SLIDE 1
ییانشآ یاه هصخشم اب نکممان یلضافتیگتسبمه و رفص
یقداص قداص
زییاپ98
ادخ مانب
یمزراوخ هاگشناد s.sadeghi.khu@gmail.com
نکممان یلضافت هصخشم هصخشمرفص یگتسبمه
بلاطم تسرهف هنایم رد نادقف شور یسیرتام شور هنایم رد نادقف شور یسیرتام شور
1/36
98 s.sadeghi.khu@gmail.com - - PowerPoint PPT Presentation
98 s.sadeghi.khu@gmail.com - - PowerPoint PPT Presentation
98 s.sadeghi.khu@gmail.com
SLIDE 2
SLIDE 3
نکممان یلضافت هصخشم هلمحیطخ رفص یگتسبمه هصخشم هلمحیلضافت
بلاطم تسرهف هنایم رد نادقف شور یسیرتام شور هنایم رد نادقف شور یسیرتام شور
/361
SLIDE 4
هلمحیلضافت
Differential cryptanalysis
- E. Biham and A. Shamir
Differential cryptanalysis of DES-like cryptosystems. CRYPTOLOGY, 1991. 4(1): p. 3-72
- E. Biham and A. Shamir
Differential cryptanalysis of the data encryption standard.. Springer, Berlin, 1993. /36 2
SLIDE 5
هلمحلضافتی Differential Cryptanalysis تارییغت ود نیب یدورو یلصا نتم زا(تیب کی هزادنا هب یتح ) اات هدش زمر یجورخ یور رب هنوگچیام ری- ود نیا هدش زمر هجیتن و دراذگ نتم فلبتخا رگیدکی اب هزادنا هچ هبدنراد.
𝐹𝐿: 𝔾2
𝑜 → 𝔾2 𝑜
𝑌 𝑌′ 𝐹𝐿 ∆𝑌 = 𝑌⨁𝑌′ 𝑍 𝑍′ ∆𝑍 = 𝑍⨁𝑍′ ∆𝑌 ∆𝑍 𝑂𝐸 ≈ 𝑑 𝑞 𝑞 3/36
SLIDE 6
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
4/36
هلمحلضافتی Differential Cryptanalysis
SLIDE 7
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑻𝒄𝒑𝒚
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 8
∆𝑌 = 1000 ∆𝑍 = 1011
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑻𝒄𝒑𝒚
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 9
∆𝑌 = 1000 ∆𝑍 = 1011
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌′
1000 1001 1010 1011 1100 1101 1110 1111 0000 0001 0010 0011 0100 0101 0110 0111
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑻𝒄𝒑𝒚
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 10
∆𝑌 = 1000 ∆𝑍 = 1011
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌′
1000 1001 1010 1011 1100 1101 1110 1111 0000 0001 0010 0011 0100 0101 0110 0111
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑍′
0011 1010 0110 1100 0101 1001 0000 0111 1110 0100 1101 0001 0010 1111 1011 1000
𝑻𝒄𝒑𝒚 𝑻𝒄𝒑𝒚
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 11
∆𝑌 = 1000 ∆𝑍 = 1011
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌′
1000 1001 1010 1011 1100 1101 1110 1111 0000 0001 0010 0011 0100 0101 0110 0111
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑍′
0011 1010 0110 1100 0101 1001 0000 0111 1110 0100 1101 0001 0010 1111 1011 1000
∆𝑍
1101 1110 0101 1011 0111 0110 1011 1111 1101 1110 0101 1011 0111 0110 1011 1111
𝑻𝒄𝒑𝒚 𝑻𝒄𝒑𝒚
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 12
∆𝑌 = 1000 ∆𝑍 = 1011
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
𝑌′
1000 1001 1010 1011 1100 1101 1110 1111 0000 0001 0010 0011 0100 0101 0110 0111
𝑌
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
𝑍
1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
𝑍′
0011 1010 0110 1100 0101 1001 0000 0111 1110 0100 1101 0001 0010 1111 1011 1000
∆𝑍
1101 1110 0101 1011 0111 0110 1011 1111 1101 1110 0101 1011 0111 0110 1011 1111
𝑻𝒄𝒑𝒚 𝑻𝒄𝒑𝒚 𝑄
𝑠 = 1
4
/36 4
هلمحلضافتی Differential Cryptanalysis
SLIDE 13
𝑄 𝑉
8 16 4 16 2 16 2 16
∆𝑄 = [0000 1011 0000 0000] ∆𝑉 = [0000 0110 0000 0110] 𝑄
𝑠 = 2−9
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
5/36
هلمحلضافتی Differential Cryptanalysis
SLIDE 14
نکممان یلضافت هلمح
Impossible Differential cryptanalysis
Biham, Eli, Alex Biryukov, and Adi Shamir. Cryptanalysis of Skipjack reduced to 31 rounds using impossible differentials. International Conference on the Theory and Applications of Cryptographic
- Techniques. Springer, Berlin, Heidelberg, 1999.
