密码分析（二）：线性密码分析

​

在1993年欧洲密码年会上，日本学者Matsui提出对DES算法的一种新的攻击方法，即线性密码分析。
与差分密码分析不一样的是，线性密码分析属于已知明文攻击，它通过研究明文和密文之间的线性关系来恢复密钥。目前线性密码分析和差分密码分析已经成为了攻击迭代型分组密码最为典型的两种方法。

一、已知明文攻击（known-plaintext attack）

密码分析者不仅可以得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对使用相同密钥加密的任何消息进行解密。

已知： $P_1,C_1=E_k(P_1),P_2,C_2=E_k(P_2),...,P_i,C_i=E_k(P_i)$

推导出：密钥$K$，或从$C_{i+1}=E_k(P_{i+1})$推导出$P_{i+1}$的算法。

二、线性密码分析基本原理

线性密码分析属于已知明文攻击方法，它通过寻找明文和密文之间的一个“有效”的线性逼近表达式，将分组密码与随机置换分开，并在此基础上进行恢复密钥攻击。

这部分内容会涉及到很多的定义，如果觉得难以读下去的小伙伴，可以先读下面一部分，当下面需要到上面的定义的时候，再返回来看一下，会读起来没有那么的难。或者参考《分组密码的攻击方法与实例分析》（李超 孙兵 李瑞林 著）这本书。

定义2.1（内积） 设 ( a , b ) ∈ { 0 , 1 } n , a = ( a 1 , a 2 , ⋯   , a n ) , b = ( b 1 , b 2 , ⋯   , b n ) (a,b) \in \{0,1\}^n,a=(a_1,a_2,\cdots ,a_n),b= (b_1,b_2,\cdots,b_n) (a,b)∈{0,1}n,a=(a1​,a2​,⋯,an​),b=(b1​,b2​,⋯,bn​)，向量$a$和$b$的内积定义为$a\cdot b=\stackrel{n}{\underset{i=1}{\oplus }}{a}_i\cdot b_i$，其中，$a_i\cdot b_i$表示比特$a_i$和$b_i$的与运算，即二元域的乘法运算。

定义2.2（线性掩码） 设 X ∈ { 0 , 1 } n , X X \in \{0,1\}^n,X X∈{0,1}n,X的线性掩码定义为某个向量 Γ X ∈ { 0 , 1 } n \Gamma X \in \{0,1\}^n ΓX∈{0,1}n，$\Gamma X$和$X$的内积$\Gamma X\cdot X$代表$X$某些分量的线性组合，即$\Gamma X\cdot X=\underset{i,\Gamma X_i=1}{\oplus }{X}_i$。

定义2.3（线性逼近表达式） 设迭代分组密码的轮函数为$F(x,k)$，给定一对线性掩码$(\alpha ,\beta )$，称$\alpha \cdot x\oplus \beta \cdot F(x,k)$为$F(x,k)$的线性逼近表达式，同样称$\alpha \cdot x\oplus \beta \cdot E(x,k)$为分组密码$E(x,k)$的线性逼近表达式。

假设 p ( α , β ) = P r o b X , K { α ⋅ X = β ⋅ F ( X , K ) } p(\alpha,\beta)=\underset{X,K}{Prob}\{\alpha\cdot X = \beta \cdot F(X,K) \} p(α,β)=X,KProb​{α⋅X=β⋅F(X,K)}，则$p$表示线性逼近表达式$(\alpha ,\beta )$，称$\alpha \cdot x\oplus \beta \cdot F(x,k)=0$的概率。在线性密码分析中一般采用偏差、相关性或势的概念来描述线性逼近表达式的概率特性，依次定义为
$$\begin{gathered} {\epsilon }_F(\alpha ,\beta )=p(\alpha ,\beta )-\frac{1}{2} \\ Co{r}_F(\alpha ,\beta )=2p(\alpha ,\beta )-1 \\ Po{t}_F(\alpha ,\beta )=(p(\alpha ,\beta )-\frac{1}{2}{)}^2 \end{gathered}$$

