DIPLOMOVÁ PRÁCE. Jan Říha. Pokročilé metody lineární kryptoanalýzy. Matematicko-fyzikální fakulta Univerzita Karlova v Praze.

Transkript

1 Memco-fyzálí ful Uverz Krlov v Prze DIPLOMOVÁ PRÁE J Říh Poročlé meody leárí rypolýzy Kedr lgebry Vedoucí dplomové práce: RNDr. Bohuslv Rudolf Sudí progrm: Sudí obor: Mem Memcé meody formčí bezpečos Prh 0

2 N omo mísě bych chěl poděov především vedoucímu mé dplomové práce, RNDr. Bohuslvu Rudolfov, z zdáí ohoo ému, hody sráveé ozulcem z moho příosých rd, erým přspěl vorbě exu. Dále bych rád poděovl celé Memco-fyzálí fulě z posyué zázemí vorbě éo práce. V eposledí řdě bych rád poděovl všem provozovelům ereových sráe s odborým prcem uorům čláů, uvedeých e oc ohoo exu, z posyuí ceých formcí.

3 Prohlšu, že sem uo dplomovou prác vyprcovl smosě výhrdě s použím cových prmeů, lerury dlších odborých zdroů. Beru vědomí, že se mo prác vzhuí práv povos vyplývící ze záo č. /000 Sb., uorsého záo v plém zěí, zemé suečos, že Uverz Krlov v Prze má právo uzvřeí lcečí smlouvy o uží éo práce o šolího díl podle 60 ods. uorsého záo. V... de... podps

4 Název práce: Poročlé meody leárí rypolýzy Auor: J Říh Kedr: Kedr lgebry Vedoucí dplomové práce: RNDr. Bohuslv Rudolf, Národí bezpečosí úřd Absr: V předložeé prác sudueme poročlé meody leárí rypolýzy. Neprve popsueme smoý prcp Msuho leárí rypolýzy, eí záldí dv lgormy Algormus Algormus, pro šfře DES. Dále e popsáo zobecěí leárí rypolýzy vzuící prčí sscá rypolýz. Poé ásledue pohled leárí proxmce přes orelčí mce. Dále se věueme zrychleí Msuho Algormu s použím Rychlé Fourerovy rsformce, zložeém eor crulích mc. N závěr se zbýváme Muldmezoálí rypolýzou, erá používá více leárích proxmcí úplý závěr předládáme vlsí ávrh zrychleí muldmezoálího rozšířeí Algormu pomocí Rychlé Fourerovy rsformce. Klíčová slov: Leárí rypolýz, DES, Msu, úo. Tle: Advced mehods of Ler ryplyss Auhor: J Říh Deprme: Deprme of Algebr Supervsor: RNDr. Bohuslv Rudolf, Nol Secury Auhory Absrc: I he prese wor we sudy dvced mehods of ler cryplyss. A he begg, we descrbe he prcple of Msu s ler cryplyss, he wo bsc lgorhms Algorhm d Algorhm, gs DES cpher. Furher s descrbed geerlzo of ler cryplyss d cosequely prog d sscl cryplyss. The s followed by loo o he ler pproxmos over he correlo mrces. Furhermore, we sudy mproveme of Msu s Algorhm usg Fs Fourer rsform, bsed o crcul mrces heory. Flly we del muldmesol ler cryplyss h uses mulple ler pproxmos d he very ed we propose ow desg of mproveme of muldmesol exeso of Algorhm by usg Fs Fourer rsform. Key words: Ler cryplyss, DES, Msu, c.

5 Obsh Úvod.... Msuho leárí rypolýz Efeví leárí rovce Msuho Algormus Msuho Algormus Sesveí eefevěší rovce Úo s využím Algormu Zobecěá leárí rypolýz.... I/O sum eí mblce.... Úo pomocí Zobecěé leárí rypolýzy Trosložové sumy Možos využí zobecěé leárí rypolýzy Prčí rypolýz Prce prčí páry Imblce Úo pomocí prčí rypolýzy Úspěšos úou Efeví prčí páry Sscá rypolýz Bs veor Experme DES Sscá rypolýz Leárí přísup srováí s Msuho leárí rypolýzou Závěr Korelčí mce Korelčí oefcey Wlshov-Hdmrdov rsformce Korelčí mce Specálí ypy booleovsých zobrzeí Korelčí mce bloových šfer Zlepšeí čsové složos Msuho Leárí rypolýzy Zobecěí Msuho Algormu Zlepšeí Algormu pomocí FFT Zlepšeí Algormu pomocí FFT pro líče číé modulo Tesováí meody šfře Serpe Muldmezoálí leárí rypolýz Obecý prcp Porováváí říd evvlece líčů Průměrý poče prohledávých líčů Muldmezoálí rozšířeí Msuho Algormu... 73

6 7.5 Zs úou Kpc sysému m proxmcí Muldmezoálí rozšířeí Msuho Algormu Expermeálí výsledy Vlsí vylepšeí složos muldmezoálího rozšířeí Algormu Závěr... 8 Sezm Lerury:... 83

7 Úvod Vzem leárí rypolýzy e ro 993, dy vyšel Msuho čláe [] s popsem éo ové meody úou šfry. Jedá se o úo se zlosí oevřeého exu (ow-plex c) šfru DES. Msu v ěm využívá určé orelce mez by oevřeého exu exu šfrového. Nvrhue dv lgormy Algormus Algormus, erým může úočí odhdou určé by líče. To Msuho ech e popsá v prví pole. Druhá pol popsue zobecěí leárí rypolýzy Hrpesem, Krmerem Msseyem [3], eří míso Msuho leáí rovce zváděí zvé I/O (pu/oupu) sumy dále p rosložové sumy. N specálím příldu vlsí osruce šfry demosruí, že mohou exsov šfry odolé vůč leárí rypolýze, eré sou le slbé vůč ech zobecěí. Třeí pol p bízí ávzé zobecěí vrhové Hrpesem Msseyem [4], ový moderí směr leárí rypolýzy zývý prčí rypolýz. Hrpes s Msseyyem zde prcue s rozděleím mož vsupů výsupů do určých podmož. Jech ombce p zývá prcem sesvue z ch prčí páry. P zoumá orelce prčích párů, čemuž s defue dvě míry vrcholovou čvercovou Euledovsou mblc. Ve čvré pole e popsá Vudeyův úo pomocí sscé rypolýzy [5], erý e sce o ěco slbší, ež úo leárí rypolýzou, le eho výhod e, že úočí emusí zá přesé schém šfry. Páá pol e popsem ého pohledu problemu leárích proxmcí o s využím eore orelčích mc, popsou Demeem, Goversem Vdewllem v [6]. V závěru poly e p celá eore plová bloové šfry e zde předvedeo, počí orelce celých ces srze šfru, zemé pro šfry s leruícím líčem. V šesé pole e popsáo poměrě ové, le velce efeví zlepšeí čsové složos Msuho Algormu vržeé ollrdem, Sderem Qusquerem v [8]. Jech zlepšeí e zložeo použí rychlé Fourerovy rsformce výpoču Msuho číčů. Dochází e zlepšeí čsové složos z O( ) O( ), de e poče bů líče, eré se úočí sží odhdou. Posledí sedmá pol předsvue edůležěší z poročlých meod leárí rypolýzy Muldmezoálí rypolýzu. Vycházíme zde z práce Bryuov, De èr Qusquer []. Jde o úo s využím více leárích proxmcí. Auoř popsuí způsob, ým yo proxmce zombov, by dosl efevěší úo, ež př použí edé Msuho elepší leárí proxmce. Defuí míry zv. zs (g) pcu, eré slouží ohodoceí efevy úou.

8 Docházeí zímvému závěru, dy vrdí, že poče pořebých zámých oevřeých exů e epřímo úměrý souču vdráů mblcí edolvých proxmcí. N závěr v osmé pole p předládám vlsí ávrh zrychleí muldmezoálího rozšířeí Algormu z práce [], zložeém využí pozů z poly šes.

9 . Msuho leárí rypolýz. Efeví leárí rovce Msuho úo DES [] pochází z rou 993 edá se záldí ex, erý dl vz moderí formě lámáí symercých šfer - leárí rypolýze. Je o yp úou se zámým oevřeým exem. V určých přípdech, dy oevřeý ex eí áhodý, le eví ěé závslos (př. ASII ód), ho lze použí o úo se zlosí pouze šfrového exu. Záldím problémem leárí rypolýzy e lezeí leárí proxmce dosečého poču rud šfry, erá plí s prvděpodobosí p. Msu zývá efeví leárí rovcí: P [,,..., ] [,,..., b ] K[,,..., c] de,,,...,,,,... b,,,... c zčí určé pozce bů (výběr pomocí vhodě zvoleé msy) P[], [] K[] p zčí XOR součy bů oevřeého exu P, šfrového exu líče K dých pozcích. Tedy prvá levá sr rovce bývá pouze hodo 0 ebo. Úočí se sží urč edolvé by v součech, by áhodý oevřeý ex eho příslušý šfrový ex splňovl uo rovc s prvděpodobosí co evíce odchýleou od edé polovy.. Msuho Algormus Předpoládeme yí, že úočí ž má dspozc hledou efeví leárí rovc. Pomocí Msuho Algormu odhde hodou souču bů líče K,,..., ] (edy 0 ebo ) ásleduícím způsobem: [ c Algormus Vsup: N oevřeých exů m příslušých N exů šfrových Výsup: Odhd XOR souču určých bů líče K,,..., ] [ c ) Nechť T e poče oevřeých exů ových, že prvá sr efeví rovce e rov ule, edy P,,..., ] [,,..., ] 0 [ b ) Je-l T > N (polov zoumých oevřeých exů) p odhd, že 3

10 K [,,..., c ] 0... poud p > K [,,..., c ]... poud p < K [,,..., c ]... poud p > K [,,..., c ] 0... poud p < Úspěšos ohoo lgormu e ím věší, čím více má úočí dspozc zámých oevřeých exů é čím e věší odchyl prvděpodobos p od edé polovy. Rovc s evěší odchylou prvděpodobos p od edé polovy zývá Msu elepší rovcí uo prvděpodobos p p elepší prvděpodobosí. Výše popsým lgormem e úočí schope urč pouze ede b formce líče o K,,..., ]. Oázou vš e, s ou prvděpodobosí e úočí schope [ c eo b líče odhdou. Msu uo prvděpodobos zývá úspěšosí lgormu. Náhodá proměá, že úočí odhdl b K,,..., ] správě má bomcé [ c rozděleí, eré pro velý poče zámých oevřeých exů lze proxmov ormálím rozděleím. Msu předládá ásleduící lemm, podle erého e možé spočí úspěšos Algormu (převzo z []): Lemm: Nechť N e poče dých áhodých oevřeých exů p e prvděpodobos, že plí: P[,,,... ] [,,,... b ] K[,,,... c ]. Nechť odchyl p od edé polovy e dosečá. P úspěšos Algormu e N p e x π dx Msu do svého lgormu dále zhrul ešě úvhu o líč posledí rudy. Vyvořl mohem slěší lgormus, erým e schope odvod více bů líče, Algormus..3 Msuho Algormus Předpoládeme, že úočí má dspozc sesveou elepší rovc pro (-) rud DESu. Nyí se podíveme posledí -ou rudu DES. Tm probíhá šfrováí 4

11 líčem K ve fuc F. Provede-l úočí dešfrováí posledí rudy, dose ásleduící výrz pro ( )-rud DESu: P [,,..., ] [,,..., b ] F ( L, K)[ l, l,..., ld ] K[,,..., c] de F, K ) zčí výsup po dešfrováí spodí (low, prvá polov, vz. obr. ( L íže) polovy šfrového exu L fucí F z použí líče K posledí rudy. To dosává proxmc pro (-) rud, erá by měl podle předpoldu pl s prvděpodobosí p. Poud ovšem úočí zvolí špý líč posledí rudy dešfrue ím, p dose v podsě proxmc po () rudách edy efev (odchyl prvděpodobos, se erou e rovce splě) éo rovce bude zřemě žší. N omo prcpu mxmálí odchyly prvděpodobos, Msu zládá Algormus, pomocí erého určue seě o v předchozím přípdě b K,,..., ], le víc ešě podlíč posledí rudy K : [ c Algormus Vsup: N oevřeých exů m příslušých N exů šfrových Výsup: Odhd XOR souču určých bů líče K,,..., ], odhd podlíče [ c posledí rudy K ) Pro ždého ddá líč posledí rudy K (),,,... echť T () e poče oevřeých exů ových, že P [,,..., ] [,,..., ] F (, K )[ l, l,..., l ] 0 b ) Nechť T mx e mxmálí hodo T m e mmálí hodo přes všech T (). P: L Poud T mx - N > T m - N, poom vyber ddá líč posledí rudy K () odpovídícího dému číč T mx odhd, že: K [,,..., c ] 0... poud p > K [,,..., c ]... poud p < Poud T mx - N < T m - N, poom vyber ddá líč posledí rudy K () odpovídícího dému číč T m odhd, že: K [,,..., c ]... poud p > K [,,..., c ] 0... poud p < d 5

12 .4 Sesveí eefevěší rovce Neěžším roem př sesvováí efevích rovc e leárí proxmce S-boxů, proože právě S-boxy sou edou eleárí rsformcí šfry DES. Msu ve svém čláu zoumá, edolvé by vsupu S-boxu ovlvňuí by výsupu. Kromě edolvých bů zouml XOR součy bů růzých pozcích. Msu úočí pro DESu využívá fu, že DES e posve prcpu Feselov schému. Díy omu se, uvdíme íže, doáže zbv výrzů z prosředích rud. Obráze : Feselovo schém (převzo z []) Přpomeňme, že S-boxy u DESu esou beví fucí, o příld u AES. N vsupu DES S-boxu e šes bů, le výsup voří pouze by čyř. Tových S-boxů e celem 8 (edy 48 bů vsupu rsformuí 3 bů). Msu pro edolvé S- boxy počíl, dy se XOR souče bů vsupu rová XORu bů výsupu př použí růzých vsupích výsupích mse. Tových vsupů by měl bý u deálí šfry polov, edy 3 (možých vsupů e 6 64). Msu vš zsl, že příld u páého S-boxu e př použí vsupí msy výsupí msy ových vsupů pouze. V omo přípdě edy 4.b vsupu (e, co se XORue s ve vsupí msce) páého DES S-boxu odpovídá XOR souču všech (čyř) bů výsupu s prvděpodobosí /64 0,9. Zhruím ešě čeí rudovího líče, expzí permučí rsformce fuce F, p Msu dosává ásleduící rovc, de X zčí áhodě zvoleý vsup fuce F K e ěý fxí líč: X [ 5] F( X, K)[7,8,4,9] K[] erá plí s prvděpodobosí /64. Nyí Msu rozšířl leárí proxmc fuce F ěol rud DESu. 6

