260
ров в целом , можно найти в тексте Кнудсена (Knudsen) и Робшоу (Robshaw)
[106]. Атака встречи посередине на двойное шифрование выполнена Диффи
(Diffie) и Хеллманом (Hellman) [59]. Атака на тройное шифрование с двумя
ключами упомянутыми в тексте (и исследованными в упражнении 6.13) выпол-
нена Меркле (Merkle) и Хеллманом (Hellman) [124]. Теоретический анализ без-
опасности двойного и тройного шифрования можно найти в [6, 24].
DESX представляет собой другую технику для увеличения эффективной дли-
ны ключа DES. Секретный ключ состоит из значений ki, ko ∈ {0, 1}64, и k ∈ {0,
1}56, и
шифр определяется
DESXki,k,ko (x) ko ⊕ DESk(x ⊕ ki).
Эту методологию впервые изучили Эвен (Even) и Мансур (Mansour) [63] в
несколько отличном контексте. Ее применение к DES было предложено в не-
опубликованной работе Ривестом (Rivest), а ее безопасность позднее анализи-
ровали Килиан (Kilian) и Рогэвэй (Rogaway) [105, 149]. Дифференциальный
криптоанализ ввели Бихэм (Biham) и Шамир (Shamir) и его применение к DES
описано в книге этих авторов [30]. Копперсмит (Coppersmith) [45] описывает
принципы проектирования S-блоков DES в свете представления обществен-
ности дифференциального криптоанализа. Линейный криптоанализ был пред-
ставлен Мацуи в работе [118], в которой показано его применение к DES. Для
получения более подробной информации об этих передовых криптоаналитиче-
ских методах мы отсылаем читателя к учебнику по дифференциальному и ли-
нейному криптоанализу [91] или к упомянутой выше книге Кнудсена (Knudsen)
и Робшоу (Robshaw) [106].
Дополнительную информацию о MD5 и SHA-1 см. в [120]. Однако следует
заметить, что их изложению предшествуют атаки Вонга и др. (Wang et al.) [175,
174]. Конструкции функций сжатия из блочных шифров анализируются в [143,
33]. Губчатая конструкция описана и проанализирована Бертони и др. (Bertoni
et al.) [28]. Дополнительную информацию о конкурсе SHA-3 см. на веб-сайте
NIST по адресу:
http://csrc.nist.gov/groups/ST/hash/sha-3/index.html.
Достарыңызбен бөлісу: