Từ bảng 3.1 ta có thể thấy vi phân ở bước 22 22
2 3
(10)
S
Giá trị của 2 3được tính bởi ' '' '' '' 17,....,24, 49,....,64, 9,....24, 49,....,56, 9,....24, 49,....,56
k k IV IV IV IV .
Nếu 2 3 0 thì các bít dòng khoá đầu tiên của IV’ và IV’’ giống nhau. Tính chất này sẽ được sử dụng trong cuộc tấn công để tìm ra giá trị của 2 3 liệu có bằng 0 hay không. Giả sử, giá trị của 1 2 3 0 là phân phối ngẫu nhiên thì xác suất để 2 3 0 sẽ là 2-29. Ta cần tạo ra khoảng 229 cặp ( , )2 3 với điều kiện 2 3 0. Sẽ có 3 byte IV và 1 byte vi phân được lựa chọn, vì thế luôn có sẵn khoảng 24 31
2 255 / 22 cặp ( , )2 3 , như vậy có thể dễ dàng tạo ra 229 cặp ( , )2 3 thoả mãn điều kiện trên.
Cải tiến tấn công vi phân
Xét vi phân tại 2 trạng thái 22 (7)
S và 22 (8)
S , các vi phân này là 1 2 3.
Nếu 1 2 3 0 thì các bít thứ 3, thứ 4 của 2 dòng khoá sẽ khác nhau, khoá k17,....,24và
49,....,64 k có thể khôi phục với 20 29 30.4 1 1 1 1 2 2 2 2i 2i i i IV được chọn.
Thực hiện cuộc tấn công này, bằng việc quan sát các bít dòng khoá thứ 1,3,4 thì việc khôi phục khoá k17,....,24và k49,....,64 cần khoảng 28 1.13 30.1
2 2 2 2 IV được chọn Thiết lập vi phân tại trạng thái 0
(3)
S và 0 (6)
S và quan sát các bít thứ 2,3 của dòng khoá để có thể khôi phục được 24 bít của khoá bí mật, k25,....,40 và k65,....,72 cần 230.4 IV được chọn. Như vậy với khoảng 30.1 30.4 31.3
2 2 2 IV được chọn ta có thể khôi phục được 48 bít khoá bí mât (80 bít).
Dưới đây là bảng tấn công WG với các cặp khoá/IV có kích thước lớn hơn 80 bít Khoá k bít (bit) IV k bít (bit) Số lượng bít khoá có thể
khôi phục (bit)
96 96 48
112 112 72
128 128 72 hoặc 96