密码分析（二）：线性密码分析

​

在1993年欧洲密码年会上，日本学者Matsui提出对DES算法的一种新的攻击方法，即线性密码分析。
与差分密码分析不一样的是，线性密码分析属于已知明文攻击，它通过研究明文和密文之间的线性关系来恢复密钥。目前线性密码分析和差分密码分析已经成为了攻击迭代型分组密码最为典型的两种方法。

一、已知明文攻击（known-plaintext attack）

密码分析者不仅可以得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对使用相同密钥加密的任何消息进行解密。

已知： $P_1,C_1=E_k(P_1),P_2,C_2=E_k(P_2),...,P_i,C_i=E_k(P_i)$

推导出：密钥$K$，或从$C_{i+1}=E_k(P_{i+1})$推导出$P_{i+1}$的算法。

二、线性密码分析基本原理

线性密码分析属于已知明文攻击方法，它通过寻找明文和密文之间的一个“有效”的线性逼近表达式，将分组密码与随机置换分开，并在此基础上进行恢复密钥攻击。

这部分内容会涉及到很多的定义，如果觉得难以读下去的小伙伴，可以先读下面一部分，当下面需要到上面的定义的时候，再返回来看一下，会读起来没有那么的难。或者参考《分组密码的攻击方法与实例分析》（李超 孙兵 李瑞林 著）这本书。

定义2.1（内积） 设 ( a , b ) ∈ { 0 , 1 } n , a = ( a 1 , a 2 , ⋯   , a n ) , b = ( b 1 , b 2 , ⋯   , b n ) (a,b) \in \{0,1\}^n,a=(a_1,a_2,\cdots ,a_n),b= (b_1,b_2,\cdots,b_n) (a,b)∈{ 0,1}n,a=(a1​,a2​,⋯,an​),b=(b1​,b2​,⋯,bn​)，向量$a$和$b$的内积定义为$a\cdot b=\stackrel{n}{\underset{i=1}{\oplus }}{a}_i\cdot b_i$，其中，$a_i\cdot b_i$表示比特$a_i$和$b_i$的与运算，即二元域的乘法运算。

定义2.2（线性掩码） 设 X ∈ { 0 , 1 } n , X X \in \{0,1\}^n,X X∈{ 0,1}n,X的线性掩码定义为某个向量 Γ X ∈ { 0 , 1 } n \Gamma X \in \{0,1\}^n ΓX∈{ 0,1}n，$\Gamma X$和$X$的内积$\Gamma X\cdot X$代表$X$某些分量的线性组合，即$\Gamma X\cdot X=\underset{i,\Gamma X_i=1}{\oplus }{X}_i$。

定义2.3（线性逼近表达式） 设迭代分组密码的轮函数为$F(x,k)$，给定一对线性掩码$(\alpha ,\beta )$，称$\alpha \cdot x\oplus \beta \cdot F(x,k)$为$F(x,k)$的线性逼近表达式，同样称$\alpha \cdot x\oplus \beta \cdot E(x,k)$为分组密码$E(x,k)$的线性逼近表达式。

假设 p ( α , β ) = P r o b X , K { α ⋅ X = β ⋅ F ( X , K ) } p(\alpha,\beta)=\underset{X,K}{Prob}\{\alpha\cdot X = \beta \cdot F(X,K) \} p(α,β)=X,KProb​{ α⋅X=β⋅F(X,K)}，则$p$表示线性逼近表达式$(\alpha ,\beta )$，称$\alpha \cdot x\oplus \beta \cdot F(x,k)=0$的概率。在线性密码分析中一般采用偏差、相关性或势的概念来描述线性逼近表达式的概率特性，依次定义为
$$\begin{gathered} {\epsilon }_F(\alpha ,\beta )=p(\alpha ,\beta )-\frac{1}{2} \\ Co{r}_F(\alpha ,\beta )=2p(\alpha ,\beta )-1 \\ Po{t}_F(\alpha ,\beta )=(p(\alpha ,\beta )-\frac{1}{2}{)}^2 \end{gathered}$$

由于，我们的机器内部都是以二进制存储的，所以这些定义呢，是对于二进制 即二元域上的定义。

三、实例

能读到这里的小伙伴非常的厉害了。返回去看了一下，我觉得呢，嗯~，有点难理解。但是，这些都是很有必要的，我们的分析是需要用到他们的，所以，你懂的。

了解了线性密码分析的基本原理，我相信大部分人也跟我一样似懂非懂，很虚，感觉一点儿也不连贯，不是很好理解，那么接下来我就使用S盒来讲解一下线性分析方法。

依然使用我在差分密码分析中用到的S盒，还是给大家放出来。

$x$	0	1	2	3	4	5	6	7	8	9
$S[x]$	2	6	8	7	1	4	9	5	3	0

3.1 S盒线性逼近表

Matsui对DES算法进行线性分析的关键在于观察到由S盒导出的线性逼近表达式的偏差特性，并给出了线性逼近表的概念。
定义3.1（S盒的线性逼近表） 设$m,n\in N$，从$F_2^m$到$F_2^n$的非线性映射（也称为S盒）记为$S：F_2^m\to F_2^n$ 。给定$\alpha \in F_2^m,\beta \in F_2^n$，定义 I N S ( α , β ) = { x ∈ F 2 m : α ⋅ x = β ⋅ S ( x ) } , N S ( α , β ) = # I N S ( α , β ) . IN_S(\alpha,\beta) = \{x \in F_2^{m}: \alpha \cdot x = \beta \cdot S(x) \},\\ N_S(\alpha, \beta) = \#IN_S(\alpha,\beta). INS​(α,β)={ x∈F2m​:α⋅x=β⋅S(x)},NS​(α,β)=#INS​(α,β).

由于我们的S盒不是使用二进制，在FSE 2006上，Granboulan等人¹定义了当分组不是比特串时的一个通用的框架。使用到的符号表示的含义：

Σ               数字集合 { 0 , 1 , 2 , ⋯   , N − 1 } \Sigma \ \ \ \ \ \ \ \ \ \ \ \ \ \ \text{数字集合} \{0,1,2,\cdots,N-1\} Σ              数字集合{ 0,1,2,⋯,N−1}
$N\text{数字集合的大小}|\Sigma |$
定义3.2 （分布向量即线性逼近）
Λ 0 ( S ) { a , b } = ( # { x ∈ Σ ∣ ⟨ a , b ∣ x , S ( x ) ⟩ = u } ) u ∈ { Z } , w h e r e ⟨ a , b ∣ x , y ⟩ = ⟨ a ∣ x ⟩ − ⟨ b ∣ y ⟩ \Lambda _0(S)_{\{a,b\}}=(\# \{x \in \Sigma | \langle a,b|x,S(x) \rangle =u\})_{u \in \{Z\}},where \langle a,b|x,y \rangle = \langle a|x \rangle - \langle b|y \rangle Λ0​(S){ a,b}​=(#{ x∈Σ∣⟨a,b∣x,S(x)⟩=u})u∈{ Z}​,where⟨a,b∣x,y⟩=⟨a∣x⟩−⟨b∣y⟩ $$⟨a,x⟩表示a和x的标量积$$

定义 3.3 随机行为
$$f_{a,b;u}=\frac{1}{N}\#(x,y)\in \Sigma \times \Sigma |⟨a,b|x,y⟩=u$$