Đang chuẩn bị nút TẢI XUỐNG, xin hãy chờ
Tải xuống
Kết quả sau đây là một hệ quả trực tiếp rút ra từ suy luận ở trên. Định lý 3.1 Giả sử Ej và Ej* là hai xâu vào của hộp Sj còn XOR ra của Sj là Cj. Kí hiệu Ej' = Ej ⊕ Ej* . | Vietebooks Nguyễn Hoàng Cương và viết B E J theo cách tương tự. Nếu biết các giá trị Ej và Ej với j nào đó 1 j 8 và giá trị XOR ra của Sj là Cj sj Bj Sj Bj . Khi đó chắc chắn rằng Ej Jj e INj Ej Cj trong đó E j Ej Ej . Giả sử ta xác định tập testj như sau Định nghĩa 3.4. Giả sử Ej và E là các xâu bít độ dài 6 và Cj là xâu bít độ dài 4. Ta định nghĩa testj Ej E C Bj eEj Bj eINJ E C trong đó Ej Ej E Nghĩa là lấy XOR Ej với mỗi phần tử của tập INj Ej Cj . Kết quả sau đây là một hệ quả trực tiếp rút ra từ suy luận ở trên. Định lý 3.1 Giả sửEj và E là hai xâu vào của hộp Sj còn XOR ra của Sj là Cj. Kí hiệu Ej Ej E . Khi đó các bít khoá Jj sẽ nằm trong tập testj Ej Ej Cj . Nhận thấy rằng có đúng Nj Ej Cj xâu bít độ dài 6 trong tập testj Ej Ej Cj giá trị đúng của Jj phải là một trong các khả năng này. Ví dụ 3.2. Giả sử E1 000001 E1 110101 và C1 1101. Vì N1 110100 1101 8 nên có đúng 8 xâu bít trong tập test1 000001 110101 1101 . Từ hình 3.8 ta thấy rằng IN1 110100 1101 1 000110 010000 010110 011100 100010 100100 101000 110010 Bởi vậy test1 000001 110101 1101 000111 010001 010111 011101 100011 100101 101001 110011 . Nếu ta có một bộ ba E1 E1 C1 thứ hai như vậy thì có thể thu được tập test1 thứ hai chứa các giá trị có thể chứa các bít khoá trong J1. Giá trị đúng của J1 phải nằm trong phần giao của hai tập này. Nếu ta có vài bộ ba như vậy thì có thể nhanh chóng xác định được các bít khoá trong J1. Phương pháp đơn giản để làm điều này là tạo một dãy 64 bộ đếm biểu diễn 64 khả năng của 6 bít khoá trong J1 . Bộ đếm sẽ đếm tăng mỗi khi các bít khoá tương ứng xuất Trang 25 Vietebooks Nguyễn Hoàng Cương hiện trong tập test1 với một bộ ba cụ thể. Với t bộ ba ta tin rằng sẽ tìm được bộ đếm duy nhất có giá trị t tương ứng với giá trị đúng của các bít khoá trong J. 3.6.1. Tấn công DES 3 vồng Bây giờ ta xét xem việc ứng dụng các ý tưởng của phần trước trong phép tấn công bản rõ chọn lọc lên một hệ DES 3 vòng. Ta bắt đầu ằng một cặp các bản rõ và bản ma tương ứng L0R0 L0 R0 L3R3 và L3 R3