由于，我们的机器内部都是以二进制存储的，所以这些定义呢，是对于二进制 即二元域上的定义。

三、实例

能读到这里的小伙伴非常的厉害了。返回去看了一下，我觉得呢，嗯~，有点难理解。但是，这些都是很有必要的，我们的分析是需要用到他们的，所以，你懂的。

了解了线性密码分析的基本原理，我相信大部分人也跟我一样似懂非懂，很虚，感觉一点儿也不连贯，不是很好理解，那么接下来我就使用S盒来讲解一下线性分析方法。

依然使用我在差分密码分析中用到的S盒，还是给大家放出来。

$x$	0	1	2	3	4	5	6	7	8	9
$S[x]$	2	6	8	7	1	4	9	5	3	0

3.1 S盒线性逼近表

Matsui对DES算法进行线性分析的关键在于观察到由S盒导出的线性逼近表达式的偏差特性，并给出了线性逼近表的概念。
定义3.1（S盒的线性逼近表） 设$m,n\in N$，从$F_2^m$到$F_2^n$的非线性映射（也称为S盒）记为$S：F_2^m\to F_2^n$ 。给定$\alpha \in F_2^m,\beta \in F_2^n$，定义 I N S ( α , β ) = { x ∈ F 2 m : α ⋅ x = β ⋅ S ( x ) } , N S ( α , β ) = # I N S ( α , β ) . IN_S(\alpha,\beta) = \{x \in F_2^{m}: \alpha \cdot x = \beta \cdot S(x) \},\\ N_S(\alpha, \beta) = \#IN_S(\alpha,\beta). INS​(α,β)={x∈F2m​:α⋅x=β⋅S(x)},NS​(α,β)=#INS​(α,β).

由于我们的S盒不是使用二进制，在FSE 2006上，Granboulan等人¹定义了当分组不是比特串时的一个通用的框架。使用到的符号表示的含义：

Σ               数字集合 { 0 , 1 , 2 , ⋯   , N − 1 } \Sigma \ \ \ \ \ \ \ \ \ \ \ \ \ \ \text{数字集合} \{0,1,2,\cdots,N-1\} Σ              数字集合{0,1,2,⋯,N−1}
$N\text{数字集合的大小}|\Sigma |$
定义3.2 （分布向量即线性逼近）
Λ 0 ( S ) { a , b } = ( # { x ∈ Σ ∣ ⟨ a , b ∣ x , S ( x ) ⟩ = u } ) u ∈ { Z } , w h e r e ⟨ a , b ∣ x , y ⟩ = ⟨ a ∣ x ⟩ − ⟨ b ∣ y ⟩ \Lambda _0(S)_{\{a,b\}}=(\# \{x \in \Sigma | \langle a,b|x,S(x) \rangle =u\})_{u \in \{Z\}},where \langle a,b|x,y \rangle = \langle a|x \rangle - \langle b|y \rangle Λ0​(S){a,b}​=(#{x∈Σ∣⟨a,b∣x,S(x)⟩=u})u∈{Z}​,where⟨a,b∣x,y⟩=⟨a∣x⟩−⟨b∣y⟩ $$⟨a,x⟩表示a和x的标量积$$

定义 3.3 随机行为
$$f_{a,b;u}=\frac{1}{N}\#(x,y)\in \Sigma \times \Sigma |⟨a,b|x,y⟩=u$$

偏差表示为S盒和随机情况的行为差异

定义3.4 偏差
$${\Lambda }_S(S{)}_{a,b;u}={\Lambda }_0(S{)}_{a,b;u}-f_{a,b;u}$$

最高偏差度量了S盒的非线性度。
所以利用偏差概念来刻画线性密码分析。
当$u=0$时，代码如下：

% Matlab
function [Lambda_S,N,f] = linear_attack()
S = [2 6 8 7 1 4 9 5 3 0];
for u = 0:9
    N =  Lambda_0(S,u);
    f = fabu(u);
    Lambda_S = N - f;
end

function N = Lambda_0(S,u)
for i = 1:10                            % a
    for j = 1:10                        % b
        n = 0;
        for x = 1:10                    % x 
            
                if mod((i-1)*(x-1) -(j-1)*S(x),10) == u
                     n = n + 1;
                end
           
        end
        N(i,j) = n; 
    end
end

function f = fabu(u)
for i = 1:10                            % a
    for j = 1:10                        % b
        n = 0;
        for x = 1:10                    % x 
            for y = 1:10                % y                
                if mod((i-1)*(x-1) - (j-1)*(y-1),10) == u
                    n = n + 1;
                end
            end
        end
        N(i,j) = n / 10; 
    end
end
f = N;

二进制可以构造出$2^m\times 2^n$的表格，根据我们的S盒，可以构造$10\times 10$线性逼近表。对于二进制来说只有 { 0 , 1 } \{0,1\} {0,1}，这样我们对于 Λ 0 ( S ) { a , b } ， f a , b ; u ， Λ S ( S ) { a , b , u } = Λ 0 ( S ) { a , b } − f a , b ; u \Lambda _0(S)_{\{a,b\}} ，f_{a,b;u}，\Lambda _S(S)_{\{a,b,u\}}=\Lambda _0(S)_{\{a,b\}} - f_{a,b;u} Λ0​(S){a,b}​，fa,b;u​，ΛS​(S){a,b,u}​=Λ0​(S){a,b}​−fa,b;u​能够运行出10个，如下图所示。

从偏差${\Lambda }_S$我们可以看出最大的偏差为$\frac{2}{10}$，即$2^{-2.31}$。
如果这个偏差大于0，表明$(\alpha \cdot x)-(\beta \cdot S(x))(\mathrm{m}\mathrm{o}\mathrm{d}10)=u$的可能性大，如果这个偏差小于0，表明$(\alpha \cdot x)-(\beta \cdot S(x))(\mathrm{m}\mathrm{o}\mathrm{d}10)\ne u$的可能性大。

3.2 例题分析

攻击的关键是首先寻找明文和密文之间的一个有效的线性逼近表达式。
S盒的线性逼近表，实际上是研究随机输入$x$，经过S盒作用后得到的 $S(x)$ ，输入掩码$\alpha$所确定的$\alpha \cdot x$ 和输出掩码$\beta$所确定的 $\beta \cdot S(x)$ 之间的符合率。

3.2.1 分析算法的过程

明文为$x$，密钥为$k=(k_1,k_2)$，密文为$y$，进行运算，$$\begin{gathered} x_1=x,z_1=x_1+k_1 \\ {x}_2=S(z_1),z_2=x_2+k_2 \\ y=z_2 \end{gathered}$$

根据上面，我们可以知道
$$\begin{gathered} x=z_1-k_1 \\ {x}_2=y-k_2 \end{gathered}$$ 所以，对于任意的$(\alpha ,{\beta }_1,{\beta }_2,\beta )$，都有$$\begin{gathered} \alpha \cdot x=\alpha \cdot z_1-\alpha \cdot k_1 \\ \beta \cdot x_2=\beta \cdot y-\beta \cdot k_2 \end{gathered}$$ 对于中间的S盒，如果$$\begin{gathered} \alpha \cdot z_1-\beta \cdot x_2=u \\ \text{即}\alpha \cdot z_1=\beta \cdot x_2+u \end{gathered}$$ 则可以知道$$\alpha \cdot x-\beta \cdot y=u-\beta \cdot k_2-\alpha \cdot k_1$$其中 u ∈ { 0 , 1 , 2 , ⋯   , 9 } u \in \{0,1,2,\cdots,9\} u∈{0,1,2,⋯,9}

3.2.2 攻击过程

加密

现在假设所采用的密钥是$k_1=4,k_2=8$，加密过程如下：
若已知一对明文输入为$x_1=1$和$x_1^{\ast }=5$，则加密流程为
$$\begin{gathered} x_1=1,z_1=x_1+k_1=5,x_2=S(z_1)=4,y_1=x_2+k_2=2 \\ {x}_1^{\ast }=5,z_1^{\ast }=x_1^{\ast }+k_1=9,x_2^{\ast }=S(z_2^{\ast })=0,y_2^{\ast }=x_2^{\ast }+k_2=8 \end{gathered}$$