13 To demosrue příldu o řech rudách (vz obr. ). Idexy L (low) H (hgh) zčí vždy prvou ebo levou polovu oevřeého šfrového exu (vz obr. ), K líč -é rudy X e vsup fuce F v -é rudě. Použím výše uvedeé proxmce prví rudu dosává Msu rovc X [ 7,8,4,9] PH [7,8,4,9] PL [5] K[] erá plí s prvděpodobosí /64. Př použí posledí (řeí) rudu dosává: X [ 7,8,4,9] H [7,8,4,9] L[5] K3[] To rovce opě plí s prvděpodobosí /64. Obráze : 3-rudový DES (bez úvodí permuce) (obráze vlsí) Sečeí obou rovc vypde čle X [7,8,4,9 ], levé srě bude pouze oevřeý ex odpovídící šfrový ex: PH [ 7,8,4,9] H[7,8,4,9] PL [5] L[5] K [] K3[] To rovce plí s prvděpodobosí (/64) ( - (/64)) 0,70 (obě rovce zároveň plí obě rovce zároveň eplí). Jelož se celou dobu prcovlo s elepší leárí proxmcí fuce F, e o rovce elepší rovcí 3-rudového DESu p 0,70 e elepší prvděpodobosí. N uo rovc se yí použe Msuho Algormus odhduí bu K [] K 3 []. 7

14 Dále Msu uvžue 5-rudovou šfru DES, de uprosřed (druhá čvrá rud) použe opě rovc zísou z chrersy páého S-boxu: X [ 5] F( X, K)[7,8,4,9] K[] rích (prví posledí rud) použe rovc : X [ 7,8,30,3] F( X, K)[5] K[4,43,45,46] zísou z chrers prvího S-Boxu. To rovce plí s prvděpodobosí /64. Sečeím všech 4 rovc p dosává: PL [ 7,8,30,3] X [5] PH [5] K[4,43,45,46] X 3[ 7,8,4,9] PL [7,8,4,9] X [5] K[] X 3[ 7,8,4,9] L [7,8,4,9] X 4[5] K4[] L [ 7,8,30,3] X 4[5] H[5] K5[4,43,45,46] P H[ 5] PL [7,8,4,7,8,9,30,3] H[5] L[7,8,4,7,8,9,30,3] K[ 4,43,45,46] K [] K 4[] K5[4,43,45,46] Ke spočeí prvděpodobos, že o rovce plí, využívá Msu Pllg-up lemm, eré s yí doážeme: Plg-up lemm: Nechť X ( ) sou ezávslé áhodé proměé, ež býví hodoy 0 s prvděpodobosí p hodoy s prvděpodobosí - p. P prvděpodobos, že X X... X 0 e ( p ) Důz (vlsí): Důz provedeme ducí podle poču proměých. Ozčíme p ε udíž q p. ε : Uprveím výrzu z lemmu pro ezávslé proměé dosáváme ( p ) ε ε 8

15 9 Doážeme s yí plos ohoo vzhu. Pro dvě booleovsé proměé e prvděpodobos, že ech XOR e rove ule součem prvděpodobosí. ] Pr[ 0] 0 Pr[ p p p p q q p p X X X X ) ( ) ( ) )( ( ε ε ε ε ε ε : Předpoládeme, že pro ezávslých áhodých booleovsých proměých lemm plí. Vyádříme s yí uo prvděpodobos opě o souče prvděpodobosí ( ) ( ) ( ) ] Pr[ 0] 0 Pr[ p p X X X X ε ε ε ε ε ε ε ε ε ε ε ε ε Z lemmu vychází, že Msuho rovce pro 5-rudový DES plí s prvděpodobosí 0,59 podle Msuho vyádřeí úspěšos, Algormu, poud úočí bude mí dspozc 800 zámých oevřeých exů, dose se úspěšos 97,7%..5 Úo s využím Algormu Msu popsue úo pomocí Algormu příldu 8-rudového DESu. Používá ásleduící leárí rovc, erá o 7-rudová proxmce plí s prvděpodobosí 0,95 : ] )[5, ( [7,8,4,9] [5] [,6] 7,8,4] [ 8 8 K F P P L L H L H [] [] [44] [] 9,3] [ K K K K K Rovce obshue výrz ] )[5, ( 8 8 K F L popsový v pole.3. Jde o výsup fuce F př dešfrováí posledí osmé rudy. Rudoví líč DESu má velos 48

16 bů, le b F L, )[5] e ovlvňová e šes by K[ 4] K[47]. Úočí se 8( K8 udíž v Algormu epoouší odhdou celý rudoví líč, le e ěcho 6 bů, díy čemuž mu sčí mí pouze 6 64číčů T. Rozšířeím výrzu pro úspěšos Algormu (pol.) dosává Msu zímvé výsledy úspěšos vržeého úou pomocí lgormu. Obráze 3: Úspěšos vržeého úou (převzo z []) Z buly e sě vdě, že úspěšos závsí pouze hodoě N p. Z oho vycházeí uoř dlších čláů ýících se leárí rypolýzy. Obecě se uvádí, že úočí pořebue zá O( ε ) N, de ε p oevřeých exů úspěšému úou. Tímo úoem e úočí schope uhodou 7 bů líče (6 z posledí rudy ede o souče). Msu pozmeává, že seý posup lze použí odvozeí bů líče prví rudy, poud uvžueme dešfrováí míso šfrováí. T e schope úočí uhodou ž 4 bů líče. Zbývící by ž může úočí odvod. Msu uvádí prcé výsledy expermeů. U výše uvedeého příldu 8-rudového DESu. elý líč byl schope odvod během 0 seud se zlosí řádově 0 oevřeých exů. Úspěšos byl 88%. Dále ešě zoušel úoč - rudový DES. Zde mu ovýo úo, př erém odvodl celý líč, rvl 50 hod pořebovl zlos řádově 33 oevřeých exů. V posledí čás p Msu uvádí, že poud eí oevřeý ex úplě áhodý má edy určé závslos růzé rozložeí prvděpodobosí hodo určých bů, ebo součů bů, lze pro DES přeí od úou se zámým oevřeým exem úou se zlosí pouze šfrového exu. Uvádí příld ASII ódu. Kód ASII e podle původí defce sedmbový. Osmý b se používá pro pořeby dlších zyů pro rozšířeí zové sdy. Poud e edy oevřeý ex ve sdrdím ASII bez rozšířeí, může úočí předpolád, že ždý osmý b oevřeého exu e rove ule. Poud e edy schope sesv proxmc, obshuící o by oevřeého exu pouze by pozcích 78, de,,... (ešě e řeb uváž počáečí permuc), p epořebue zá oevřeé exy e schope sd úo se zlosí pouze šfrového exu. 0

17 Msu podrobě popsue úo pro DESu v [], de vrhue určé úprvy vedoucí e zrychleí úou. My se vš budeme věov ému, ešě efevěšímu zrychleí Msuho úou, erý bude popsá dále v pole 6.

18 . Zobecěá leárí rypolýz. Hrpes, G. G. Krmer J. L. Mssey (dále e Hrpes) se v [3] sží o zobecěí rozšířeí pozů Msuho leárí rypolýzy []. Msuho leárí rovce sou zobecěy rudoví I/O sumu dále p rudoví rosložovou sumu. Dále sou zoumáy mblce ěcho sum celová mblce př propoeí rudovích sum. Je uázáo, že z určých podmíe lze pro výpoče celové mblce použí Plg-up lemm. N závěr sou uvžováy určé šfry ech bezpečos vůč zobecěé leárí rypolýze. Budeme použív ásleduící zčeí: K (..r) ( ) ( r) ( K,..., K ) bude zč celý šfrovcí líč pro r-rud, erý se sládá z edolvých rudovích líčů K (). X zčí oevřeý ex Y šfrový ex. F K budeme zč rudoví fuc Y () p eí výsupy, edy Y (0) X Y (r) Y. Zímco velým písmey budeme zč áhodé proměé, mlá budou ozčov ech specfcé hodoy (především bude předsvov fxí líč). Dále se předpoládá, že oevřeý ex všechy rudoví líče sou ezávslé, rovoměrě rozděleé. Booleovsou fuc budeme zýv blcovou, poud dává hodou 0 pro přesě edu polovu možých rgumeů ( hodou pro druhou polovu rgumeů).. I/O sum eí mblce Hrpes hrzue Msuho leárí rovc obecěší I/O (pu/oupu) sumou, erou defue ásledově: Defce: I/O sumou S () -é rudy zýváme souče modulo blcové booleovsé fuce f rudovího vsupu Y (-) blcové booleovsé fuce g rudovího výsupu Y (), edy S () : f (Y (-) ) g (Y () ) de zčí sčíáí pomocí XOR. Fuce f g budeme zýv vsupí výsupí fucí I/O sumy S (). I/O sumy po sobě ásleduících rud zýváme propoeé, eslže vsupí fuce ždé ásleduící rudy e shodá s výsupí fucí z předchozí rudy (edy f g - ).

19 Poud e propoeo q po sobě ásleduících sum, p celovou sumu, de díy vyxorováí prosředích čleů zbude e prví posledí čle S (... q) q ( ) (0) ( q) S g0( Y ) g ( q Y ) zýváme mul-rudoví I/O sumou. Msu používl měřeí efevy svých leárích rovc velos odchyly prvděpodobos plos rovce od ½. Hrpes používá velm podobě defovou míru, erou zývá Imblce, eí hodoy se vš pohybuí v uzvřeém ervlu od 0 do (rozdíl od Msuho odchyly, erá e z uzvřeého ervlu -½ ž ½). Defce: Imblcí I(V) booleovsé proměé V (erá bývá hodo 0 ) rozumíme ezáporé reálé číslo Pr[ V 0], ebo evvleě E[V - ], de P[V 0] e prvděpodobos, že V bývá hodoy 0 E[.] zčí sředí hodou. Hrpes dále defue mblc závslou líč I(S (..q) (..q) ) I/O sumy S (..q) o mblc éo sumy z podmíy, že K (..q) (..q), (..q) e edy uálí líč. (..q) I ( S ) zčí průměrou mblc I/O sumy S (..q), erá e sředí hodoou výše zmíěých mblcí závslých líč. I/O sum e efeví, poud má velou průměrou mblc e zručeá, poud e eí průměrá mblce rov (což se př. př použí fxího líče).. Úo pomocí Zobecěé leárí rypolýzy Přepoládá se, že úočí zá N párů oevřeý-šfrový ex (dále zývé o p/c páry), dy oevřeé exy sou vybráy áhodě mí rovoměré rozděleí. Př záldím úou pomocí zobecěé leárí rypolýzy de efeví I/O sumu pro r- rud p se sží odhl rudoví líč posledí rudy. Posup e ásleduící: Úo zobecěou leárí rypolýzou Vsup: N oevřeých exů m příslušých N exů šfrových (p/c - párů) Výsup: Kddá líč posledí rudy (ls) 0) Zvedeme počídlo c[ (ls) ] pro ždý možý líč (ls) posledí rudy provedeme počáečí sveí všech počídel 0. ) Vybereme p/c páry (x,y). 3

20 ) Pro ždý možý líč (ls) provedeme dešfrováí pomocí ohoo líče, ( ls ) edy y F ( ( y) poud g 0 (x) g r- (y (ls) ) 0, zvýšíme hodou ls ) počídl c[ (ls) ] o. 3) Zopueme Kro ) Kro ) pro všechy možé p/c-páry. 4) Výsupem budou všechy líče (ls), eré mí mxmálí hodou počídl c[ (ls) ] N - o sou ddá rudoví líč použý v posledí rudě. Je dobré s uvědom, že poud v Krou ) budeme mí oprvdu líč použý v posledí rudě, p y (ls) bude odpovíd y (r-) rovce g 0 (x) g r- (y (ls) ) 0 bude p odpovíd přípdu, dy se še (r-) rudoví I/O sum rová ule. Proo hodo c[ (ls) ] N bude úměrá mblc ší I/O sumy edy v Krou 4) se edá o výběr pomocí prvdl mxmálí mblce, podobě o u Msuho v předchozí pole. V prx dochází e zrychleí záldího úou využím evvlece líčů. Dv líče, ' sou evvleí, poud g r- (F - '(y)) g r- (F - (y)) c, pro ěé c všech y. V šem přípdě o zmeá, že př použí evvleího líče ' doseme hodou sumy v Krou ) g 0 (x) g r- (y (ls) ) buď poždé seou o př použí líče, ebo vždy opčou (edy míso ul edčy op). Proože záldí úo erozlšue evvleí líče, sčí v Krou ) použí vždy pouze edoho zásupce ždé řídy evvlece. Třídu evvlece, erá obshue líč, použý v posledí rudě, zývá Hrpes správou řídou (rgh clss) eí čley správým líč (rgh eys). Osí řídy evvlece zývá špým řídm (wrog clsses) ech čley p špým líč (wrog eys). Dále Hrpes vrhue ěerá vylepšeí rychlos hledáí líče, o zoušeí líčů v pořdí od ěch s evěší mblcí c[ (ls) ] N, dále p rozděleí p/c-párů exové řídy, dy p/c-páry z edé řídy vždy remeuí seá počídl c[ (ls) ] p edy remeováí počídel pro celé řídy p/c-párů, ebo smuláí určováí líče pro prví posledí rudu. Hypoéz rdomzce př špém líč pro (r-)-rudoví I/O sumu Hrpes se podobě o Msu zbývá oázou prvděpodobos úspěšos zobecěé leárí rypolýzy, erá e defová o prvděpodobos, že výsup lgormu budou voř pouze čleové správé řídy evvlece. Vyslovue hypoézu (Hypoéz rdomzce př špém líč pro (r-)-rudoví I/O sumu), že pro všechy špé líče by měl bý mblce efeví I/O sumy závslé líč př použí výše zmíěého lgormu (edy oby po (r ) rudách) výrzě žší, 4

21 ež mblce éo efeví I/O sumy závslé líč po (r-) rudách (erá odpovídá mblc př použí správého líče). Tedy I(S' (..r-) (..r) ') << I(S (..r-) (..r-) ) de S' (..r-) g 0 (X) g r- (Y (ls) ( ls) ) de Y F ( ( Y). Nvíc vydřue přrozeé očeáví, že pro dobrou šfru by měl mblce mul-rudoví I/O sumy les se vzrůsícím počem rud. N omo záldě sví heorem, ve erém vrdí, že z podmíe plos hypoézy rdomzce př špém líč pro záldí úo odhde lgormus zobecěé leárí rypolýzy správou řídu evvlece s úspěšosí úměrou poču áhodě vybrých p/c-párů, eré má úočí dspozc. ls ).3 Trosložové sumy Všměme s, že se prvděpodobos úspěšos zobecěé leárí rypolýzy odvíí od mblce závslé líč. Úočí le pořebue prcému úou použí mblc, erá bude dobře fugov, ť ž bude líč ýolv. K omu musí využí průměrou mblc. Je ovšem oázou, moc průměrá mblce odpovídá mblcím závslým líč. Ideálí by bylo, dyby byly všechy mblce závslé líčích přblžě seé by průměrá mblce fugovl pro všechy líče přblžě seě dobře. Hypoéz evvlece fxích líčů I/O sum Tuo myšleu vyslovue Hrpes o Hypoézu evvlece fxích líčů I/O sum. T říá, že mblce fxích I/O sum závslé líč sou prcy ezávslé oréím líč (..r-), edy I(S (..r-) (..r-) (..r-) ) I ( S ) pro prcy všechy líče (..r-). J le pozdě příldu uáže, o hypoéz obecě eplí! I přeso e průměrá mblce ceou formcí užečou pro určeí poču slbých líčů. Úočí vš pořebue léz I/O sumy efeví pro prosou věšu (elépe pro všechy) líčů. Je více možosí, erou volí Hrpes prcue s zvou rosložovou sumou. Defce: Trosložovou sumou T () -é rudy e souče modulo ří čleů: blcové booleovsé fuce f rudovího vsupu Y (-), blcové booleovsé 5

