Xây dựng tấn công khôi phục khóa trong O(2^(n/2))

Tôi phải xây dựng một cuộc tấn công khôi phục khóa trên mã hóa khóa đối xứng bằng cách sử dụng hoán vị đã biết công khai $\Pi$ Trong $O(2^\frac{n}{2})$ thời gian sử dụng $2^\frac{n}{2}$ truy vấn đến một tiên tri mã hóa.

Việc mã hóa được thực hiện như $ \Pi ( m \oplus K) \oplus K $, ở đâu $K$ là chìa khóa. Cả hai $m$ và $K$ thuộc về ${0, 1}^{n}$

Tôi không biết làm thế nào tôi có thể sử dụng các truy vấn để thực hiện cuộc tấn công khôi phục khóa trong thời gian đó. Tôi có thể kiểm tra dự đoán của mình dựa trên đầu ra của các truy vấn cho $2^\frac{n}{2}$ của họ. Nhưng làm cách nào để khôi phục khóa thành công?

Thực sự cần một số giúp đỡ ở đây.

Chà, bạn đã nói rằng đây là một "vấn đề thực hành"; do đó bạn phải học hỏi từ nó, vì vậy tôi sẽ không cung cấp cho bạn câu trả lời.

Tôi sẽ cho bạn một gợi ý: bạn có $E_k(M) = \Pi(M \oplus K) \oplus K$; giả sử bạn đã xác định $F_k(M) = E_k(M) \oplus E_k(M \oplus 1)$, và được xác định thêm $G$ như vậy mà $F_k(M) = G( M \oplus K )$ (và vâng, như vậy $G$ tồn tại độc lập với $K$). Làm thế nào bạn có thể sử dụng nó để khôi phục khóa?