攻击分析

从上面我们可以看出来，需要两个子密钥。所以我们至少需要两个掩码对（我是这么觉得的，为什么至少呢，请往下看）。

根据S盒的线性逼近表，假设掩码对$(\alpha ,\beta )=(1,3),(2,4)$时
$$\begin{gathered} {\Lambda }_0(S{)}_{(1,3;0)}=0,{\epsilon }_{(1,3;0)}=-1,{\Lambda }_0(S{)}_{(2,4;0)}=0,{\epsilon }_{(2,4;0)}=-2 \\ {\Lambda }_1(S{)}_{(1,3;1)}=1,{\epsilon }_{(1,3;1)}=0,{\Lambda }_1(S{)}_{(2,4;1)}=0,{\epsilon }_{(2,4;1)}=0 \\ {\Lambda }_2(S{)}_{(1,3;2)}=2,{\epsilon }_{(1,3;2)}=1,{\Lambda }_2(S{)}_{(2,4;2)}=2,{\epsilon }_{(2,4;2)}=0 \\ {\Lambda }_3(S{)}_{(1,3;3)}=2,{\epsilon }_{(1,3;3)}=1,{\Lambda }_3(S{)}_{(2,4;3)}=0,{\epsilon }_{(2,4;3)}=0 \\ {\Lambda }_4(S{)}_{(1,3;4)}=1,{\epsilon }_{(1,3;4)}=0,{\Lambda }_4(S{)}_{(2,4;4)}=4,{\epsilon }_{(2,4;4)}=2 \\ {\Lambda }_5(S{)}_{(1,3;5)}=0,{\epsilon }_{(1,3;5)}=-1,{\Lambda }_5(S{)}_{(2,4;5)}=0,{\epsilon }_{(2,4;5)}=0 \\ {\Lambda }_6(S{)}_{(1,3;6)}=0,{\epsilon }_{(1,3;6)}=-1,{\Lambda }_6(S{)}_{(2,4;6)}=1,{\epsilon }_{(2,4;6)}=-1 \\ {\Lambda }_7(S{)}_{(1,3;7)}=0,{\epsilon }_{(1,3;7)}=-1,{\Lambda }_7(S{)}_{(2,4;7)}=0,{\epsilon }_{(2,4;7)}=0 \\ {\Lambda }_8(S{)}_{(1,3;8)}=1,{\epsilon }_{(1,3;8)}=0,{\Lambda }_8(S{)}_{(2,4;8)}=3,{\epsilon }_{(2,4;8)}=1 \\ {\Lambda }_9(S{)}_{(1,3;9)}=3,{\epsilon }_{(1,3;9)}=2,{\Lambda }_9(S{)}_{(2,4;9)}=0,{\epsilon }_{(2,4;9)}=0 \end{gathered}$$

掩码对$(\alpha ,\beta )=(1,3),(2,4)$，可得到2个线性逼近表达式及其相应的概率和偏差：
$$\begin{gathered} A:x-3y=u-3k_2-k_1 \\ {p}_{u=0,5,6,7}=0,p_{u=1,4,8}=\frac{1}{10},p_{u=2,3}=\frac{2}{10},p_{u=9}=\frac{3}{10}, \\ {\epsilon }_{u=0,5,6,7}=-\frac{1}{10},{\epsilon }_{u=1,4,8}=0,{\epsilon }_{u=2,3}=\frac{1}{10},{\epsilon }_{u=9}=\frac{2}{10} \end{gathered}$$ $$\begin{gathered} B:2x-4y=u-4k_2-2k_1 \\ {p}_{u=0,1,3,5,7,9}=0,p_{u=6}=\frac{1}{10},p_{u=2}=\frac{2}{10},p_{u=4}=\frac{4}{10},p_{u=8}=\frac{3}{10} \\ {\epsilon }_{u=0}=-\frac{2}{10},{\epsilon }_{u=1,2,3,5,7,9}=0,{\epsilon }_{u=4}=\frac{2}{10},{\epsilon }_{u=6}=-\frac{1}{10},{\epsilon }_{u=8}=\frac{1}{10} \end{gathered}$$
从线性逼近表中可以看到，当掩码对为$(1,3)$时， u ∈ { 0 , 2 , 3 , 4 , 5 , 9 } u \in \{0,2,3,4,5,9\} u∈{0,2,3,4,5,9}，同理，当掩码对为$(2,4)$时， u ∈ { 2 , 4 , 6 , 8 } u \in \{2,4,6,8\} u∈{2,4,6,8},所以对于$A$逼近表达式，至少需要6个明密文对，才能确定$u$的取值，对于$B$逼近表达式，至少需要4个明密文对，才能确定$u$的取值。

