Một số lớn các l−ợc đồ có thể đ−ợc phân loại tiếp theo bởi xem xét các biến đổi tuyến tính của các đầu vào. Lớp các l−ợc đồ nhận đ−ợc từ 1 l−ợc đồ bởi ánh xạ tuyến tính của các biến và đ−ợc gọi là các lớp t−ơng đ−ơng.
- Trong 7 lớp t−ơng đ−ơng, hàm vòng phụ thuộc vào hai đầu vào độc lập (Xi và Hi-1), và 6 biến đổi có thể, vì có 6 ma trận nghịch đảo 2 x 2 trên GF(2). Có thể chỉ ra rằng trong 2 tr−ờng hợp, hàm vòng là an toàn hoặc bị tổn th−ơng bởi tấn công điểm bất động, và trong 5 tr−ờng hợp hàm vòng bị tổn th−ơng bởi tấn công trực tiếp, bởi tấn công hoán vị hoặc tấn công backward.
- Trong 7 lớp t−ơng đ−ơng, hàm vòng phụ thuộc vào một đầu vào độc lập duy nhất. Vì có 3 đầu vào có thể, chính là Xi, Hi-1 và Xi ⊕ Hi-1 t−ơng ứng với 3 vecto khác không độ dài 2 trên GF(2). Nếu hàm vòng phụ thuộc tổng của hai đầu vào, nó không phải là yếu một cách tầm th−ờng. Tuy nhiên, nó bị tổn th−ơng bởi tấn công trực tiếp (2 trong 7 tr−ờng hợp) hoặc tấn công forward (5 trong 7 tr−ờng hợp).
- Trong 1 lớp t−ơng đ−ơng, hàm vòng đơn giản là hằng số.
CI Characterization class size - D P B F FP √
FF = P, (P ≠ K) 6 4 2 FF = P ⊕ K, (P ≠ K) 6 4 2 FF = K, (P ≠ K) 6 2 4 P = K, (FF ≠ K) 6 2 2 2 0 FF = P = K 3 2 1 FF = V, (P ≠ K) 6 2 4 P = V, (FF ≠ K) 6 2 2 2 K = V, (FF ≠ K) 6 4 1 1 FF = V, ( P= K) 3 2 1 P = V, (FF = K) 3 2 1 1 K = V, (P = FF) 3 2 1
FF = P =V 3 2 1 FF = K = V 3 2 1 2 P = K = V 3 2 1 3 FF = P = K = V 1 1 Total 64 15 14 5 13 5 8 4 Bảng 2. Tổng hợp 15 ph−ơng án, đ−ợc sắp xếp theo số các CI của các đầu vào hằng số.
Bảng 2 mô tả các lớp t−ơng đ−ơng. Việc phân loại tiếp theo đ−ợc dựa vào số CI của các hằng số đầu vào trong các lựa chọn. Để mô tả lớp, quan hệ đ−ợc đ−a ra giữa bản rõ P, khoá K và feedforward FF.
Chúng ta có thể kết luận rằng chỉ có 4 l−ợc đồ là an toàn, còn 8 l−ợc đồ chỉ bị tổn th−ơng bởi tấn công điểm bất động. Cả 12 l−ợc đồ đó đ−ợc liệt kê (và đ−ợc đánh số lại) trong Bảng 3 và đ−ợc biểu diễn đồ hoạ trong hình 2. Vai trò của Xi và Hi-1 tại đầu vào có thể đ−ợc chọn một cách tự do, và mũi tên chấm-gạch là tuỳ chọn (nếu nó đ−ợc đ−a vào, thì khoá đ−ợc cộng modulo 2 với bản mã). Còn đ−ờng gạch-gạch, thì có 3 khả năng có thể: nó có thể bỏ qua hoặc nó có thể chỉ từ khoá đến bản rõ hoặc từ bản rõ đến khoá. Hai lớp t−ơng đ−ơng này là an toàn, các đại diện đơn giản nhất của chúng là l−ợc đồ của Matyas và một số ng−ời khác (số 1) và l−ợc đồ của Miyaguchi và các tác giả (số 3). Cho mỗi một trong các l−ợc đồ này có thể viết một “chứng minh an toàn” dựa trên mô hình hộp đen của thuật toán mã, nh− đã đ−ợc làm cho l−ợc đồ Davies-Mayer (số 5) trong [32]. ý t−ởng chính là việc tìm một giả tạo ảnh (pseudo-preimage) cho giá trị băm đã cho ít nhất sẽ khó nh− việc giải ph−ơng trình Hi = f(Xi, Hi-1) với giá trị đã cho của Hi. Số trung bình của việc tính f() đ−ợc chỉ ra là 2n-1.
