什么是线性密码分析？

要点：

• 线性密码分析是一种已知的plaintext攻击，用于打破对称键块密码。
• 它利用了密码内部操作的高概率线性近似值。
• 攻击的成功取决于发现具有较高偏见的线性近似值。
• 攻击的复杂性与近似和密码的块大小有关。
• 现代密码设计具有强烈的线性密码分析。

什么是线性密码分析？

线性密码分析是一种功能强大的密码分析技术，用于攻击对称键块密码。与差异密码分析不同，该分析着重于输入和输出之间的差异，线性隐式分析利用了密码内部工作的线性近似。核心思想是找到明文位，密文位和键位之间的线性关系，其概率与1/2明显不同。这种称为偏见的偏差对于攻击的成功至关重要。

线性密码分析如何起作用？

攻击首先要识别密码圆形功能中的线性近似值。这些近似关系通过线性方程将明文位，密文位和钥匙位相关联。目的是找到一个概率明显大于或小于1/2的近似值。偏离1/2（偏差）的偏差越大，攻击就越有效。

利用线性近似：

一旦找到了合适的线性近似，攻击者就会收集许多明文 - 亲密文本对。对于每对，攻击者检查线性近似是否成立。如果近似值的概率与1/2明显不同，则提供有关近似中涉及的关键位的信息。通过从许多对中积累统计数据，攻击者可以估计每个密钥位为0或1的概率。

偏见和攻击复杂性：

线性近似的偏置是确定攻击复杂性的关键因素。较高的偏置转化为成功恢复密钥所需的纯文本含量对。攻击的复杂性还取决于密码的块大小。较大的块尺寸通常会使线性密码分析更具挑战性。

查找线性近似：

找到有效的线性近似是一项非平凡的任务。密码分析家使用包括堆积引理在内的各种技术来构建和分析线性近似。堆积的引理有助于根据其组成近似的偏见来估计复合近似的偏差。这允许构建涵盖密码多个回合的更长近似值。

实际应用和对策：

线性密码分析已成功用于打破几个块密码，尤其是较旧的设计。但是，现代密码设计结合了各种对策，以抵制这种攻击。这些对策通常涉及精心选择的S盒（取代箱）和圆形功能，以最大程度地减少高偏差线性近似值的概率。

分步插图（简化示例）：

让我们考虑一个高度简化的场景来说明基本原则。想象一个带有单个S框和简单键添加的密码。

• 步骤1：找到S-box的线性近似。此近似值将输入位与具有一定偏置的输出位有关。
• 步骤2：将近似值扩展到整个密码。这涉及将S-box近似与关键添加操作相结合。
• 步骤3：收集明文 - 含量对。对越多，准确性就越好。
• 步骤4：测试收集数据的扩展近似值。计算近似值的频率。
• 步骤5：根据观察到的偏差估算键位。与1/2的偏差揭示了有关密钥的信息。

高级技术：

存在更复杂的线性密码分析版本。这些先进的技术可能涉及多个线性近似值，或者考虑密码的多个回合之间的相互作用。他们经常利用统计方法来提高关键恢复的准确性。

数据复杂性的作用：

成功的线性密码分析攻击所需的数据量至关重要。高偏差近似需要更少的数据，而低偏差近似需要明显更多的明文信封对，使攻击计算在计算上昂贵或不可行。

与差分密码分析的比较：

尽管线性和差分密码分析都是强大的技术，但它们的方法有所不同。差异性隐性分析分析了明文及其相应的密文之间差异的传播，而线性密码分析的重点是位之间的线性关系。

现代密码中的阻力：

现代的块密码（如AES（高级加密标准））设计具有对线性密码分析的强烈抗性。设计选择，包括S-box和圆形结构，积极减轻高偏差线性近似的可能性。在标准化过程中执行的严格分析有助于确保抵御此攻击。

常见问题：问：线性和差分密码分析有什么区别？

答：线性密码分析利用了密码操作的线性近似，而差分密码分析检查了输入和输出之间差异的传播。

问：如何设计密码来抵抗线性密码分析？

答：仔细选择S盒，以最大程度地减少高偏差线性近似值，以及精心设计的圆形功能和关键时间表对于电阻至关重要。

问：今天的线性密码分析今天仍然有意义吗？

答：虽然现代密码的设计具有强烈的阻力，但了解线性密码分析对于评估加密系统的安全性仍然很重要。

问：堆积的引理及其在线性密码分析中的作用是什么？

答：堆积引理是一种至关重要的工具，可帮助估计基于单个成分的偏见的组合线性近似的偏差。

问：哪些因素决定了线性密码分析攻击的复杂性？

答：线性近似的偏置，密码的块大小以及可用的明文 - 含量对的数量，都显着影响复杂性。