Knudsen, Lars. DEAL-a 128-bit block cipher. Complexity 258.2 (1998): 216. 6/36
SLIDE 15
هلمحممان یلضافتنک
Impossible Differential Cryptanalysis
وجتسج فدهینلبوط یاربمتحا اب یلضافت هصخشم نیرترفص لا
7/36
SLIDE 16
وجتسج فدهینلبوط یاربمتحا اب یلضافت هصخشم نیرترفص لا
نییعتیدورو لضافت نییعتیجورخ لضافت ورشیپ صقانت ورسپ
Biham, et al., Miss in the Middle Attacks on IDEA and Khufu. International Workshop on Fast Software Encryption. Springer Berlin Heidelberg, 1999.
هنایم رد نادقف شور /367
هلمحممان یلضافتنک
Impossible Differential Cryptanalysis
SLIDE 17
هنایم رد نادقف شور Miss in the Middle method /36 8
SLIDE 18
a a
هنایم رد نادقف شور Miss in the Middle method /36 8
SLIDE 19
هنایم رد نادقف شور Miss in the Middle method
a a a a a b b b b b b
a a
/36 8
SLIDE 20
هنایم رد نادقف شور Miss in the Middle method
a a a a a a a a a a a b b b b b b
a a
/36 8
SLIDE 21
هنایم رد نادقف شور Miss in the Middle method
a a a a a a a a a a a b b b b b b
a a
/36 8
SLIDE 22
هلمحممان یلضافتنک Impossible Differential Cryptanalysis وجتسج فدهینلبوط یاربمتحا اب یلضافت هصخشم نیرترفص لا
نییعتیدورو لضافت نییعتیجورخ لضافت ورشیپ صقانت ورسپ
Biham, et al., Miss in the Middle Attacks on IDEA and Khufu. International Workshop on Fast Software Encryption. Springer Berlin Heidelberg, 1999.
هنایم رد نادقف شور 9/36
SLIDE 23
هلمحممان یلضافتنک Impossible Differential Cryptanalysis وجتسج فدهینلبوط یاربمتحا اب یلضافت هصخشم نیرترفص لا
نییعتیدورو لضافت نییعتیجورخ لضافت ورشیپ صقانت ورسپ
Biham, et al., Miss in the Middle Attacks on IDEA and Khufu. International Workshop on Fast Software Encryption. Springer Berlin Heidelberg, 1999.
