Tôi đang cố gắng hiểu cuộc tấn công DS-MITM trên AES (Bản gốc). Đặc biệt là bộ phân biệt 4 vòng của Gilbert và Minier (phần 3).
Tôi hiểu ý cơ bản là chúng tôi kiểm tra chính xác byte đầu vào và byte khóa nào là mục nhập đầu tiên của Trạng thái AES sau ba vòng $C_{11}^{(3)}$ phụ thuộc. Vì vậy, chúng tôi có một chức năng
$f: a_{11} \longrightarrow C_{11}^{(3)}$
(ở đâu $a_{11}$ là byte văn bản gốc đầu tiên) được xác định hoàn toàn bởi 9 giá trị một byte {$c_1,\ldots,c_8,K_{11}^{(3)}$}.
Bây giờ tôi hoàn toàn không hiểu làm thế nào điều này được sử dụng để xác định điểm phân biệt cho AES 4 vòng. Nó nói rằng ý tưởng cơ bản là tìm ra sự xung đột của các chức năng này nhưng tôi không thể hiểu làm thế nào điều này đủ cho một bộ phân biệt.
Đề xuất để xác định điểm phân biệt này nêu rõ như sau:
Hãy xem xét một bộ gồm 256 bản rõ trong đó mục nhập $a_{11}$
đang hoạt động và tất cả các mục khác là thụ động. Áp dụng 4 vòng AES cho điều này
bộ. Hãy để chức năng $S^{â1}$ biểu thị nghịch đảo của hộp AES và $k^{(4)}$ chứng tỏ
$0E ·K^{(4)}_{11} + 0B ·K^{(4)}_{21} + 0D ·K^{(4)}_{31} + 09 ·K ^{(4)}_{41} .$
sau đó
$S^{-1}[0E ·C^{(4)}_{11} + 0B ·C^{(4)}_{21} + 0D ·C^{(4)}_{ 31} + 09 · C^{(4)}_{41} +k^{(4)}]$
là một chức năng của $a_{11}$ được xác định hoàn toàn bởi 1 byte khóa và 8 byte phụ thuộc vào khóa và các mục thụ động. Như vậy,
$0E ·C^{(4)}_{11} + 0B ·C^{(4)}_{21} + 0D ·C^{(4)}_{31} + 09 ·C ^{(4)}_{41}$
là một chức năng của $a_11$ được xác định hoàn toàn bởi 10 byte không đổi.
Vì vậy, câu chuyện dài ngắn, tôi có 2 câu hỏi:
- Chức năng này ở đâu với các hệ số $0E, 0B$, vv đến từ đâu?
- Thuộc tính này xác định điểm phân biệt trên AES như thế nào?
Chỉnh sửa: Về câu hỏi 1, phát hiện ra rằng nó xuất phát từ đa thức nghịch đảo xác định MixColumns.