22 fuce g rudovího výsupu Y () ěé booleovsé fuce h rudovího líče K (). Tedy T () f (Y (-) ) g (Y () ) h (K () ) Fuce h se zývá fucí líče rosložové sumy. Povšměme s, že prví dv čley rosložové sumy esou čím ým, ež I/O sumou S (). S () se proo zývá rodčovsou I/O sumou pro T (). Př výpočech mblce rosložové sumy se obecě přepoládá, že vsupí fuce fuce líče sou ezávslé mí rovoměré rozděleí. Dále Hrpes zoumá, spolu souvsí rosložová sum eí rodčovsá sum. S použím fu, že bsoluí hodo e ovexí fucí s využím Jeseovy erovos dochází závěru, že (..q) I ( S ) E[T (..q) ] - I(T (..q) ) Přčemž rovos sává pouze v přípdě, že P[T (..q) 0 K (..q) (..q) ] - má seá zmé pro všech (..q). Fuc h zýváme mxmlzuící fucí líče právě ehdy, dyž e erovce splě o rovce. Tyo závěry Hrpes shrue do vrzeí, de defue mxmlzuící fuc líče h mx o: h mx ( (..q) ) 0...poud P[S (..q) 0 K (..q) (..q) ]...dy Poud se edy použe v rosložové sumě uo mxmlzuící fuc, p mblce éo sumy shor ohrčue mblce všech osích rosložových sum, eré mí seou rodčovsou sumu. Nvíc o mxmálí mblce e rov (díy h mx bude pl ve výše uvedeé erovc rovos) průměré mblc příslušé rodčovsé I/O sumy, edy (..q) I ( S ) I((S (..q) ) h mx (K (..q) )) Hrpes dále edoduchém příldu uzue, že poud má propoeé rosložové sumy (ve smyslu propoeí ech rodčovsých I/O sum ) ždá z ch má mxmlzuící fuc líče, p přeso fuce líče celové rosložové sumy (erá e ech součem) emusí bý mxmlzuící. J edy í efeví mul-rudoví rosložovou sumu spočí eí mblc? V deších šfrách e přesý výpoče hodoy mul-rudoví mblce prcy eprovedelý. Hrpes vš uzue, že z určých podmíe můžeme eo problém plov Plg-Up lemm. V řeč rosložových sum ož plí, že mblce souču edolvých rudovích rosložových sum e rov souču ech mblcí, edy 6

23 I q q ( ) ( T ) ( ) I( T ) poud sou yo rosložové sumy ezávslé. Zde Hrpes využívá lemm, eré říá, že máme-l erčí šfru, de sou edolvé rudoví líče ezávslé, poud e ždá rudoví rosložová sum T () ezávslá rudovím vsupu Y (-), p sou yo sumy ezávslé. Oázou e zs, by edolvé rudoví rosložové sumy byly ezávslé. Hrpes uzue, že oho lze dosáhou, poud se zčáu ždé rudy bude vysyov vhodá grupová operce. Defce: I/O sumu zýváme homomorfí, poud vsupí výsupí fuce sou homomorfsmy dé grupové operce. Trosložová sum e homomorfí, poud e homomorfí eí rodčovsá I/O sum. Pozám: V moh šfrách se pomocí grupové operce vládá líč počáu ždé rudy. Hrpes dále uvžue šfru, erá má ásleduící schém Obráze 4: Rudoví fuce v -é rudě používící grupovou operc * (převzo z [3]) K L K R předsvuí levou, respeve prvou čás rudovího líče. Hrpes vrdí, že pro šfru s ovým schémem plí výše zmíěý vzh pro mblc celové q ( ) I T ) q ( ) mul-rudoví rosložové sumy I ( T ) příslušé rodčovsé sumy plí ásleduící vzh: (, což zmeá, že pro I ( S q q (.. q) ( ) ( ) ) I ( S ) I ( T ) A víc bízí ásleduící říroovou proceduru, pro ovouo šfru í poždovou q-rudoví rosložovou sumu: 7

24 Hledáí efeví q-rudoví rosložové sumy Vsup: Rudoví homomorfí rosložové sumy Výsup: efeví q-rudoví rosložová sum ) Pro ždé,..., q d možu H všech booleovsých fucí možě, ze eré bereme vsupy, ových, že budou homomorfsmy dé grupové operce. ) Pro ždé,..., q d mblc -é homomorfí rudoví rosložové sumy se vsupí fucí g - z možy H výsupí fucí g z možy H. Vyřď všechy rosložové sumy s mlou mblcí. 3) Sesv sezm všech možých ombcí q-propoeých rosložových sum, erý obshue vždy po edé sumě z Krou ) pro ždou rudu. Použ výše zmíěý poze (mblce XOR souču sum se rová souču mblcí sum) e spočeí celové mblce q-rudových rosložových sum, eré budou vořey vždy XOR součem sum obsžeých v edé ombc ze sezmu. Nd q-rudovou rosložovou sumu s evěší mblcí. Efev složos výše zmíěé procedury podle Hrpese úzce souvsí s dou grupovou opercí, požmo s počem možých homomorfsmů z Krou )..4 Možos využí zobecěé leárí rypolýzy Hrpes eprve uvžue šfry, eré o grupovou operc používí XOR. Typcým zásupcem e DES. Jedé možé homomorfsmy sou leárí fuce defové o l x, de x e vsupem ebo výsupem z rudy e eulová -ce. Vzou rosložové sumy, echž vsupím výsupím fucem sou l, respeve l b. zýváme e leárím s leárí msou (,b). Proože sou všechy složy rosložových sum leárí, edává zobecěá leárí rypolýz u ovýcho šfer žádé zlepšeí vůč lscé Msuho leárí rypolýze. Dále uvžue šfry ypu IDEA, erá používí o grupové operce ásobeí modulo sčíáí modulo Zde exsue pouze ede homomorfsmus vdrcá resdu pro ásobeí prí fuce (LSB) pro sčíí. Pro ovéo šfry e možo vyvoř e málo propoeých rosložových sum e velm mlá prvděpodobos, že ěá z příslušých rosložových sum bude efeví. To Hrpes doládá zoumáím právě šfry IDEA, dy v ěerých přípdech e průměrá mblce ulová v osích pár přípdech e velce mlá. Tedy yo ypy šfer elze zobecěou leárí rypolýzu efevě použí. 8

25 Hrpes ešě zoumá šfru SAFER, le opě dochází závěru, že o šfr e bezpečá vůč zobecěé leárí rypolýze. Proo v závěru zosruue šfru, erou zývá QRwe, erá e odolá vůč leárí dferecálí rypolýze, le e slbá právě vůč zobecěé leárí rypolýze. Jde o edoduchou 4-rudovou erčí bloovou šfru o velos blou osm bů, de se rudoví líč číá pomocí ásobeí modulo 57, ásledue edoduchá permuce oec se ešě pomocí XOR če hodo 34. Jedá vsupu ezávslá edo-rudoví homomorfí rosložová sum e podle Hrpese QR(X) QR(Y) QR(K), de QR sou vdrcá rezdu modulo 8. Př úou p používá rodčovsou I/O sumu s mblcí 0,77% prvděpodobos úspěšos úou čí přblžě 5,5%, přčemž leárí dferecálí rypolýz mí úspěšos pouze 0,39% (seě o áhodé zoušeí líčů). 9

26 3. Prčí rypolýz. Hrpes J. L Mssey (dále e Hrpes) [4] vzuí zobecěí leárí rypolýzy [3] z předchozí poly předládí ový způsob úou prčí rypolýzu. Čso se svou předchozí prác v exu odvoláví. Hlví pomy, eré v í defovl, byl mblce o určá odchyl od rovoměrého rozděleí, zemé I/O sumy. Úo pomocí prčí rypolýzy má velce podobou sruuru s rozdílem, že míso zmíěých I/O sum používá prčí páry. 3. Prce prčí páry Použeme ásleduící zčeí: Y bude výsup ěé fuce líče φ, X bude eí vsup Z eí líč, edy Y φ Z (X). Pozmeeme, že φ může bý rudoví fuce, ebo složeí ěol rudovích fucí. φ le é emusí bý fucí líče emusí bý verblí, o příld S-box u DES. Defce: Prce možy S e oečá mož, eíž prvy sou po dvou dsuí eprázdé podmožy S, přčemž ech sedoceím e právě mož S. Tyo podmožy zýváme bloy prce. Tedy prce předsvue és rozděleí možy S do bloů. Defce: Nechť F {F 0, F,..., F l- } G {G 0, G,..., G m- } sou prce možy vsupů možy výsupů fuce líče φ Z. Dvoce (F,G) zýváme prčím párem fuce φ, poud všechy bloy F obshuí seý poče prvů (eméě dv), seě bloy G, poud l m se roví lespoň. Tedy poud F ( G) má lespoň dv bloy, všechy bloy mí seou velos. Bloy vsupí prce F zýváme vsupím bloy, bloy výsupí prce G p výsupím bloy. Defce: Fuc z možy vsupů φ možu dexů {0,,..., l-}, erá zobrzue prve x dex blou F, ež x obshue, budeme zýv prčí fucí F budeme zč f. Podobě g budeme zč prčí fuc G. 0

27 Fuce f g sou obě blcové, edy býví ždé z možých hodo pro seý poče rgumeů. Pomocí velých písme budeme zč áhodé proměé příslušá mlá písme budou zč ech oréí hodoy. Dále se předpoládá, že oevřeý ex všechy rudoví líče sou ezávslé, rovoměrě rozděleé. Proože všechy bloy F mí seou velos, má f(x) rovoměré rozděleí. 3. Imblce Imblcí se rozumí fuce áhodé proměé (m-ce) bývící hodo z uzvřeého ervlu 0,, erá vydřue, erovoměrě e áhodá proměá rozděle. Hrpes zčí I(V) defue ásleduící dvě mblce: Vrcholová mblce: m I p ( V ) m mx Pr[ V ] m 0 < m Čvercová Euledovsá mblce: m m m m m ( Pr[ V ] ) m m I ( V ) (Pr[ V ]) 0 0 m Použelos prčího páru Hrpes chrerzue pomocí mblce prčího páru. Defce: Nechť (F,G) e prčím párem fuce se vsupem X výsupem Y. I(.) echť e mblce áhodé proměé (m-ce), de m G. Nechť I(g(Y) f(x) ) zčí mblc áhodé proměé g(y) z podmíy,že f(x). Poom mblce I((F,G)) e I l 0 (( F, G) ) I( g( Y ) f ( X ) ) l de l F de f g sou prčím fucem F, respeve G. Dlší důležou mblcí e mblce, erá závsí líč. Nechť φ Z, de Z e z možy líčů Z, e fuce líče I(g(Y) f(x), Z z) zčí mblc áhodé

28 proměé (m-ce) g(y) z podmíy, že f(x) zároveň Z z. Hrpes zývá mblce závslá líč vsupím blou prčího páru (F,G) fuce φ Z. Imblcí závslou líč prčího páru (F,G) dého líče z defue o I l 0 (( F, G) z) I( g( Y ) f ( X ), Z z) l A průměrou mblc prčího páru (F,G) defue ásledově: de I ( g Y ) f ( X ) ) I (( F, G) ) I( ( F, G) z) I ( g( Y ) f ( X ) ) Z z Z ( zčí průměrou (přes líče) mblc závslou vsupím blou prčího páru (F,G) pro blo F. Imblc I ((F,G)) lze vyádř pomocí prvděpodobosí přechodů závslých líč p,z, de 0 < l, 0 < m, z Z. p,z e podmíěá prvděpodobos, že Y φ Z (X) pde do výsupího blou G, eslže vsup X e vybrá áhodě ze vsupího blou F líč Z z. Řeeme, že prčí pár má zručeý přechod, poud e eho průměrá mblce rov. To zmeá, že vsupí blo líč edozčě určuí výsupí blo. Řeeme, že prčí pár e efeví, poud e eho průměrá mblce podsě věší ež 0, což zmeá, že výsupí blo e urče vsupím bloem líčem s podsě věší prvděpodobosí. Dále budeme použív lscé zčeí pro erčí bloové šfry: K (..r) bude zč celý šfrovcí líč, erý se sládá z edolvých rudovích líčů K (). X zčí oevřeý ex Y šfrový ex. Rudoví fuc eorá bude zč R K (by edocházelo záměě s prcem prčí fucí). Y () budou výsupy éo rudoví fuce, edy Y (0) X Y (r) Y. Zímco velým písmey se budou zč áhodé proměé, mlá budou ozčov ech specfcé hodoy (především bude předsvov fxí líč). l l Úo pomocí prčí rypolýzy Úo e vede, seě o v přípdě I/O sum [3], pro rudovímu líč v posledí rudě. Hrpes edy uvžue prčí pár pro šfru o (r-) rudách, budeme ho zýv (r-)-rudoví prčí pár. Dále l m, což sou počy bloů F, respeve G, budou mocm dvoy, přčemž l m. Vzhledem předchozímu zčeí bude

29 Z K (..r-) eo líč bude z možy K r-. Nechť F e vsupí blo použý př úou předpoládeme, že záme N p/c-párů, de oevřeé exy sou z F. Hrpes předládá ásleduící proceduru, lezeí ddá rudoví líč použý v posledí rudě. Úo pomocí prčí rypolýzy Vsup: N oevřeých exů m příslušých N exů šfrových (p/c-páry) Výsup: Kddá líč posledí rudy (ls) ) Zvedeme m číčů c[ (ls), ], 0 < m, pro ždý možý líč (ls) posledí rudy provedeme počáečí sveí všech číčů 0. ) Vybereme zámé p/c páry (x,y), echž oevřeý ex x leží v F. 3) Pro ždý možý líč (ls) provedeme dešfrováí posledí rudy pomocí ohoo líče, edy y (ls) : R - (ls)(y) zvýšíme hodou počídl c[ (ls), g(y (ls) )] blou, ve erém leží výsupí blo, o edču. 4) Zopueme Kro ) Kro ) pro všech N zámých p/c-párů (x,y), echž oevřeý ex x leží v F. 5) Výsupem budou všechy líče (ls), eré mí mxmálí hodou ls ls ls c[,0] c[,] c[, m] (,,...,) ( ls) ˆ( µ ) I. To budou ddá rudoví líč použý v posledí rudě. N N N Zde lze z mblc zvol buď vrcholovou mblc, ebo čvercovou ˆ ) (ls Euledovsou mblc. Velč µ ( ) e emprcým odhdem rozhodovcí mery ( ls) ˆ ( ) I ) K (.. r) ( ls) (.. r) ( ls) ( g( R ( ( Y )) f ( X ), K K ) µ ls což e mblce závslá vsupím blou líč prčího páru (F,G) s fucí líče, eíž vsup e X, eíž líč e zřeězeí líčů K (..r) K (ls) eíž výsupem e R - K(ls)(Y). Všměme s, že procedur hledáí ddáů rudoví líč posledí rudy e velce podobá o u I/O sum. A seě o u I/O sum, zde budou ěeré líče evvleí lze počí vždy e se zásupcem pro edolvé řídy evvlece líčů ím celý úo zčě urychl. Dv rudoví líče posledí rudy, se zýví evvleí, poud exsue bece ψ možě {0,,..., m-} ová, že g(r - (y)) ψ(g(r - (y))) pro všech y z možy možých vsupů. Klíče, přící do seé řídy evvlece budou produov seé m-ce (c[, 0], c[, ],..., c[, m-]) ž permuc, edy vedou e seé emprcé rozhodovcí merce sou př úou erozlšelé. Tudíž lze v Krou ) uvžov pouze reprezey edolvých říd evvlece. 3

30 Opě Hrpes o ve [3] defue správou řídu (rgh clss) o u řídu evvlece, erá obshue líč použý v posledí rudě eího zásupce ozčíme o správý líč (rgh ey). Podoěme, že správý líč emusí bý přímo líčem, použým v posledí rudě. Hrpes opě uvžue prvděpodobos úspěchu p o prvděpodobos, že ám po úou posledí rudy vypde pouze správý líč (repreze správé řídy), z předpoldu, že rudoví líče sou vybíráy ezávsle áhodě. Ješě uvžue prvděpodobos úspěchu závslou líč p (..r) o prvděpodobos úspěchu z podmíy K (..r) (..r). Je-l F G, p úo prčí rypolýzou provede o smé, o úo pomocí zobecěé leárí rypolýzy s edým rozdílem, o, že použe e polovu oevřeých exů (buď F 0, ebo F ). Hrpes uzue edoduchý způsob, uo odlšos odsr. Modfue Kroy ) ) ve výše zmíěé proceduře, že v Krou ) uvžue všechy zámé p/c-páry v Krou ) remeue: c[ (ls), g(y (ls) )] poud x e z F 0 c[ (ls), g(y (ls) ) ] poud x e z F 3.4 Úspěšos úou Hrpes vrdí, že výše vržeý úo pomocí prčí rypolýzy lze úspěšě použí s vrcholovou mblcí z ěcho ří podmíe: Hrpesovy podmíy úspěšos úou ) Efev: (F,G) e efeví prčí pár (z. eho mblce se dosečě velá) ) Mlý poče říd evvlece: Prce G e ová, že poče říd evvlece ( edy poče reprezeů říd) e rozumě mlý, proože e omu úměrá výpočeí složos úou. 3)Hypoéz rdomzce př špém líč: Obdobě o e uá plos éo hypoézy u zobecěé leárí rypolýzy [3], př omo úou e řeb, by vrcholová mblce závslá vsupím blou líč byl př použí líče ze správé řídy evvlece (edy oby mblce po (r-)-rudách) zelě věší, ež mxmum éo mblce přes všechy zásupce špých říd evvlece (oby mblce po (r )-rudách). Pro dobré šfry očeáváme, že o hypoéz plí, proože by pro ě měl bý přrozeě výše zmíěá mblce žší po (r )-rudách, ež po (r-)-rudách. 4

31 Př odhdu prvděpodobos úspěchu se echává Hrpes sprov Msuho proxmcí [] (bomcé rozděleí e pro velé N proxmováo ormálím rozděleím) dochází e vzorc (převzo z [4]) p N ( m) I r π e Q κ ( ( I)( N( m ) I r )) d de m G, de ( r ) Q( α ) e d, de I I ( g( Y ) f ( X ) ). κ zčí π velos možy reprezeů říd evvlece. Př éo proxmc e p rosoucí fucí α r p I r, de se předpoládá, že použá průměrá vrcholová mblce dobře měří použelos prčího páru (F,G). Oázou yí zůsává, í efeví prčí páry. 3.5 Efeví prčí páry Proože e obecě přílš moho prcí s bloy o seé velos, e pořeb se změř ěou užší supu s ěým užečým vlsosm. Proože věš šfer používá e vládáí líče ěou grupovou operc, uvžue Hrpes rozldové prce vzhledem éo grupové operc. Defce: Nechť e grupová operce možě všech možých vsupů B echť e e eí ulový prve. Rozldová prce vzhledem e prce F, pro erou blo obshuící e (zčeí F(e)), e podgrup možy vsupů s ouo opercí eíž osí bloy voří rozldové řídy podle éo podgrupy, edy F {x F(e), x B } Rozldový prčí pár e prčí pár, de obě dvě prce sou rozldové prce. Jel grupovou opercí XOR, p rozldové prce se zýví leárí prce prčí pár, ehož vsupí výsupí prce sou leárím, se zývá leárí prčí pár. Hrpes uvádí lemm, eré chrerzue prčí páry. Lemm říá, že poud máme uomorfsmus φ Z. B, dý předpsem x x z, p prce e rozldovou prcí vzhledem B právě ehdy, dyž pro ždé z ϵ B zobrzue uomorfsmus φ Z prvy ždého blou F ede blo z F (edy všechy prvy edoho blou zobrzí prvy ého blou erozhází e po edolvých blocích). 5

32 Nyí Hrpes uvžue seě o v [3] ásleduící rudoví fuc Y () : R K ()( Y (-) ) φ(y (-) K L (), K R () ) de K L () K R () e levá, resp. prvá polov rudovího líče -é rudy. Hrpes se zmýšlí d ím, zd by šlo ě podobě o v [3] použí Plg-up lemm ho přzpůsob dým podmíám. Nráží problém, že opro zobecěé leárí rypolýze, de mohl dobře zezdol omez mblc mul-rudoví homomorfí I/O sumy pomocí mblcí edo-rudovích homomorfích rosložových sum, zde obecou meodu omezeí mblce mul-rudovích prčích párů pomocí mblcí edo-rudových prčích párů echází. Musí s vysč s proxmcí průměré mblce mul-rudovích prčích párů, erou eumí doáz, vš vrdí, že ásleduící proxmce, zložeá Plg-up lemmu, fugue bezpečě. Plg-up hypoéz pro prčí páry: Uvžume q po sobě doucích rud s rudoví fucí R defových výše. Dále p uvžume sezm rozldových prc F (0), F (),..., F (q-) vzhledem echť I (φ) ((F (-),.F () )) e průměrá mblce (F (-),.F () ) vzhledem φ. P průměrá mblce I (..q) ((F (0),.F (q) )) pro X () Y (q) lze proxmov I (..q) ((F (0),.F (q) )) mx I (φ) ((F (0),.F () ))... I (φ) ((F (q-),.f (q) )) de mxmum e bráo přes všechy rozldové prce F (), F (),..., F (q-) vzhledem dy F (0) F ()... F (q-), edy poče bloů v prcích e po rudách erosoucí. N záldě éo proxmce sesvl Hrpes ásleduící proceduru pro lezeí efevích q-rudových rozldových prčích párů Hledáí efevích q-rudovích prčích párů Vsup: N oevřeých exů m příslušých N exů šfrových (p/c-páry) Výsup: Dvoce l m, de F l, G m ) Nd možu S všech rozldových prc pro. ) Pro všechy páry (F,G) z S, de F G, spoč mblce prčích párů (F,G) pro vsup výsup rudy. Vyřď y s mlou mblcí. 3) pro ždou dvoc (l, m) de l m sou mocy dvoy plí pro ě l m uvžu všechy zbylé prčí páry (F,G) z S se vsupem z prví 6

33 rudy výsupem z q-é rudy, dy F l, G m. Použ Plg-up proxmc e spočeí průměré mblce, vyber eefevěší prčí páry ech příslušé proxmové průměré mblce. 4) Použ výše zmíěý vzorec (pol 3.4) spočeí prvděpodobos úspěchu podle oho se rozhod, erá l m sou pro úo evhoděší. Výpočeí složos éo procedury podle Hrpese zásdě závsí poču rozldových prc. N závěr Hrpes demosrue svů úo 6-rudovém DES, de s Euedovsou mblcí doshue úspěšos 95%. Porovává o s úspěšosí úou Bhm Shmr 6-rudový DES pomocí dferecálí rypolýzy, erá byl éž 95%. S vrcholovou mblcí doshue slbšího výsledu 74%. 7

34 4. Sscá rypolýz Dlší ypem úou, zložeém Msuho leárí rypolýze [] e Sscá rypolýz. Jeí záldy poládá S. Vudey v [5] doshue s í podobých výsledů, o Msu s leárí rypolýzou. Vudey vš chází podobé chrersy pomocí určých sscých měřeí. Svů experme ázorě uzue sdrdu DES. Opro Msumu ho vš zímí pouze by zčáu oc šfrováí. Proože dělá e určou ssu esledue reore srze edolvé rudy, epořebue zá vr rudy. Pozmeeme vš, že Vudey vychází ze zlos Msuho výsledů edy zá používá Msuho rovce. Dále bych chěl pozme, že Vudey ve svém čláu [5] uvádí ěerá f výsledy, ž by lespoň zčl, ou cesou m došel. V prác se sžím eho výsledy erpreov, le čso sem uce e pouze přebír. Povžu vš z ué, zmí se o éo meodě rypolýzy ve své prác o poročlých meodách leárí rypolýzy. Zčeí V éo pole budeme použív obdobé zčeí, o v pole. Tedy P e. oevřeý ex e šfrový ex, zčí líč. Dále p: M e vsupí ms o M, o M výsupí ms, b X (P x q W(x) Ec M,...operce AND veorech po bech o M )... áhodá velč, oevřeý ex se vsupí msou šfrový ex s výsupí msou... možé hodoy, erých může áhodá proměá X býv... poče všech možých hodo x, pro dé msy... Hmmgov váh veoru x M... šfrovcí fuce, eímž vsupem e oevřeý ex P výsupem šfrový ex, z použí líče, edy Ec (P) o M 8

35 4. Bs veor Vudey eprve podle vhodě zvoleých mse vybere e určé by vsupu výsupu šfry. Tím omezí poče hodo, erý může X býv. Tedy q poče vybrých bů. Poé s počíá ásleduící prvděpodobos: v x Pr [(P M, o M ) x] q de se prvděpodobos počíá přes P z možy vsupů P z možy Ec (P). Z ěcho prvděpodobosí p sesví bs veor, erý defue ásledově: V ( v x, v x,...) de x sou možé hodoy X. 4. Experme DES Vudey zouší yo veory počí pro sdrd DES. Používá zčeí přes dvě rudy ve Feselově schému (obr. 5) Obráze 4: Feselovo schém DESu se zčeím přes dvě rudy (převzo z [5]) Pomocí vhodě zvoleých mse gorue vždy seých 7 bů z levého regsru 3 bů z prvého. Tedy vybírá s pevě 5 bů z levého pouze b z prvého regsru. To vybré by p uvžue mez druhou pácou rudou. 9

36 Tedy uvžue všechy msy m L m R ové, že W(m L ) 5 W(m R ). Proože uvžue celově e 6 bů, počíá s bs veor V (m L, m R ) (o velos áhodé velčy X (L R 0 ^ m L m R, L 8 R 7 ^ m L m R ) 6 6 ) Tovýo bs veor ešě ormue pomocí ormy V (m L, m R ) uo hodou zývá odchylou. Vudey vš de uo ormu edefue. Domívám se, že de o Euledovou ormu x V (m L, m R ) x ( v ) ( v )... de x sou možé hodoy X, edy přímo ovlvěé výběrem mse. V závslos velos odchyly se Vudeyov eví elépe msy, ež obshuí eo vzor: m L m R pro eré mu vychází log V (m L, m R ) -4,583. Podíváme-l se yo by podrobě, zsíme, sou o pozce [7, 8, 4, 9] v levém regsru pozce [5] v prvém regsru. Tedy přesě y, eré využívá př svém úou Msu []. Vudey ešě zoušel msy s váhm W(m L ) 4 W(m R ), W(m L ) 3 W(m R ) 3. Nelepší volbou eobshuící Msuho pozce bů byl dvoce mse: m L m R 00c ež má log V (m L, m R ) -30,768. Dále Vudeye zíml závslos bs veoru V (m L, m R ) zvoleém líč. Zouml proo, ol ových růzých veorů dose pro růzá. V leárí rypolýze e áhodá velč X pouze ede b. Tedy má hodou buď 0 ebo. Bs veor V má pouze dvě souřdce e vru (-δ, δ). Vudey uo myšleu zobecňue dochází závěru, že poud exsue c růzých bs veorů V (m L, m R ), p eo veor závsí právě c bech formce eseé líčem. To demosrue předchozím příldu, dy mu pro msy m L m R

37 vycházeí 4 růzé veory V (m L, m R ) edy hledá by formce eseé líčem, eré eo bs veor ovlvňuí. Prví z ch zá ž z Msuho úou DES []: 3 [] 4[44] 5[] 7[] 8[44] 9[] [] [44] 3[] 5[] Hledá edy ešě druhý b chází: [44] 4[44] 6[44] 8[44] 0[44] [44] 4[44] bohužel vš vůbec edává vodío, eo b přšel. 4.3 Sscá rypolýz Vudey s eprve defue ř ompresí zobrzeí (Vudey e zývá hšovcí fuce, což m přpdá zváděící) h, h, h 3 ásleduícím způsobem: h : e zobrzeí z prosoru líčů K do ěého mlého prosoru L s mohuosí l. Jde edy o výběr určých ddáů líč. (příld se uvžuí e ví by podlíče posledí rudy) h : e zobrzeí z prosoru dvoc oevřeý-šfrový ex P opě do ěého mešího prosoru vzorů S s mohuosí s. (příld výběr vhodých oevřeých exů pomocí msy m releví šfrové exy) h 3 : e zobrzeí z prosoru dvoc ddá/vzore L S do prosoru Q s mohuosí q (u leárí rypolýzy by o bylo P,,..., ] [,,..., ], [ b de šfrový ex vzl záldě příslušého líče. Tedy edlo by se o zobrzeí do prosoru obshuícího pouze dv prvy 0 ) Pro áhodý vzore S h (P,), echť X h 3 (',S), de ' h (). Aby byl rypolýz možá úspěšá, lde Vudey X ásleduící dvě podmíy: Vudeyovy podmíy pro sscou rypolýzu. Hodoy X musí rozumě spočíelé, edy prosory vzorů ddáů esmí bý přílš velé. 3