no. function expression 1 E(Hi-1,Xi)⊕ Xi
2 E(Hi-1,Xi ⊕ Hi-1)⊕ Xi⊕ Hi-1 3 E(Hi-1,Xi)⊕ Xi ⊕Hi-1
4 E(Hi-1,Xi ⊕ Hi-1)⊕ Xi 5 E(Xi, Hi-1)⊕ Hi-1
6 E(Xi,Xi ⊕ Hi-1)⊕ Xi⊕ Hi-1 7 E(Xi, Hi-1)⊕ Xi⊕ Hi-1 8 E(Xi,Xi ⊕ Hi-1)⊕ Hi-1 9 E(Xi ⊕ Hi-1, Xi)⊕ Xi⊕ 10 E(Xi ⊕ Hi-1, Hi-1)⊕ Hi-1 11 E(Xi ⊕ Hi-1, Xi)⊕ Hi-1 12 E(Xi ⊕ Hi-1, Hi-1)⊕ Xi
Bảng 3. Danh sách của 12 l−ợc đồ an toàn cho hàm băm một chiều dựa trên mã khối và feeforward.
Hình 2. Cấu hình an toàn cho hàm băm một chiều dựa trên mã khối và feedforward
E
Trong bài báo đầy đủ, 12 l−ợc đồ này sẽ đ−ợc so sánh một cách chi tiết hơn dựa trên tính tổn th−ơng đối với tấn công điểm bất định, các tấn công dựa trên tính yếu của mã khối nằm trong (trong tr−ờng hợp này là DES), và tấn công vi sai [2]. Tính hiệu quả của chúng cũng đ−ợc so sánh. Các kết quả chính đ−ợc tổng kết ở Bảng 4: cột 5 là đầu ra của hàm vòng nếu khoá là khoá yếu và bản rõ là một trong các điểm bất định t−ơng ứng, cột 6 là √ nếu ng−ời ta có thể khai thác tính chất bù
(complementation), cột cuối cùng chỉ ra xem biến nào cần đ−ợc thay đổi nếu tấn công vi sai cùng với khoá cố định đ−ợc sử dụng. ( ng−ời ta có thể nghĩ về tấn công vi sai đối ngẫu, khi bản rõ đ−ợc cố định và sai khác khoá đã cho đ−ợc áp dụng; điều này không đ−ợc xem xét ở đây).
fixed points properties if E=DES no.
Xi Hi-1 rate R Kw compl.
differential attack 1 - - 1 0 √ Xi 2 - - 1 0 √ Xi 3 - - 1 Kw - Xi 4 - - 1 Kw - Xi 5 K D(K,0) n/k 0 √ Hi-1 6 K D(K,K) ⊕ K n/k 0 √ Hi-1 7 K D(K,K) n/k Kw - Hi-1 8 K D(K,0) ⊕ K n/k Kw - Hi-1 9 D(K,K) D(K,K) ⊕K 1 0 √ Xi, Hi-1 10 D(K,0)⊕K D(K,0) n/k 0 √ Hi-1 11 D(K,0) D(K,0)⊕K 1 Kw - Xi, Hi-1 12 D(K,K)⊕ K D(K,K) n/k Kw - Xi, Hi-1
Bảng 4. Các tính chất của 12 l−ợc đồ an toàn: các điểm bất động, các tính chất nếu DES đ−ợc sử dụng nh− mã khối ở trong,
Nếu k ≠ n, câu hỏi đặt ra là khả năng sử dụng các biến Xi và Hi-1 có độ dài max(n,k) để tối đa hoá mức độ an toàn. ý t−ởng là các bít không đ−ợc sử dụng trong khoá hoặc nh− là bản rõ cần ảnh h−ởng đến đầu ra thông qua một số EXOR. Khẳng định sau chỉ ra rằng điều đó là không thể đối với hàm băm tuân theo mô hình tổng quát của chúng ta; nó đ−ợc chứng minh trong bài báo đầy đủ.
Khẳng định 1: Mức an toàn của hàm băm 1 chiều đ−ợc xác định bởi số nhỏ nhất giữa k và n, trong đó k là độ dài của khoá còn n là độ dài khối.