điểm vi sai cho các kiểu quan trọng nhất của các hộp DDP. Chúng ta hãy xem xét một trường hợp của việc sử dụng hộp E mở rộng mà cung cấp cho tác động của mỗi bit của L trên q (q=2, 3) vi sai

các bit đầu ra của hộp E. Để xác định đầy đủ hộp E, chúng ta nên chỉ ra phân phối cụ thể của các bit của khối con dữ liệu điều khiển L. Các hộp E miêu tả một phần thiết yếu của các phép toán DDP. Tuy nhiên, tại điểm này, nó hiệu quả để định nghĩa một số thuộc tính tổng quát của các hộp E. Ta giả sử các tiêu chuẩn 2.1 và 2.2 được thoả mãn.

Đối với các trường hợp vi sai cụ thể của thiết kế hộp CP, nó cũng có thể tính đến một số yêu cầu thêm của các hộp E, ví dụ: (1) đối xứng gương của phân phối của các bit điều khiển tương ứng với nửa trái và nửa phải của các khối con dữ liệu điều khiển và (2) vị trí đối xứng gương của các phần tử chuyển mạch được điều khiển với bit giống nhau của khối con dữ liệu điều khiển.

Giả sử tiêu chuẩn 2.1 thỏa mãn. Thì mỗi bit của khối con dữ liệu điều khiển ảnh hưởng s bit vi sai của khối con dữ liệu được biến đổi. Nói cách khác, ở đó tồn tại không bit đầu vào mà đi qua hơn là một phần tử chuyển mạch được điều khiển với bit giống nhau của khối con dữ liệu điều khiển. Các phần tử chuyển mạch được điều khiển với các bit hoạt động của vi sai tương ứng với dữ liệu điều khiển được biểu diễn như active (hoạt

động). Nếu không có các bit hoạt động của vi sai ∆X đi qua 1 hộp hoạt

động P2/1 thì cuối cùng tạo ra 2 bit hoạt động với xác suất 0.5 (xem hình

2.13c). Nếu một bit hoạt động của ∆X đi qua hộp hoạt động P2/1, thì bit đi qua phần tử chuyển mạch với xác suất 1 (xem hình 2.13b). Nếu 2 bit hoạt động của ∆X được nạp vào hộp hoạt động P2/1 thì cặp bit hoạt động này được triệt tiêu với xác suất 0.5 (xem hình 2.13d). Các trường hợp cơ sở này và các xác suất của chúng định rõ các thuộc tính vi sai của các hộp DDP.

Hình 2.14 mô tả quy trình của các bit hoạt động đi qua một số hộp CP Pn/m giả thiết, ví dụ, P16/32 (q=2), P32/96 (q=3), hoặc P64/192 (q=3). Để vi sai

L

của L được thực hiện, vi sai ∆L không thay đổi; tuy nhiên, nó ảnh hưởng

đáng kể vi sai đầu ra ∆Y của hộp CP. Hộp E mở rộng nhân mỗi bit điều

khiển z của vi sai ∆Lsản xuất các bit hoạt động qz của vector điều khiển mà

kích hoạt qz các hộp cơ sở P2/1. Một số hộp này tạo ra các cặp bit hoạt

động. Giả sử ϕ(∆X)=0 và 2qz<<n thì xác suất mà bit giống nhau của X đi qua hai phần tử chuyển mạch hoạt động là đủ thấp và chúng ta có thể thấy rằng các trường hợp của việc tạ các cặp bit hoạt động là độc lập. Trong trường hợp này, dễ dàng để tính xác suất mà w cặp bit hoạt động sẽ được tạo ra và lấy theo công thức sau:

Nếu z=1, thì công thức chính xác.

Hình 2.14 Một vi sai ( Y t X t1,∆ 2

∆ ) đi qua hộp CP: (a) sơ đồ tổng quát, (b) trường hợp t1=t2=0, (c) việc tạo ra một cặp của các bit hoạt động và (d)

Trường hợp đặc trưng khác liên quan đến X

1

∆ vi sai các bit hoạt động tự do

thu được 1 bit hoạt động. Bit hoạt động của vi sai X

1

∆ có thể không đi qua

các phần tử chuyển mạch hoạt động. Việc xem xét rằng X

1∆ ∆ } 1 ) ( : {∆ ∆ =

∈ X ϕ X , L∈{0,1}n và là X∈{0,1}n các giá trị được phân phối chuẩn nó dễ dàng để thu được công thức sau cho xác suất của trường hợp này: p’=(n-2q)/n. Xác suất mà bit đầu vào hoạt động đi qua các phần tử hoạt động của nó P2/1 là p’’=2q/n. Đối với vi sai X

Z

D , trong đó z=2,3,4, các

xác suất p’ và p’’ có thể được ước lượng xấp xỉ sử dụng các công thức tương ứng với trường hợp z=1:

Việc tính đến là mỗi hộp cơ sở hoạt động P2/1 có tại đầu vào của nó 1 vi sai bằng 0 có thể tạo ra 2 bit hoạt động với 1 xác suất 0.5, dễ dàng để lấy được xấp xỉ sau cho giá trị xác suất của trường hợp được xem xét:

Trong đó w≤qz và

Khi hai hoặc nhiều hơn các bit hoạt động đi qua hộp CP, một số chẵn của các bit hoạt động có thể bị triệt tiêu. Xác suất lớn nhất tương ứng với trường hợp của việc triệt tiêu của 2 bit hoạt động. Chúng ta hãy xem xét các vi sai X

2

∆ và L z

∆ Với một xác suất gần với 2qz/n, một trong số các bit

hoạt động của vi sai X

2

∆ đi qua một trong số các chuyển mạch cơ sở hoạt

động. Với 1 xác suất của 1/(n-1), bit hoạt động thứ 2 di chuyển đến đầu vào của hộp giống nhau P2/1. Với xác suất 0.5, các bit hoạt động này được triệt tiêu đồng thời. Việc còn lại qz-1 phần tử chuyển mạch hoạt động tạo ra

không cặp bit hoạt động với 1 xác suất 2-qz+1. Việc nhân các xác suẩt của 3

trường hợp độc lập này và việc giả sử rằng X

2

∆ ∈{∆X :ϕ(∆X)=2} là 1 giá trị ngẫu nhiên được phân phối chuẩn, chúng ta có:

Kỹ thuật của việc triệt tiêu các bit hoạt động chứng tỏ rằng 2 và nhiều hơn các cặp bit hoạt động đồng thời bằng 0 có 1 xác suất nhỏ hơn có

thể xem xét. Một số giá trị của xác suất p( L

z Y X →∆ ∆ ∆ / ) được chỉ ra trong bảng 2.15 và 2.16. Bảng 2.15 Các xác suất p( X Y L 1 ∆ ∆ → ∆ ) với hộp P64/192 bậc hai Bảng 2.16 Các xác suất p( X Y L 2 ∆ ∆ → ∆ ) với hộp P64/192 bậc hai