هنایم رد نادقف شور یسیرتام شور
Kim, J., S. Hong, and J. Lim, Impossible differential cryptanalysis using matrix method. Discrete Mathematics, 2010. 310(5): p. 988-1002
شور UID
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014. 263: p. 211-220
وو شور-گناو
Wu, S. and M. Wang. Automatic search of truncated impossible differentials for word-oriented block ciphers. in International Conference
- n Cryptology in India. 2012. Springe
/36 9
SLIDE 24
یسیرتام شور Matrix method 10 /36
SLIDE 25
فیرعت لضافت عاونا 𝟏لضافترفص 𝒎𝒋رفص ریغ و تبا لضافت 𝒏𝒋ریغ و هاوخلد لضافترفص 𝒔𝒋هاوخلد لضافت
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
10 /36
SLIDE 26
یبلاق زمر راتخاس دینک ضرف 𝑇 یاراد 𝑜 رادرب و دشاب بلاقریز 𝑉 = 𝑣1, ⋯ ,𝑣𝑜 دشاب یدورو لضافت رادرب
یسیرتام شور Matrix method
فیرعت : یلضافت رادرب ود
𝑉 = 𝑣1, ⋯ ,𝑣𝑜 و 𝑊 = 𝑤1, ⋯ ,𝑤𝑜هعومجمریز کی رگا دنتسه راگزاسان 𝐽 ⊆ 1,2, ⋯ ,𝑜 هک یروط هب دشاب هتشاد دوجو
⨁𝑗∈𝐽𝑣𝑗 ≠ ⨁𝑗∈𝐽𝑤𝑗
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
11 /36
SLIDE 27
یبلاق زمر راتخاس دینک ضرف 𝑇 یاراد 𝑜 رادرب و دشاب بلاقریز 𝑉 = 𝑣1, ⋯ ,𝑣𝑜 دشاب یدورو لضافت رادرب
𝑉 = 𝑚1⨁𝑛1, 0 𝑊 = 𝑚1, 0 𝑚1⨁𝑛1 ≠ 𝑚1
لاثم(راگزاسان یلضافت یاهرادرب)
یسیرتام شور Matrix method
فیرعت : یلضافت رادرب ود
𝑉 = 𝑣1, ⋯ ,𝑣𝑜 و 𝑊 = 𝑤1, ⋯ ,𝑤𝑜هعومجمریز کی رگا دنتسه راگزاسان 𝐽 ⊆ 1,2, ⋯ ,𝑜 هک یروط هب دشاب هتشاد دوجو
⨁𝑗∈𝐽𝑣𝑗 ≠ ⨁𝑗∈𝐽𝑤𝑗
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
11 /36
SLIDE 28
یبلاق زمر راتخاس دینک ضرف 𝑇 یاراد 𝑜 رادرب و دشاب بلاقریز 𝑉 = 𝑣1, ⋯ ,𝑣𝑜 دشاب یدورو لضافت رادرب
𝑉 = 𝑚1⨁𝑛1, 0 𝑊 = 𝑚1, 0 𝑚1⨁𝑛1 ≠ 𝑚1
لاثم(راگزاسان یلضافت یاهرادرب)
𝑉 = 𝑣1, 𝑣2 = 𝑚1, 𝑚1⨁𝑛1 𝑊 = 𝑤1, 𝑤2 = 𝑛2, 𝑛2 𝑣1⨁𝑣2 = 𝑛1 𝑤1⨁𝑤2 = 0 یسیرتام شور Matrix method
فیرعت : یلضافت رادرب ود
𝑉 = 𝑣1, ⋯ ,𝑣𝑜 و 𝑊 = 𝑤1, ⋯ ,𝑤𝑜هعومجمریز کی رگا دنتسه راگزاسان 𝐽 ⊆ 1,2, ⋯ ,𝑜 هک یروط هب دشاب هتشاد دوجو
⨁𝑗∈𝐽𝑣𝑗 ≠ ⨁𝑗∈𝐽𝑤𝑗
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
11 /36
SLIDE 29
نییعت لضافتیجورخ 𝑊0 نییعت یدورو لضافت 𝑉0 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
12 /36
SLIDE 30
نییعت لضافتیجورخ 𝑊0 𝑘رود نییعت یدورو لضافت 𝑉0 𝑗رود 𝑉𝑗 𝑊𝑘 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
12 /36
SLIDE 31
نییعت لضافتیجورخ 𝑊0 𝑘رود نییعت یدورو لضافت 𝑉0 𝑗رود راگزاسان 𝑉𝑗 𝑊𝑘
𝑉0 ↛𝑗+𝑘 𝑊0
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
12 /36
SLIDE 32
