Pull to refresh

Comments 4

Спасибо. Единственный вопрос начинающего криптографа. Взлом основан на слабой функции перестановки в sbox'e, из-за чего SubBytes имеет простой линейный вид. А в случае, если бы это был «true sbox», как бы изменилась выходная функция для P[i]?
«Родной» S-box AES'а опеределен, как композиция двух преобразований:
  1. Взятие мультипликативного обратного от полинома 7-й степени с коэффициентами из преобразуемого входного байта над GF(2^8) («00» переходит сам в себя).
  2. Собственно аффинное преобразование такого же вида, как рассмотрено в статье (с другими матрицей M и смещением v, разумеется).

Поэтому с «тру подстановкой» однораундовое преобразование имело бы вид отображения
w |-> Mw^{-1} + v + ki. Из-за «накопления» (-1)-й степени для 15-ти раундового преобразования становится невозможным получение простой конечной формулы для Pi.

В этом и заключается роль хорошего S-box'а: из-за вносимой нелинейности атакующему не удастся свести шифр к простому уравнению / системе уравнений.
Еще раз спасибо. Хотелось бы еще, конечно, узнать, как получили матрицу М, но это уже чисто техническая сторона. Вообще, побольше бы таких статей тут.
AES — в названии это для рекламы?
Sign up to leave a comment.

Articles