38 . X musí vyzov dosečé odchyly př volbě líčů edy rozděleí X h 3 (',S), de ' h (), musí bý sscy rozlšelé od rozděleí h 3 (K,S), de hádáme špý líč K, edy K '. (Vudey zde v [5] uvádí míso fuce h 3 fuc h, což povžu z přelep) Prcpem úou e hledáí ového ', př erém se rozděleí všech zoumých X budou výzmě lš od rovoměrého rozděleí (předpoládé rozděleí př špé volbě líče). Vudey předpoládá, že má dspozc ěol ezávslých vzorů S h (P,), přčemž dále předpoládá, že P má určé rozděleí proměé H možě oevřeých exů P Ec (P) s ezámým líčem. Úo e ypu úo se zámým oevřeým exem, ebo ypu s vybrým oevřeým exem závsí om, zd rozděleí proměé H odpovídá rozděleí reálého oevřeého exu. Poud lze S spočís pouze ze šfrového exu, p může bý eo úo dooce ypu úo se zlosí pouze šfrového exu (vz pol.5). Pro všechy ddáy líč spočeme X h 3 (K, S). Vudeyovou myšleou e, že e možé ssou Σ rozděleí áhodé velčy X od sebe odlš suc, dy K ' dy K '. Vudey předpoládá, že v přípdě K ' bude rozděleí X zelě méě přpomí rovoměré rozděleí, ež v přípdě, dy K '. Vudey úo rozděll do ásleduících čyř fází: Úo pomocí sscé rypolýzy Vsup: N oevřeých exů m příslušých N exů šfrových (p/c-páry) Výsup: Kddá líč posledí rudy Fáze výpočů: Fáze sbíráí určého možsví vzorů S h (P, ),,...,. Zzmeává př om výsyy všech možých hodo S pomocí s počídel. Fáze lýzy: Pro ždého z l ddáů K spočeme všechy výsyy ve všech X h 3 (K, S ) ždému ovému ddáu přdělíme určé ohodoceí M K (vz íže u Aproxmce 4.3) záldě ssy Σ(X,..., X ). Pro dé K dále ozčíme x poče vzorů X, dy h 3 (K, S ) x. Fáze říděí: Srováme ddáy K podle ech ohodoceí M K. Fáze prohledáváí: Posupě zoušíme líče ze sezmu ddáů z předchozí fáze. Problemcé z hleds výpočeí složos e Fáze výpočů Fáze prohledáváí. Je pořeb í vhodý omproms mez ásleduícím dvěm posupy. ) Čím více bude mí úočí dspozc vzorů S, ím lépe bude schope ohodo ddáy. Tím se zrcue Fáze prohledáváí správý líč bude ze 3

39 zčáu sezmu ddáů. Ovšem s velým počem vzorů rose složos Fáze výpočů. ) Nop, má-l úočí dspozc e mlé možsví vzorů, p e fáze výpočů rychlá, le ohodoceí ddáů bude méě přesé udíž prvděpodobě Fáze prohledáváí bude rv mohem déle správý líč se ebude vysyov počáu sezmu ddáů. Dále se Vudey sží pomocí ěol proxmcí dospě přesěšímu vyádřeí složos Fáze prohledáváí: Aproxmce 4.: Poud K h (), p rozděleí h 3 (K, H) áhodé velčy X h 3 (K, h (P, Ec (P))) e rozděleím D ezávslým K. Přčemž proměá H má rozděleí áhodého oevřeého exu. Vudey pozmeává, že rozděleí D bude pro sdrdí šfry rovoměré rozděleí d Q, edy X bude býv ždé z hodo z Q s prvděpodobosí q (de q e mohuos prosoru Q). V přípdě leárí rypolýzy by šlo o prvděpodobos p. Aproxmce 4.: Poud K h (), p rozděleí h 3 (K, H) áhodé velčy X h 3 (K, h (P, Ec (P))) e rozděleím D' růzým (Vudey zde uvádí ezávslým, přčemž eí úplě zřemé, co ím přesě myslí) od D. Vydey dále zoumá rozdíl mez rozděleím D D'. Defue odchylu mez ěmo rozděleím ásledově: d ( D, D ) ( Pr [ X x] Pr [ X x]) x X D X D Dále zčí µ o sředí hodou σ o směrodou odchylu Σ (X,..., X ) všech X s rozděleím D, respeve D'. (V přípdě leárí rypolýzy přechází bomcému rozděleí, eré se pro velé hodoy poču zámých oevřeých exů proxmue ormálím rozděleím). 33

40 Vudey ásledě formulue řeí proxmc, de vrdí, že Aproxmce 4.3: Plí, že σ σ' µ µ' Tedy řv dsrbučí fuce bude mí u obou rozděleí přblžě seý vr, le bude posuu podle sředí hodoy. Dále Vudey defue ohodoceí M K líče K, eré používl ve Fáz lýzy, ásledově: M K Σ ( h3 ( K, S), h3 ( K, S),..., h3 ( K, S)) µ σ de by Σ h ( K, S ), h ( K, S ),..., h ( K, S )) mělo odpovíd sředí hodoě µ', poud ( bude zvole správý líč. Zímco očeáváme, že ohodoceí M K bude pro špého ddá K blízé µ µ 0, v přípdě správého ddá lze vyádř o ε. Tuo hodou σ Vudey zývá efevou úou. Je vlsě hodo, erá vydřue, dobře e schope od sebe odlš rozděleí D D'.Vudey o vš erozlšue pro edolvá X zvlášť. Sží se edy odlš rozděleí Σ (X,..., X ) de všech X mí rozděleí D, respeve D'. (Domívám se edy, že Vudey zčí o eorecou hodou hodoy M K zčí suečé měřeé hodoy). Rozděleí velčy M Vudey zývá sympocy ormálí, poud ε µ µ σ M E( M ) Pr < Φ( ) ( M ) σ př velém možsví vzorů. Φ e dsrbučí fuce ormálího rozděleí Tyo výsledy p Vudey shrue do ásleduící věy: Vě 4.4: N záldě plos výše uvedeých proxmcí z předpoldu oho, že všech ohodoceí M K sou sympocy ormálí, e průměrá složos prohledávcí fáze rov N l N N l ε Φ µ µ de N e poče líčů, l e mohuos prosoru ddáů líč L ε. σ Noec ešě Vudey dává ávod, úo vylepš, poud má úočí velé možsví chrers s ízou efevou. Poud má ěol chrers, 34

41 ždou s efevou ε, de,...,c má m sezm ddáů s příslušým ohodoceím M K, p echť ε c ε ásledě Vudey defue celové ohodoceí o: M c ε K ε M K A vrdí, že sou-l všech M K vzáem ezávslá, plí pro M K Vě 4.. Práce s více proxmcem e podrobě popsá v pole 7 Muldmezoálí leárí rypolýz. 4.4 Leárí přísup srováí s Msuho leárí rypolýzou Noec Vudey uzue ěol přísupů výpoču ssy Σ. Uzue, sesv záldě určé dferecálí chrersy. Mohem zímvěší e pro ás leárí přísup eho srováí s Msuho úoem pomocí leárí rypolýzy. Vudeyov leárí ss Σ l sčíá poče vzorů X, dy pro ěé eulové e Tedy: X (Pr W(X )) rov 0. Σ l X 0 x x. 0 de x (defováo výše ve Fáz lýzy) zčí poče vzorů X, dy h 3 (K, S ) x. Pro veory, odpovídící msám, vyslovue Vudey ásleduící proxmc pro odhd efevy úou (převzo z [5]): Vě 4.5:Poud e D rovoměré rozděleí d Q, p úo s použím leárí ssy Σ l, erá e sympocy ormálí, má efevu ε δ q d( D, D ) de δ Pr X ϵ D'[ X 0] - Pr X ϵ D [ X 0], q e mohuos prosoru Q e poče sbírých vzorů S h (P, ) (vz Fáze výpočů). 35

42 Vudey celou uo eor uzue příldu Msuho úou DES. Zpíše-l Msuho chrersy ve své oc, dosává: ' ( ^ bů 6 ^ ) 6 bů S (L 0 R 0 ^ f bů L 8 R 8 ^ f ) 0 bů X (L ^ by L 8 R 7 ^ ) 5 bů Ze zlos ' S lze dopočí X. Př ěcho volbách edy vychází poče ddáů K rove l, poče hodo vzoru S rove s 9 poče hodo X rove q 8. Odchyl od rovoměrého rozděleí př ěcho hodoách vychází δ,9. -. Př použí 43 vzorů S h (P, ) dosává Vudey efevu úou ε 3,37. Aby efevu ešě vylepšl, používá zároveň obráceou chrersu, erou zísává prohozeím levých prvých mse. Výsledou efevu dosává pomocí rovce pro více chrers po doszeí hodoy Φ(3,37) do výrzu z Věy dosává průměrou složos Fáze prohledáváí rovou 44,6. Použe-l vš proxmc z Věy, doseme ε 3,78 edy složos 4,38. Přpomeňme ešě, že Msu př svém expermeu DES dosává př použí 43 oevřeých exů složos 43. Vudey se ešě sží zobec Msuho leárí ssu ěou ou leárí ssou s vhodým : Σ gl X x x x Dochází určému zobecěí Věy pro odhd efevy úou (převzo z [5]). Vě 4.3:Zobecěá leárí ssy Σ gl e sympocy ormálí. Nelepší efevy úou lze dosáhou př volbě x v x. erá e sympocy ormálí. Poud e D rovoměré rozděleí d Q, p ε q d ( D, ) D de q e mohuos prosoru Q e poče sbírých vzorů S h (P, ) (vz Fáze výpočů). 36

43 N závěr ešě provádí experme 8-rudovém DESu. Dosává 8 růzých Bs veorů V K. Používá 8 ohodoceí záldě příslušých 8 leárích ss. Dále používá o ssu souče druhých moc výše zmíěých osm ohodoceí pro porováí přdává ešě ohodoceí záldě Msuho úou χ esu. Experme provedl ezávsle deserá do buly s zpsovl, é ohodoceí, pomocí eré ssy, zísl správý líč. Demosrue, že v ěerých přípdech ( z 0) lze pomocí elepší leárí ssy mírě Msuho úo vylepš. Ve věšě přípdů sou vš eho leárí ssy horší. Ss záldě χ esu m přde e o ávrh lervy, erá se ovšem v eho expermeu eosvědčl dávl zelě horší výsledy. 4.5 Závěr Spíše ež ěé výrzé zlepšeí Msuho úou zde Vudey uzue ovou meodu úou, zložeou sscém přísupu problému. Dále uzue, spo ěol (v eho přípdě ) zámých chrers zís chrersu s věší efevou úou. Nezímvěší m vš přpdá eho práce pozy oolo Bs veorů V K, popsá z počáu čláu. Čláe [5] e ovšem poměrě obížě čelý, proože se Vudey čso ezdržue ím, by ěeré pomy dobře defovl, své posupu zdůvodl by popsl, ým způsobem uvedeým závěrům dospěl. 37

44 5. Korelčí mce Msu ve svém čláu o leárí rypolýze [] zoumá booleovsá zobrzeí mez rudm šfry DES sží se záldě určých prvděpodobosí přechodů mez edolvým rudm sesv zv. efeví rovc, erá plí s ěou prvděpodobosí p, růzou od edé polovy. Teore orelčích mc páů Deme, Goverse Vdewlleho [6] (dále e Deme) dává ý, obecěší, pohled problemu leárích proxmcí. Závslos výsupů booleovsých zobrzeí určých vlsosech ech vsupů sou popsáy pomocí orelčích oefceů. Ty p voří prvy orelčích mc. To lze p pops celou erčí šfru. V čláu [6] e věš výsledů uvede bez důzu, eré ve své prác doplňu. Přpomeňme eprve záldí pomy leárí lgebry. Booleovsým veorem dély (ebo-l dmeze) se rozumí veor, sládící se z prvů 0,,..., -, de edolvé prvy býví edé ze dvou možých hodo 0 ebo. Mož všech booleovsých veorů dmeze se zčí Z. Zobrzeí veoru ze Z do Z (edy 0 ebo ) budeme zýv booleovsou fucí f(). Booleovsé zobrzeí h() ze Z do Z m lze uvžov o m-ásobé použí booleovsé fuce, edy o (h (), h (),..., h m ()), de,,..., ). Poud plí m, p oo ( 0 booleovsé zobrzeí zýváme rsformcí Z m. Jedá-l se víc o beví zobrzeí, p e o rsformce verblí. Sčíáí modulo dvou booleovsých proměých zčíme α β plí, že α β 0, poud α β α β, poud α β. Booleovsé veory seé dmeze se sčíí po edolvých bech. Too sčíáí budeme zč b výsledem bude opě veor c (seé dmeze o veory, b). Jde edy o sčíáí po složách, de c b. Booleovsé zobrzeí se zývá leárí, poud splňue h( b) () h(b). 5. Korelčí oefcey Korelčí oefce vydřue vzáemý vzh (leárí závslos) mez dvěm velčm. Nbývá hodo z ervlu uzvřeého [-,]. Hodo 0 zčí, že dé dvě velčy sou sscy leárě ezávslé. Poud e hodo růzá od uly, 38

45 ozčuí se yo velčy z orelové. Hodoy z ervlu (0,] udáví míru přímé leárí závslos, hodoy z ervlu [-,0) míru epřímé závslos. Pro ás e důležá vzáemá závslos booleovsých fucí. Přpomeňme podobos s Msuho posupem, dy Msu má ve své efeví rovc obou srách booleovsé fuce zoumá, s ou prvděpodobosí e dá rovce splě. Podíveme se yí uo problemu z pohledu orelčích oefceů, e popsáo v [6]: Defce 5.: Korelčí oefce mez dvěm booleovsým fucem f() g() se zčí ( f,g) e dá ásleduícím předpsem: ( f, g) Pr[ f ( ) g( )] - de Pr[ f() g()] zčí prvděpodobos s ou se možě veorů rová fuce f g. Přímo z defce plye, že ( f,g) (g, f). 5. Wlshov-Hdmrdov rsformce Výběrový veor w e booleovsým veorem, erý z ého veoru seé dmeze vybírá y složy, pro eré e w. Leárí ombc vybrých slože veoru lze zps pomocí slárího souču o w, de w zčí rspoový výběrový veor w. To vze leárí booleovsá fuce, ež e edozčě zdá odpovídícím výběrovým veorem w. Deme v [6] rsformuí ovouo booleovsou fuc reálou čás booleovsé fuce ásleduícím způsobem. Nechť f() w. Reálou čás příslušé booleovsé fuce f() ozčme fˆ() echť bývá hodoy -, poud f() hodoy, poud f() 0. Tedy fˆ() (-) f(). Pozorováí 5.: Nechť fˆ ĝ sou reálé čás booleovsé fuce odpovídící booleovsým fucím f g v předchozím smyslu. P plí, že reálá čás booleovsé fuce odpovídící souču booleovsých fucí f g e rov souču reálých čásí booleovsých fucí fˆ ĝ. Tedy: Důz (vlsí): Sčí použí defc reálé čás booleovsé fuce fˆ() (-) f() ásledě výrz rozeps. Dosáváme (-) f() g() (-) f(). (-) g() fˆ(). ĝ() 39