对于每一个逼近表达式，知道了$u$的取值，可以建立出密钥的一个方程，我们只有两个子密钥，所以需要建立2个方程，我们通过解方程就可以获得$k_1,k_2$的值。

具体过程

已知明密文对$(x,y)=(1,2),(5,8)$,
$$\begin{gathered} A:x-3y=u-3k_2-k_1 \\ 1-3\times 2=5=u_1-3k_2-k_1,i.e.3k_2+k_1=u_1-5 \\ 5-3\times 8=1=u_2-3k_2-k_1,i.e.3k_2+k_1=u_2-1 \\ i.e.3k_2+k_1=u_1-5=u_2-1 \end{gathered}$$ u 1 , u 2 ∈ { 0 , 2 , 3 , 4 , 5 , 9 } u_1,u_2 \in \{0,2,3,4,5,9\} u1​,u2​∈{0,2,3,4,5,9}，当$u_1=0$时， u 2 = 6 ∉ { 0 , 2 , 3 , 4 , 5 , 9 } u_2 = 6 \notin \{0,2,3,4,5,9\} u2​=6∈/​{0,2,3,4,5,9},所以$u_1\ne 0$，同理，我们可以求出来，$u_1=3,u_2=9$只有这一个成立，所以$3k_2+k_1=8$
我们可以看到， 只用一个掩码对和2对明密文对，还不能破解，因为有2个未知数，1个方程，所以使用另外一个线性表达式，同理，对于$B$
$$\begin{gathered} B:2x-4y=u-4k_2-2k_1 \\ 2\times 1-4\times 2=4=u_3-4k_2-2k_{1}i.e.4k_2+2k_1=u_3-4 \\ 2\times 5-4\times 8=8=u_4-4k_2-2k_{1}i.e.4k_2+2k_1=u_4-8 \\ i.e.4k_2+2k_1=u_3-4=u_4-8 \end{gathered}$$ u 3 , u 4 ∈ { 2 , 4 , 6 , 8 } u_3,u_4 \in \{2,4,6,8\} u3​,u4​∈{2,4,6,8}，当$u_3=2$时， u 4 = 6 ∈ { 2 , 4 , 6 , 8 } u_4 = 6 \in \{2,4,6,8\} u4​=6∈{2,4,6,8},当$u_3=4$时， u 4 = 8 ∈ { 2 , 4 , 6 , 8 } u_4 = 8 \in \{2,4,6,8\} u4​=8∈{2,4,6,8},当$u_3=6$时， u 4 = 0 ∉ { 2 , 4 , 6 , 8 } u_4 = 0 \notin \{2,4,6,8\} u4​=0∈/​{2,4,6,8},当$u_3=8$时， u 2 = 2 ∈ { 2 , 4 , 6 , 8 } u_2 = 2 \in \{2,4,6,8\} u2​=2∈{2,4,6,8},
所以$u_3\ne 6$，我们可以求出来，$(u_3,u_4)=(2,6),(4,8),(8,2)$所以对B线性逼近表达式，只用两个明文无法确定出一个方程，需要更多的明密文对来确定$u_3,u_4$的值。目前，$4k_2+2k_1=8,0,4$

使用（7,4），可以得出$$\begin{gathered} 2\times 7-4\times 4=8=u_5-4k_2-2k_1 \\ 4k_2+2k_1=u_3-4=u_4-8=u_5-8 \end{gathered}$$ 所以这个明密文对和明密文对$(5,8)$达到了一样的效果。继续选取明密文对$(6,0)$,可以得出$$\begin{gathered} 2\times 6-4\times 0=2=u_5-4k_2-2k_1 \\ 4k_2+2k_1=u_3-4=u_4-8=u_5-2 \end{gathered}$$ 得出$(u_3,u_4,u_5)=(4,8,2),(8,2,6)$则$4k_2+2k_1=0,4$，继续选取明密文对$(8,6)$,可以得出$$\begin{gathered} 2\times 8-4\times 6=2=u_6-4k_2-2k_1 \\ 4k_2+2k_1=u_3-4=u_4-8=u_5-2=u_6-2 \end{gathered}$$ 和$(6,0)$达到了一样的效果。继续选取明密文对$(9,5)$,可以得出$$\begin{gathered} 2\times 9-4\times 5=2=u_6-4k_2-2k_1 \\ 4k_2+2k_1=u_3-4=u_4-8=u_5-2=u_6-8 \end{gathered}$$ 和$(5,8),(7,4)$达到了一样的效果。继续选取明密文对$(0,9)$,可以得出$$\begin{gathered} 2\times 0-4\times 9=6=u_6-4k_2-2k_1 \\ 4k_2+2k_1=u_3-4=u_4-8=u_5-2=u_6-6 \end{gathered}$$ 得出$(u_3,u_4,u_5,u_6)=(4,8,2,6)$则$4k_2+2k_1=0$，故$$\begin{gathered} 3k_2+k_1=8 \\ 4k_2+2k_1=0 \end{gathered}$$
求出$k_1=4,k_2=8$ ,攻击成功。

总结

大家如果理解了本文的线性分析方法，那么就可以对DES和AES的S盒进行线性分析，进而对整个算法进行线性分析，非常期待大家一起交流，共同学习。欢迎各位小伙伴能够评论转发。

由于公式太多，不可避免地会出现一些错误，如果大家发现了，欢迎大家评论，我看到了会及时做出修改。

参考文献

---

1. Granboulan, L., Levieil,´E., Piret, G.: Pseudorandom permutation families overabelian groups. In: Robshaw, M. (ed.) FSE 2006. LNCS, vol. 4047, pp. 57–77.Springer, Heidelberg (2006). doi:10.1007/11799313_5
   ​ ↩︎