Phân tích mật mã thống kê. Liệu một trong những thuật toán lập lịch khóa yếu có "đảo ngược" hay loại bỏ từng vòng nội bộ không?

Bối cảnh là mật mã lặp đi lặp lại.

Liên quan đến Phân tích mật mã tuyến tính và vi sai, các phương pháp này dường như làm cho nhà phân tích mật mã có thể thực hiện dự đoán có giáo dục về một phần khóa con (ví dụ: các bit từ khóa vòng cuối cùng). Những gì tôi đang đấu tranh để nắm bắt là làm thế nào thực tế để phá vỡ một mật mã với kiến ​​​​thức đó. Có lẽ người ta có thể lấy được khóa "bẻ khóa" lịch trình khóa hay người ta nên phá vỡ từng vòng nội bộ (khôi phục ngày càng nhiều khóa con một phần)? Cảm ơn.

Điều này sẽ phụ thuộc vào lịch trình chính của thiết kế, nhưng chúng thường là các thuật toán mở rộng tương đối đơn giản.Cụ thể, các khóa vòng ban đầu thường là các bit thực tế của biến mật mã và do đó, việc khôi phục khóa vòng ban đầu sẽ khôi phục các bit đầu tiên của biến mật mã (các bit bổ sung của biến mật mã sau đó có thể được đoán một cách thấu đáo với ít thao tác hơn so với đoán toàn bộ biến mật mã). Lịch trình khóa cũng thường không thể đảo ngược (để khóa vòng trước đó có thể được tính từ khóa vòng hiện tại - điều này cho phép giải mã được thực hiện hiệu quả trong bộ nhớ nhỏ). Điều này có nghĩa là nếu chúng tôi khôi phục tất cả khóa vòng cuối cùng, chúng tôi thường có thể đảo ngược lịch trình khóa để lấy khóa vòng áp chót, khóa vòng trước áp chót, v.v., quay lại khóa vòng ban đầu (thường là biến mật mã chính nó). Ngay cả khi kích thước biến mật mã lớn hơn khóa tròn được khôi phục, các bit bổ sung thường có thể được khôi phục triệt để với ít công việc hơn so với sử dụng hết toàn bộ.

Tất cả những điều trên phụ thuộc vào sự lựa chọn lịch trình chính của nhà thiết kế, nhưng nó áp dụng cho các thiết kế chính như AES, DES, Serpent và Twofish.