46 Dále defuí slárí souč dvou reálých čásí booleovsých fucí: Defce 5.3: Nechť fˆ ĝ sou reálé čás booleovsých fucí f g v předchozím smyslu. Slárí souč reálých čásí booleovsých fucí fˆ ĝ se defue o: f ˆ, gˆ fˆ( ) gˆ( ) Pozorováí 5.4: Nechť (f,g) e orelčí oefce mez dvěm booleovsým fucem f() g() fˆ, gˆ e slárí souč odpovídících reálých čásí booleovsých fucí. P plí, že ( f(),g()) fˆ( ), gˆ( ) Důz (vlsí): Rozepíšeme s výrz prvé srě rovce podle defce ( ), gˆ ( ) fˆ dále s uprvíme sumu prvé srě ˆ f ( ) gˆ( ) ˆ f ( ) gˆ( ) (-) f(). (-) g() (-) f() g() proože sou booleovsé veory dmeze, má edy mož všech veorů mohuos. Prvděpodobos levé srě p můžeme vyádř o ( f(),g()) P[ f() g()]. - f ( ) g ( ) Zvedeme s yí pomocou fuc h ( ) f ( ) g( ). P edy. h( ) h( ) f ( ) g ( ).. - P ovšem plí, že (h() ) (-) f() g(), čímž př vyuí dosáváme 40

47 4 h ) ( (-) f() g() Deme uvádí, že reálé čás booleovsých fucí odpovídící leárím booleovsým fucím voří orogoálí báz s ohledem výše defový slárí souč reálých čásí booleovsých fucí. Pousíme se yí oo formulov o pozorováí ásledě ho doáz: Pozorováí 5.5: Nechť u v sou výběrové veory dmeze echť u v sou příslušé leárí booleovsé fuce. P reálé čás booleovsých fucí voří vzhledem výše defovému slárímu souču reálých čásí booleovsých fucí orogoálí báz edy plí: ( ) ( ) ( ) v u v u δ, de ( ) w δ e fuce bývící hodoy, poud e w ulový veor hodoy 0 ve všech osích přípdech. Důz (vlsí): Uvžume zvlášť přípd, dy u v e e ulový veor přípd, dy e eulový. 0 : v u ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) v u v u v u v u δ, 0 0 : w v u ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) v u w v u v u v u δ 0, de ovšem sum prvé srě probíhá přes všech možá, edy slárí souč veorů w bude rove 0 přesě v edé polově přípdů v druhé polově bude rove. Tedy výsledá sum bude rov ule pro ždé w 0. Reprezece booleovsé fuce vzhledem éo báz se zývá Wlshov- Hdmrdov rsformce. Poud orelčí oefcey ) ), ( ( w f ozčíme

48 F ˆ ( w ), p Wlshovou-Hdmrdovou rsformcí reálé čás booleovsé fuce f e reálá fuce F pro erou plí: ˆ ˆ( w F ( w) f )( ) obráceě reálou čás booleovsé fuce f lze zís verzí Wlshovou- Hdmrdovou rsformcí: Fˆ ( w)( f ˆ ( ) ) w w T e edy booleovsá fuce edozčě urče možou orelčích oefceů se všem leárím fucem. Nyí s yo vzhy doážeme: Důz (vlsí): ) Neprve e prví: w w b w w F ˆ ( w)( ) ( f ( b), w b)( ) fˆ( b),( ) ( ) w w w w b w w b w fˆ( b)( ) ( ) fˆ( b)( ) ( ) w b w b w b fˆ( b)( ) w ( b ) b w fˆ( b)( ) w ( b ) fˆ( b) b w ( ) w ( b ) Rozdělíme s yí suc dv přípdy: b : Poom b c 0 ve vří sumě dosáváme v expoeu slárí souč w c, de w probíhá všechy možé veory dmeze. T edy bude slárí souč rove 0 přesě v polově přípdů ve druhé polově bude rove. P edy pro všech b bude vří sum edy celý výrz rove ule. b : fˆ( b) b w ( ) w ( b ) fˆ( b) b w ( ) 0 b fˆ( b) fˆ( ) ) Druhý uvedeý vzh plye rovou z předchozích defc pozorováí: 4

49 Výrz w w fˆ( )( ) fˆ( ),( ) ( f ( ), w ) Fˆ ( w) F ˆ ( w) fˆ( )( ) w Deme zráceě ozčue o F ( ) ˆ w W(f()), s čímž se pozdě lépe prcue v přípdě, dy e booleovsá fuce součem dvou ých booleovsých fucí. Jech poze ohledě Wlshovy-Hdmrdovy rsformce souču dvou booleovsých fucí s yí řádě zformulueme doážeme: Pozorováí 5.6: Nechť f g sou booleovsé fuce h f g echť e booleovsá fuce vzlá ech součem f() g(). P pro orelčí oefcey ˆ H ( w) ( h( ), w ) plí: Fˆ ( v H ˆ ( w) w) Gˆ ( v) v Důz: ˆ ˆ( ˆ( w w H ( w) h )( ) f ) g )( ) ˆ( u Fuce fˆ ĝ vyádříme podle předpsu f ˆ ( ) Fˆ ( u)( ), resp. Gˆ ( v)( g ˆ( ) ) v v doseme : u F ) v ˆ u v ( u)( ) G ˆ( v)( ) ( u w Sumy s rozásobíme, le ebudeme sčí čley po řádcích (sloupcích), le po dgoálách, podobě, o v přípdě uchyov souču řd: u v v u v F ˆ ( ) ( v u)( ) Gˆ ( v)( ) ( ) w Vyásobíme-l čley ( ( v u ) ) v ( ), doseme (. Dále posledí čle u ) celého výrzu w ( ) e vzhledem vří sumc os můžeme í vře rozásob. Vze ám : 43

50 u v u F ˆ ( v u) Gˆ ( v)( ) ( ) w Vyásobíme čley prohodíme sumy: ( u ) (, čímž dosáváme w ) u v Fˆ ( v u) Gˆ ( v)( ) ( u w ) ( ) ( u w ). Dále Výrz F ˆ ( v u) Gˆ ( v) e vzhledem vří sumě os můžeme e edy vyou: Fˆ ( v u) Gˆ ( v) u v ( ) ( u w ) Budeme uvžov yí zvlášť dv přípdy: u w : w w Fˆ ( ) v u G v F v w G v 0 ( ) ˆ ( ) ( ) ˆ ( ) ˆ ( ) ( ) u w v u w : P ( u w ) z 0 edy dosáváme: F ˆ ( v w) Gˆ ( v) Fˆ ( v w) Gˆ( v) v v v ˆ ( ) ˆ ( ) ( ) z F v u G v 0 u v Ve vří sumě probíhá všechy možé veory dmeze. T edy bude slárí souč rove 0 přesě v polově přípdů ve druhé polově bude rove. P edy pro všech u w bude vří sum edy celý výrz rove ule. Odud vyplývá, že sčíáí modulo možě {0,} odpovídá ovoluc možě rsformcí, ebo-l poud ovoluc budeme zč, p plí W(fg) W(f) W(g) Dále Deme uvžue možos, dy sou fuce f g dsuí: Podprosor Z geerový ovým veory w, že F ˆ ( w) 0 se zývá Prosor geerový osčem fuce Fˆ zčí V f. Pro souče dvou booleovsých 44

51 fucí plí : V f g Vf Vg. Dvě booleovsé fuce se zýví dsuí, poud sou dsuí prosory geerové ech osč, ebo-l V V 0 (ulový veor). Veor složu u v V f g Vf složu w Vg, de f g sou dsuí, lze edozčě rozlož. To lze edoduše hlédou, že spor předpoládáme, že v u w v u w, sečeme e doseme u u w w, což se díy dsuos pouze, poud sou součy ulovým veorem, edy u u w w doseme spor. Deme uvádí, že poud fuce h f g e voře součem dvou dsuích fucí, p pro orelčí oefcey plí: H ˆ ( v) Fˆ ( u) Gˆ ( w), de v u w u Vf, w Vg f g Teo vzh s yí doážeme: Důz (vlsí): H ˆ ( v ) s rozepíšeme seě, o v předchozím důzu: Hˆ ( v) hˆ( )( ) v fˆ( ) gˆ( )( ) v u Fˆ ( u)( ) u w Gˆ ( w)( ) w ( ) v Teorá ovšem provedeme rozásobeí ásledé sčíáí právě po řádcích : u w u w F ˆ ( u)( ) Gˆ ( w)( ) ( ) v provedeme opě seé úprvy o v předchozím důzu doseme : Fˆ ( u) Gˆ ( w) u w ( ) ( u w v ) Uvžueme zvlášť yo dv přípdy: u w v 0 : Poom ( u w v ) z 0 edy dosáváme: ˆ ( ) ˆ ( ) ( ) z F u G w 0 u w 45

52 Ve vří sumě probíhá všechy možé veory dmeze. T edy bude slárí souč rove 0 přesě v polově přípdů ve druhé polově bude rove. P edy pro všech u w v 0 : bude vří sum edy celý výrz rove ule. u w v 0 : Poom v u w oo u v e určeo edozčě díy dsuos. Dosáváme edy: Fˆ ( u) Gˆ ( w) ( ) 0 Fˆ ( u) Gˆ ( w) Fˆ ( u) Gˆ ( w) Specálím přípdem dsuích fucí e dvoce booleovsých fucí, echž defčí obory sou dvě epřerývící se možy vsupích bů. 5.3 Korelčí mce Rozložíme-l zobrzeí h: m Z Z m dílčích booleovsých fucí (h 0, h,..., h m- ), p má ždá o dílčí fuce h Wlshovu-Hdmrdovu rsformc Veorová fuce se složm Ĥ. Ĥ se zčí Ĥ vydřue Wlshovu-Hdmrdovu rsformc zobrzeí h. Seě o u booleovsé fuce, rsformce h e edozčě urče oefcey Ĥ. Předsvme s yí booleovsou fuc u h(), erá vze ze zobrzeí h výběrem ěerých hodo h () ech sečeím modulo. P edy u h( ) u h () použím vzhu W(fg) W(f) W(g) p sdo doseme Wlsh-Hdmrdovu rsformc booleovsé fuce u h() : W( u h() ) H u Korelčí mce h vru m e voře všem orelčím oefcey mez leárím ombcem bů vsupu bů výsupu zobrzeí h. Prve h uw v řádu u w sloupc w e p rove ( u h( ), w ). Přpomeňme vzh f ˆ ( ) Fˆ ( w)( ), de F ˆ ( w ) ( f ( ), w ). Dosdíme-l z f() fuc u h(), dosáváme Demeem uváděý vzh pro souče řádu mce h : w 46

53 ( ) u h( ) h ( w ) uw w Uvžueme-l erčí šfru, dosl sme o orelčí mc pro edu rudu. Deme se dále zbývá ím, spo orelčí mce ěol rud dohromdy. Je-l booleovsé zobrzeí h h o h, edy složeé zobrzeí, de h ( ) h ( h ( )), přčemž h zobrzue -dmezoálí veory p-dmezoálí veory h p p-dmezoálí veory m-dmezoálí veory. Deme uzue, sdo dos orelčí mc celového zobrzeí h z orelčích mc zobrzeí h h. h h Rozepsáím vzhu pro souče řádu mce dosává: u h( ) h v h h h w h h w h h ( ) uv uv vw uv vw ( ( ) ) ( ) ( ) uv vw v v w v w w v ( ) w Tedy výsledý orelčí oefce h uw dose o v h h uv vw, ebo-l: v ( u h( ), w ) ( u h ( ), v ) ( v h ( ), w ) což odpovídá mcovému ásobeí: hoh h h Poud e rsformce h verblí v Z ozčme b h ( ), p: h edy uw ( u h wu ( ), w ) ( u b, w ) ( u b, w h( b)) ( w h( b), u b) h, ebo-l ( ) h Použím ( ) h h hoh h h I (mce rspoová). dosává Deme ( ) ( ) h h h h Tedy verzí mce e pouze mcí rspoovou e edy orogoálí mcí. Toho využívá, by edoduše doázl ásleduící vrzeí Pozorováí 5.7: Kždá leárí ombce výsupích bů verblí rsformce e blcovou booleovsou fucí eích vsupích bů. 47

54 Důz: Poud e h verblí rsformcí, p e eí orelčí mce h orogoálí. elož všechy řády sloupce mí ormu, p edy 00 v ulém řádu ulém sloupc emohou bý už žádé é hodoy, ež smé 0. Tudíž ( u h( ),0) δ ( u), ebo evvleě ( u h( ) h e blcová pro všech u 0. Od zobrzeí ze Z do Z m lze přeí zobrzeí ze Z do Z m, že zfxueme ede b ve vsupím veoru. Obecě můžeme ede b vsupího veoru polož rove leárí ombc ých bů (přípdě ech doplňů) ohoo veoru. Tovouo resrc ozčíme v ε, de ε Z. Předpoládeme, že v 0. N resrc lze hlíže o výslede zobrzeí h () ze Z do Z dého předpsem: pro s s ε v s. P eulové prvy orelčí mce zobrzeí h r sou: r s h r ww h ε r ( w v) w ( ) pro všech w ová, že w s 0 h Že r pro w 0 e zřemé, proože vyecháme-l souřdc s, p dosáváme ww s h r ww r hr ( w h ( ), w ) ( w, w ). Nyí se podíveme w r Proože w 0, opě plí w h ( ) w. Rozdělme s suc dv přípdy: s ( v) w. ε 0 : P v 0 ( w v) w v w. Poom edy dosáváme h ( w r v) w ( w, w ) ( ) ε ε : P v ( w v) w v w edy doseme vždy obráceou hodou ež má w h udíž ( ) ( w, w ) ( ) w r v w ε Lze edy hlédou, že sloupce, de souřdce w 0 budou obshov právě dv h eulové prvy (rové v bsoluí hodoě). Jede z r druhý z h ε r ( w v) w ( ). Nop sloupce s s vyecháím doseme orelčí mc s w budou obshov pouze smé uly. Jech hr vru sloupce de souřdce w s veoru w e rov ule. ww, erá obshue edy e 48

55 Trsformce s resrcí pouze určou podmožu vsupích veorů může bý uvžová o plce h r s ásledou rsformcí smoou. Jde edy o složeé zobrzeí éo mce p plí: h h hr h hr h h h, pro ehož mc plí o pro prvy r o h uw v h uv hr vw h uw ε h ( ) u( w v) h poud w 0 poud w, p 0. Too lze sdo hlédou, dyž s s předsvíme, é mce se ásobí. Mce s uw h e ásobe mcí hr, erá, ž bylo výše zmíěo, obshue sloupce smých ul pro veory w se souřdcí w udíž pro yo veory e h h hr zřemě rové ule. Nop pro veory w uw v uv vw hr se souřdcí w 0 sou ve sloupcích mce právě dvě eulové hodoy, s h ±. Jsou o prvy r ww h r ( w v) w ( ) ε. Proo př ásobeí v doseme výše zmíěý souče (přípdě rozdíl, poud v 0 ) dých dvou prvů mce h. s h uv hr vw 5.4 Specálí ypy booleovsých zobrzeí Auoř ve svém čláu rozebírí yo ř zvláší přípdy booleovsého zobrzeí: Nčeí osího veoru Prvím popsým přípdem e čeí osího veoru po bech, ebo-l h h ( ). Poom u h ( ) u u prvy orelčí mce sou: uw u h w u u w u ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) u ( ) ( u w ) u ( ) w Tudíž poud u w e sum rov 0, 0 pro u w. Pro prvy dgoále, edy poud u w, e ( u u ) 0, čímž dosáváme sumu smých edče -) u uu (. Výsledem e dgoálí mce s hodom uw ±. Proo čeí osího veoru po bech před (po) zobrzeí h způsobí pouze přeásobeí ěerých sloupců (řádů) orelčí mce h hodoou. 49

56 Leárí rsformce Druhým popsovým přípdem e leárí rsformce booleovsé mce ypu orelčí mce h M rovy: h M ( ) M, de M e m. Proože u h ( ) u M ( M u), sou prvy M δ ( M u w) uw Too lze hlédou edoduše pouze použím Pozorováí 5.4 Pozorováí 5.5: uw ( ) u h M ( ),( ) w ( ) ( M u),( ) w δ ( M u w) V přípdě, že e mce M čvercová verblí, p δ ( M u w), poud M u w. To zmeá, že v řádu u doseme edču pouze ve sloupc w M u. T dosáváme mc, erá má v ždém řádu sloupc právě edu edču všude de uly, edy permučí mc. Proo použím verblí leárí rsformce před (po) rsformc h doseme orelčí mc s permuovým sloupc (řády). h, pouze Zobrzeí ze Z do Z m Posledím uváděým přípdem e zobrzeí ze Z do Z m, eré e sprováo S-boxy. Uvžue se edy l S-boxů, ždý e zobrzeím Z m do Z, přčemž m m. Veor dmeze e vsupu rozděle l veorů dmeze veor b dmeze m e výsupu rozděle l veorů dmeze Tedy,,..., ) b b, b,..., b ). Zobrzeí b h(), defue ( ( 0) () ( l ) ( ( 0) () ( l ) Deme spol. po boxech, edy b ( ) h( ) ( ( ) ), pro 0 < l. Kždému S-boxu h přísluší mlá orelčí mce sou po dvou dsuí, plí: () ypu m uw m.. Proože booleovsé fuce h ) ( ) u w ( ) ( ) ( de u u, u,..., u ) w w, w,..., w ). elový orelčí oefce ( ( 0) () ( l), ( ( 0) () ( l ), edy doseme o souč příslušých čásečých orelčích oefceů z orelčích mc S-boxů. To s yí přehledě lusrueme edoduchém příldu: 50

57 Příld: Máme zobrzeí ze Z 8 do Z 4, eré se sládá ze 4 S-boxů, ždý zobrzue Z do Z, edy by ede edý b. Předpoládeme, že máme orelčí mce edolvých S-boxů chceme sesv orelčí mc celého zobrzeí. Tedy chceme příld spočí orelčí oefce uw, de u 00 w uw... 0 Rozseáme u edolvá u (0,,,0) w edolvá w (00,00,0,0). Vyhledáme příslušá v edolvých S-boxových orelčích mcích ( ) u w ( ) ( ) Mce S-boxu 0 Mce S-boxu Mce S-boxu Mce S-boxu uw uw uw uw elový orelčí oefce oefceů. uw e součem ěcho čyř S-boxových orelčích 5.5 Korelčí mce bloových šfer Věš bloových šfer se sládá z ěol po sobě doucích rud.tyo rudy voří erčí rsformc, erou lze podle Deme zps o β ρq o ρq o... o ρ o ρ 5

58 de ρ e verblí rsformcí blou b určeou rudovím líčem κ. Ty sou odvozey ze šfrovcího líče κ. Deme uvžue eprve šfrováí fxím líčem, poé líčem leruícím. Fxí líč J ž bylo popsáo výše, orelčí mce složeého booleovsého zobrzeí e dá součem orelčích mc edolvých booleovsých zobrzeí. Př fxím líč e posloupos rsformcí ρq o ρq o... o ρ o ρ pevě dá orelčí mc celové rsformce lze edy spočí o souč mc edolvých rsformcí ρ : ρ q ρ ρ ρ q... V leárí rypolýze se čso prcue s q-rudovou leárí cesou, což e ces srze rsformc, erá vede od určého vsupu w určému výsupu u β (). Tových možých ces e ovšem více ás v leárí rypolýze zímí ech prvděpodobosí ohodoceí p é celová prvděpodobos, že se zobrzí u β (), erá e součem prvděpodobosí edolvých ces. Deme bízí uo problemu obdobý pohled přes orelčí mce. q-rudovou leárí cesu ozčí w Ω ω ρ > ω < ρ > ω >... < ω < ρ > ω ) ( 0 < q q zísí zřeězeím q edo-rudových orelcí ( ω ρ ( ), ω ). Jí přřdí orelčí orbučí oefce p, erý spočíá o: ( Ω) p q ρ ω ω Vzhledem omu, že celová orelčí mce e součem orelčích mc edolvých rsformcí, plí pro určý prve výsledé mce pozc (u,w), edy pro orelčí oefce uw ( u β ( ), w ) ω w, ω u O q p ( Ω) 5

59 Tedy orelčí oefce ( u β ( ), w ) e součem orelčích orbučích oefceů všech leárích ces s počáečím výběrovým veorem w ocovým výběrovým veorem u. Aleruící líč Př proměém líč ám suc zěžue, že ezáme posloupos rsformcí ρ q o ρq o... o ρ o ρ, e urče ž hodoou líče κ. To ovlvelos líčem e pro šfry velm výhodá, proože p úočí emůže použív e edu orelčí mc. Té by zřemě ebylo vhodé, by měly orelčí orbučí oefcey seých leárích sop seé hodoy pro všechy líče. Je ovšem pořeb se druhou sru vyhou omu, by pro ěeré líče byly velos (v bsoluí hodoě) orelčích oefceů výzmě věší. Ideálí e, poud výchyly hodo orelčích oefceů esou závslé hodoě líče. Toho se doshue přčeím rudovího líče blou exu před ebo po smoé rsformc. Klíč, erý se číá ímo způsobem se zývá leruící líč. Tedy po čeí κ ž ásledue fxí rsformce eíž orelčí mcí e ρ. ω ω Proože přčeí osího veoru před (po) rsformcí způsobí pouze přeásobeí orelčích oefceů hodoou oefce leárí cesy Ω rove (-) ( ) ω κ, e orelčí orbučí p q q dω ( Ω) ( Ω) ( ) ( ) (-) (-) (-) ( ) ω κ ρ ω κ ρ ω κ ( ) ω ω q q q (-) ω ω ( ) d Ω ω κ p ( Ω) p de q d Ω e rovo, poud ρ ω ω e záporé e rovo 0. ( Ω) p e ezávslé líč edy líč sou závslá pouze zmé orbučích orelčích oefceů. Korelčí oefce ( u β ( ), w ) lze p vyádř pomocí orelčích orbučích oefceů leárích sop ásledově: ( u β ( ), w ) d Ω q ω w, ω u O q (-) ω ( ) κ p ( Ω) Bohužel výchyly ohoo orelčího oefceu ž esou ezávslé rudovím líč, proože výslede bude ý, poud budeme orelčí oefcey sčí, ebo odčí. 53

60 N elegí řešeí problému růzých zmée vš Deme přchází pozdě s Rmeem v [7], de s pomůže edoduchým rem, erým e zprůměrováí vdráů ( u β ( ), w ) přes všechy leruící líče: Vě 5.8: Průměrý vdrá celové orelce mez w u přes všechy leruící líče e rove souču vdráů orelčích orbučích oefceů edolvých ces mez w u. Averge ( ( u β ( ), w ) ) ( ( Ω) ) ω O w, ω q u p Důz: Provedeme důz podle Deme Rme [7], vš s předchozím zčeím podrobě. Vyádříme s rmecý průměr přes všechy líče, edy souče všech možosí vyděleo počem možosí: Averge h ( ( u β ( ), w ) ) ( ( u β ( ), w ) ) Nyí s rozepíšeme ( u β ( ), w ) podle vzorce pro výpoče celové orelce pro mez w u pro leruící líč: h q h d Ω ( ) u w p( Ω) ( ) ω κ ( β ( ), ) (-) ω w, ω u O q q Nyí s ω ( ) ω κ v expoeu zpíšeme o, edy o výběr ( ásledý XOR) bů celého líče míso posupě po rudovích líčích (). ω e edy zřeězeím edolvých výběrových veorů: Dále budeme dexov edolvé leárí cesy mez w u dexy.... Korelčí orbučí oefce -é cesy, edy ( Ω ) ω d... Výběrový veor vzlý řeězeím výběrových veorů -é cesy... d Ω -é cesy, edy d Ω p Dosáváme 54

61 55 ( ) Ω Ω d h p d u w h q q O, (-) (-) ) ( κ ω κ ω ω ω Rozepíšeme s yí souč d d κ ω κ ω (-) -) ( d h (-) κ ω d d h κ ω κ ω -) ( (-) d d h κ ω (ω ) (-) d d h κ ω (ω ) (-) d d h κ ω (ω ) (-) (-) Rozebereme s yí zvlášť přípd poom : P 0 l ω ω ω proože vří sum sčíá přes možu všech líčů, doseme výrz κ ω (ω ) (-) rove právě v polově přípdů - ve druhé polově. Vří sum bude rov ule edy pro všechy přípdy, dy e celý výrz ulový. d d h κ ω (ω ) (-) (-) d d h κ ω (ω ) (-) (-) 0 0 (-) (-) h ( ) h h

62 de (podle předchozího) dex zčí -ou leárí cesu s počáem ve w ocem v u souče zčí orelčí orbučí oefce -é cesy, edy ( ) ω O w, ω q u ( ( Ω) ) p p Ω. Jde edy o vdráů orelcí všech edolvých leárích ces mez w u. Noec se v [6] přpomíá Msuho leárí rypolýzu DESu [] uvžue o í v řeč orelčích mc ásledově: Msuho efeví leárí rovce (vz Kpol ) orespodue s ím defovou ( ) leárí cesou prvděpodobos p, že e o rovce splě p s ( Ω) de ( Ω) p e orelčím orbučím oefceem odpovídící leárí p sopy.předpoládá se edy, že celový orelčí oefce e ovlvňová pouze edou leárí sopou. To plí díy omu, že edolvé orelčí oefcey dé sopy mí velé odchyly od 0 é díy sruuře rudoví rsformce DESu. Korelčí orbučí oefce leárí sopy e ezávslý líč sládá se z ásobu orelčích oefceů z edolvých rudovích orelčích mc. Obecě esou prvy orelčí mce rudoví rsformce DESu ezávslé líč, le v Msuho přípdě e ezávslos líč dá ím, že edorudová orelce popsé leárí sopy zhrue pouze by edého (páého) S-boxu (vz Kpol.4)., 56

63 6. Zlepšeí čsové složos Msuho Leárí rypolýzy ollrd, Sder Qusquer popsuí v [8] možos poměrě výrzého sížeí čsové složos Msuho Leárí rypolýzy [], oréě Msuho Algormu, použím Rychlé Fourerovy rsformce (FFT). Je popsá způsob použí ed pro bloovým šfrám, de se líč číá pomocí operce XOR (DES, AES) éž pro bloovým šfrám, de e líč přčíá mod (uoř pluí eo úo pro šfře Serpe). Díy použí FFT, erá má složos O( log ( ) ) lze zrychl úo z původí složos O( ) O( ), de e poče bů podlíče posledí rudy, erý chceme uhodou. Přpomeňme ráce Msuho zčeí (vz pol ). Leárí proxmc [,..., ] [,,..., ] K[, ] P,...,,, b de P [,,..., ], [,,..., b ] K [,,..., c ] zčí XOR součy ěerých bů (výběr pomocí msy) oevřeého exu, šfrového exu líče, zývá efeví rovcí, poud plí s prvděpodobosí p. Tovouo leárí proxmc bloové šfry lze zís propoeím edo-rudových proxmcí, přčemž se sžíme o mxmlzc odchyly p. V pole byly popsáy lgormy pro odhduí čás líče.v čás.3 o byl Algormus sloužící odhduí edoho b líče K [,..., ], c v čás.3 byl popsá Algormus, erý prcue s chrersou pro ( q ) rud (q zčí poče rud dé šfry), lze pomocí ěho odhdou ee ede b líče K [,..., ] Dále vycházím z čláu [8]., c, le víc ešě podlíč posledí rudy. c 6. Zobecěí Msuho Algormu Podle Msuho [] e pořeb N O( ε ) dvoc oevřeý-šfrový ex úspěšému úou záldě Algormu. Nechť edy úočí má leárí proxmc pro q- rud šfry s odchylou ε p, N dvoc oevřeý-šfrový ex. Dále echť se dešfrováí v posledí rudě účsí s S-boxů bů líče posledí rudy. Podle Algormu by bylo pro ždý z ddáů líč 57

64 posledí rudy ždou dvoc oevřeý-šfrový ex provedeo dešfrováí posledí rudy (ozčme s eo výslede o ( q), edy P,,..., ] F (, K )[ l, l,..., l ]) ( q) [ b L d porováí, zd [,..., ] [,,..., ] 0 líče, ( q ) b V přípdě, že by byl rovos splě, byl by číč (ozčme ho T ) dého () Kq zvýše o edču. Z správý líč by byl ozče e () K q, erý by N měl mxmálí hodou T. Proože dešfrováí posledí rudy e prováděo pro ždého ddá líč ždou dvoc oevřeý-šfrový ex, e složos ohoo lgormu O( N ), přčemž obecě bývá N >>. Msu v čláu o expermeálím úou DES [] vrhue, že lze uvžov př dešfrováí posledí rudy pouze zvé efeví by, edy y v vích S-boxech. Tím s lze ušeř spousu práce, proože p eí řeb dešfrov N-rá, le e -rá (pouze pro růzé hodoy dé podmožy šfrových exů). ollrd spol. Msum vylepšeý lgormus ešě zobecňue mírě modfue do ásleduící podoby: Vylepšeý úo Vsup: N párů oevřeý šfrový ex Výsup: Kddá podlíč posledí rudy ) Deslčí Fáze - Iclzu pole číčů - Pro ždý vygeerový šfrový ex vyber -bovou hodou odpovídící vím S-boxům, edy pouze y by šfrového exu, ež sou př dešfrováí posledí rudy ovlvěy -bovým podlíčem posledí rudy. P spoč pru podmožy bů příslušého oevřeého exu defových dou proxmcí (efeví rovcí). Je-l pr rov 0, zvyš o ed hodou číče příslušeícího -bové hodoě šfrového exu, v opčém přípdě o ed sž. ) Alycá fáze (mle sou vygeerováy všechy šfrové exy): - Pro ždou vybrou -bovou hodou šfrového exu pro ždý -bový podlíč posledí rudy proveď čásečé dešfrováí posledí rudy (doseme ( q) ). Ulož s ěcho hodo. - Pro ždý -bový podlíč posledí rudy spoč odchylu, že pro ždou -bovou hodou šfrového exu vezm příslušý číč z deslčí fáze vyásob ho poud e pr ( q) rov ule ( poud e rov ) yo hodoy seč. - Jo výsup vyde líč s mxmálí odchylou (v bsoluí hodoě). 58

65 V deslčí fáz pouze zosruueme -dmezoálí veor x, dexový - bovým hodom šfrových exů ehož hodoy slože udáví rozdíl čeosí, dy př eho výsyu byl pr podmožy oevřeého exu rov ule dy edé. Všměme s, že v éo fáz eprcueme vůbec s poecálím líč posledí rudy c edešfrueme. Veor počíáme pouze z hodo P [,..., ], sčí ám omu pouze zlos oevřeý-šfrový ex, edy, uoř zdůrzňuí, de e o operce o sčíáí pár bů remece číčů, což lze víc provádě z běhu geerováí dvoc oevřeý-šfrový ex. V porováí s lycou fází, de probíhá dešfrováí posledí rudy e edy složos éo fáze zedbelá. V lycé fáz dochází čásečému dešfrováí posledí rudy z použí -bového podlíče -bové hodoy šfrového exu. Doseme hodou ( q) spočeme s eí pru zzmeáme do buly (uvžume, že řády dexueme hodom podlíčů sloupce hodom šfrových exů). Pro spočeí odchyly (od N ) určého líče pořebueme ásob hodoy v řádu ( ± ) s příslušým číčem z deslčí fáze oec yo hodoy sečís. Doseme v podsě Msuho hodoy ( ) T N, le dospěeme m ým způsobem. Nmíso oho, bychom změu hodoy číče prováděl pro ždou dvoc oevřeý-šfrový ex, s v prví fáz pro ždý šfrový podex určíme odchylu poču příslušých oevřeých exů, echž podmož bů dá proxmcí má pru 0. Ve druhé fáz změíme zméo číčů, poud,,..., ] F (, K )[ l, l,..., l ] (poud e eo výrz rove edé, p e [ b L d celá prvá sr Msuho efeví rovce rov edé udíž poud chceme počí, dy se rová 0, musíme u odchyly změ zméo). Noec pro určý líč sečeme dé odchyly edochází edy e změě číče po edolvých exech, le rovou po celých možách exů. Pro ždý -bový podlíč přsupueme -rá do buly o vede čsové složos O( ), což e poměrě zčé zlepšeí opro prvoí mplemec Algormu, erá byl O( N ). o Podíváme-l se Msuho efeví rovc v Algormu zpsou obecě P [,..., ] [,,..., ] 0, ( q ) b zlepšeý lgormus eprve pro ždý sčíá P [,,..., ] ěmo součům řeší hodou [,..., ] p eprve, ( q ) b. Dále s eo posup vyádříme pomocí souču mce veoru uážeme, lze uo operc zlepš pomocí FFT z yěší O( ) O( ). 59

66 6. Zlepšeí Algormu pomocí FFT Tbulu defovou výše v lycé fáz uvžuí uoř o mc ypu, de řády dexuí -bovým hodom podlíčů sloupce -bovým hodom podmož šfrových exů. Prvy mce p vydřuí o: (, ) pry( S ( )) (0, ) S ( l) předsvue verz posledí vrsvy S-boxů (S-boxů v posledí rudě odpovídá v podsě ( q), e zde pro edoduchos esou zhruy leárí rsformce) -bové proměé l pry() e fuce, erá přřzue -bové podmožě hodou ± podle eí pry ( poud e pr rov ul poud e rov ). Tedy obecě pro booleovsé m-dmezoálí veor x p ( x) ( ) f pry( f ( x)), de p f ( x) x m N záldě ovéo defce lze spočí odchylu posledí rudy o slárí souč dvou veorů: ε příslušého -ého podlíče ε pry( S ( ) x( ) (, ) x( ) (,:) x 0 0 de x e veor číčů z deslčí fáze (,:) zčí -ý řáde mce. Nyí lze edoduše přeí výpoču veoru odchyle pro všechy líče. Jde o přímou mplemec čás Alycé fáze, přčemž epočíáme odchylu pro ede líč (slárí souč veorů), le rovou odchyly (veor) pro všechy líče. Těcho slárích součů lze pohodlě zps právě o ásleduící souč mce veoru x: ε x Čsová složos ovéo operce e sále O( ), proože de sále v podsě o výpočů slárího souču dvou veorů dmeze ollrd spol. popsuí, eo souč mce veoru spočí efevě pomocí FFT, le eprve e řeb zdefov zvláší ypy mc, zvé cruly.. 60

67 ruly Výše popsá mce má určou specálí sruuru. Je sdé hlédou, že e o mce symercá, proože f ( ) pro zámou fuc f (verz S-boxů ebo celé posledí rudy) edy plí (, ) pry( f ( )) pry( f ( )) (, ) ollrd spol. dále uzue, že mce má sruuru určého crulu. Defce: Mce se zývá crul, poud ždý řáde (sloupec) e rocí předchozího řádu (sloupce) o ede prve doprv. Defce: Mce se zývá m-bloový crul, poud ždý eí blo, chž e v ždém řádu (sloupc) m, e sám o sobě crulem. Defce: Mce se zývá: - rul supě ypu (), poud e crulem velos. - rul supě ypu (m, ), poud e m-bloovým crulem ehož ždý blo e crulem velos. - rul supě 3 ypu (m,, o), poud e m-bloovým crulem ehož ždý blo e crulem supě ypu (, o). - rul supě s ypu (m,,o,...), poud e m-bloovým crulem ehož ždý blo e crulem supě s ypu (, o,...). Tvrzeí: Nechť (, ) f ( ), 0,, p e mce crulem supě ypu (,,..., ). 443 rá Důz: ollrd spol. provádí důz ducí. Neprve rozdělí mc 4 bloy o velos : Nechť 0,, p edy plí: e evvleí s (seě pro b) 6

68 (, ) (, ) f ( ) f (( ) ( )) (, ) (, ) (, ) (, ) f ( ( )) f (( )) ) (, ) (, ) Tedy mce e -bloovým crulem.nvíc (, ) (, ) f ( ) (, ) (, ) f ( ( )) edy mce má seou crulí sruuru o mce, pouze é hodoy prvů. Zbye lze edy posupě doáz ducí, zopováím seého posupu, orá pro. Rychlá Fourerov rsformce (FFT) ollrd spol. dále využívá ásleduící věy o vyádřeí crulu pomocí Fourerových mc doázé P.J. Dvsem vydé v [9]. Vě: rul supě ypu (m,, o,..., r) lze dgolzov pomocí uárí mce F Fm F Fo... Fr : F dg( λ ) F de λ sou vlsí čísl mce, dg (λ) e mce, erá má dgoále prvy λ všude de 0, symbol zčí ezorový souč velos, defová: F e Fourerov mce de F (, ) (0, ) ω ω e π ω se spoče o cos s π π e π, což vyádřeo pomocí goomercých fucí e. Vzlá mce F e mcí -dmezoálí Dsréí Fourerovy rsformce. Lze edy rychle spočí souč mce F (přípdě F ) s veorem dmeze pomocí lgormu muldmezoálí Rychlé Fourerovy rsformce (FFT), erý sžue původí složos O( ) O( log ( ) ). 6

69 Abychom mohl lgormus efevě použí, pořebue ešě ásleduící vrzeí formulového doázého ollrdem spol., eré říá, lze veor vlsích čísel vyádř o souč mce F prvího sloupce mce. Tvrzeí: Veor λ vlsích čísel crulí mce supě ypu (m,, o,..., r) lze spočís ásleduícím součem mce veoru: λ F (:, ) mo... r de výrz (:,) zčí prví sloupec mce. Důz: Z předešlé věy plye, že F dg( λ ) F Vyásobeí obou sr rovce zlev mcí F (e o regulárí mce) dává F F F dg( λ ) F I dg( λ) F dg( λ) F de I e edoová mce. Nyí uoř uvžuí pouze prví sloupec mc, vzlých součem mc prvé levé srě rovce ( F. )(:,) ( dg( λ ) F)(:,) λo F(:,) de symbol o zčí Hdmrdův souč veorů (souč dvou veorů seé dmeze: c o b c b pro všech ). Mce F e defová o ezorový souč mc Fourerových F (, ) ω, (0, ). Z defce ezorového součy vyplývá, že prvy prvího sloupce mce F budou voř součy prvů z prvích sloupců (edy 0 ) mc F, eré sou podle defce vru ω 0 F ( 0, ) edy prvy v prvím sloupc budou rovy udíž F(:,) l m,, o,... r mo... r l mo... r (,,,...,) 63

70 proože λo F(:, ) λo ( ) (,,,..., ) λ mo... r mo... r víc z defce mcového ásobeí plye, že ( F )(:,) F (:,) lze veor λ vyádř o λ ( F )(:,) mo... r F (:,) mo... r Tímo e doázáo, že souč ε mce veoru x: ε x e evvleí souču λ F F (:, ) posledí rudy dg( λ ) F x, de veor λ vlsích čísel mce lze spočí o F. elový výpoče veoru odchyle pro edolvé podlíče dg( λ ) F x lze rozděl do ří čásí ve: Neprve spočí souč mce F veoru x. P spočí hodou veoru λ F (:, ) oec vzí Hdmrdův souč veorů z prví druhé čás, což e opě veor seé dmeze e poom vyásob s mcí F -. Tedy. A ) y F x ) z F (:,) 3) ε F ( zo y) Vzhledem omu, že de vždy o souč mce (-dmezoálí dsréí Fourerovy rsformce) F (edou verzí mce dmeze F ) velos veoru, lze yo součy spočí pomocí -dmezoálí FFT (přesě - dmezoálích FFT edé verzí -dmesoálí FFT), e čsová složos celého výpoču řádově ( log ) 3 ( ). 3 Níže přládám lgormus psý v Mlb ódu převzý z čláu [8]: 64

71 T edy ollrd spol. dochází poměrě výrzému zrychleí Msum vržeého lgormu pro ypy bloových šfer, de se líč číá pomocí operce XOR. Dlší vylepšeí př zlos více leárích proxmcí Auoř čláu uvžuí dlší možé zlepšeí př zlos více leárích chrers. Využíví oho, že poud lze použí více leárích chrers, dy se měí pouze vsupí ms (měí se veor x), le výsupí ms zůsává seá (eměí se edy ví S-boxy), zůsává mce seá pro všechy leárí proxmce udíž sčí spočí veor λ eích vlsích čísel pouze ederá. T lze výpoče uvžov míso původího 3 FFT ( FFT) ( FFT) ( FFT) o ( FFT) FFT ( FFT) o edu řeu. ( ) FFT, čímž dochází dlšímu zrychleí zhrub 65

72 6.3 Zlepšeí Algormu pomocí FFT pro líče číé modulo ollrd spol. dále zbýví zrychleím pro šfry, de sou rudoví líče číé modulo míso pomocí XOR. Posup e podobý, le mce eorá eí (prvým) -bloovým crulem, ýbrž levou Toeplzovou mcí. Než se doseme Toeplzovým mcím, e pořeb eprve doáz edo vrzeí pro levé cruly. Defce: Mce se zývá levý crul, poud ždý řáde (sloupec) e rocí předchozího řádu (sloupce) o ede prve dolev. ollrd spol. uzue, že pro líče číé modulo rudovího líče, má mce právě uo sruuru:, de e velos celého Tvrzeí: Nechť e mce P e ováo mce levým crulem. vru (, ) f ( mod ) pro 0,. lef lef Důz: Pro ždé α, 0 α plí, že: ( α, α) f ( α α mod ) f ( mod ) (, ) lef lef edy všechy prvy v ždé rosoucí dgoále sou shodé. Nvíc se hodo v dgoále opue ždou crulem. -ou dgoálu, z čehož plye, mce e levým Níže uvedeá vě plí pro (prvý) crul. Vyvsává edy oáz, p převés (prvý) crul levý crul. Auoř omu používí ásleduící edoduchou permučí mc seé velos, o e mce : 0 Γ 0 M M M M M M 0 p edy 66

73 lef Γ Jde edy o provedeí J.P. Dvsem v [9]: řádových permucí. Dále uoř využíví věy doázé Vě: rul lze dgolzov Fourerovou mcí F velos způsobem: ásleduícím F dg( λ ) F de λ předsvue veor vlsích čísel mce dg (λ) e mce, erá má dgoále prvy λ všude de 0. Tedy opro předchozímu přípdu s číáím líče pomocí XOR e yí mce F přímo edou velou Fourerovou mcí. Lze edy spočeí ε x použí opě roí FFT, ovšem eorá edo-dmezoálí. Nvíc e oc pořeb provés permuc Γ. To by šlo posupov v přípdě, že bychom se sžl uhodou celý líč posledí rudy by mce byl levým crulem. Vzhledem omu, že v posledí rudě hádáme pouze -bový podlíč z celého m-bového líče, bude mce zvou levou Toeplzovou mcí: Defce: Nechť < m 0,. P se mce (, ) f ( lef Toeplz mod m ) zývá levou Toeplzovou mcí Odhd výpočeí složos Auoř uvádí, že pro mce s ovouo sruurou lze spočí souč s veorem x vořeím éo mce ypu do mce levého crulu. To lze provés, že Toeplzovu mc ypu, erá má ž sruuru budeme uvžov o levou horí čvru mce zbye prvů ž edozčě doplíme, by dá mce splňovl defc levého crulu. P lze využí zrychleí pomocí FFT vedoucí e složos O (( ) ). 67

74 6.4 Tesováí meody šfře Serpe N závěr ešě ollrd spol. uvádí své výsledy z expermeálího esováí šfře Serpe. Neuvádí, přesě dé hodoy zísl, le vzhledem vysoým hodoám čsové prosorové složos e emohl bý schope všechy ověř v prx. Domívám se edy, že výsledy esováí omezeém poču rud použl eorecým odhdům složosí pro 0-rudový -rudový Serpe: Obráze 6: Porováí složosí zlepšeého úou Serpe (převzo z [8]) 68