نییعت لضافتیجورخ 𝑊0 𝑘رود نییعت یدورو لضافت 𝑉0 𝑗رود راگزاسان 𝑉𝑗 𝑊𝑘
𝑉0 ↛𝑗+𝑘 𝑊0
لاقتنایدورویجورخ 𝟏 𝒚 ∈ 𝟏, 𝒎𝒋, 𝒏𝒋, 𝒔𝒋 𝟏 𝟐 𝒚 ∈ 𝟏, 𝒎𝒋, 𝒏𝒋, 𝒔𝒋 𝒚 𝔾 𝟏 𝟏 𝒎𝒋 𝒏𝒌 𝒏𝒋 𝒏𝒌 تروصنیا ریغ رد 𝒔𝒌 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
12 /36
SLIDE 33
نکممان یلضافت هصخشم کی5یلتسیف یاهراتخاس زا یرود 𝑉0 = (𝑚1, 0) ↛5 𝑊0 = (0, 𝑚1)
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
13 /36
SLIDE 34
نکممان یلضافت هصخشم کی5یلتسیف یاهراتخاس زا یرود 𝑉0 = (𝑚1, 0) ↛5 𝑊0 = (0, 𝑚1)
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
13 /36
SLIDE 35
𝑧1, 𝑧2, 𝑧3, 𝑧4 = 𝐺(𝑦1)⨁𝑦2 , 𝑦3, 𝑦4, 𝐺(𝑦1) 𝑧1 𝑧2 𝑧3 𝑧4 𝑦1 𝑦2 𝑦3 𝑦4 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
14 /36
SLIDE 36
𝑧1, 𝑧2, 𝑧3, 𝑧4 = 𝐺(𝑦1)⨁𝑦2 , 𝑦3, 𝑦4, 𝐺(𝑦1) ℰ = 𝑧1 𝑧2 𝑧3 𝑧4 𝑦1 𝑦2 𝑦3 𝑦4 𝔾 1 𝔾 1 1 = 𝑦1 𝑦2 𝑦3 𝑦4 𝑧1 𝑧2 𝑧3 𝑧4 1 𝟏 1 𝔾 1 1 𝑧1 𝑧2 𝑧3 𝑧4 𝑦1 𝑦2 𝑦3 𝑦4 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
14 /36
SLIDE 37
𝑧1, 𝑧2, 𝑧3, 𝑧4 = 𝐺(𝑦1)⨁𝑦2 , 𝑦3, 𝑦4, 𝐺(𝑦1) ℰ = 𝑧1 𝑧2 𝑧3 𝑧4 𝑦1 𝑦2 𝑦3 𝑦4 𝔾 1 𝔾 1 1 = 𝑦1 𝑦2 𝑦3 𝑦4 𝑧1 𝑧2 𝑧3 𝑧4 1 𝟏 1 𝔾 1 1 𝑉0 = (0,0,0, 𝑚1) 𝑊0 = (𝑚2, 0,0, 𝑚2) 𝑉2 = ((𝑉0. ℰ). ⋯ . ℰ
2 𝑢𝑗𝑛𝑓𝑡
) 𝑊14 = ((𝑊0. ). ⋯ .
14 𝑢𝑗𝑛𝑓𝑡
) راگزاسان 𝑧1 𝑧2 𝑧3 𝑧4 𝑦1 𝑦2 𝑦3 𝑦4 یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
14 /36
SLIDE 38
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
15 /36
SLIDE 39
یسیرتام شور Matrix method
Luo, Y., et al., A unified method for finding impossible differentials of block cipher structures. Information Sciences, 2014
15 /36
SLIDE 40
نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
ضقانت هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 16 /36
SLIDE 41
نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
ضقانت نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
ضقانت هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 16 /36
SLIDE 42
نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
ضقانت نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
𝑠3 𝑠
4
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 16 /36
SLIDE 43
نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
ضقانت نییعت لضافتیجورخ 𝑠2رود نییعت یدورو لضافت 𝑠
1رود
𝑠3 𝑠
4
ضقانت هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 16 /36
SLIDE 44
SIMECK
متیروگلاکمیاس
Yang, et al. "The SIMECK family of lightweight block ciphers." International Workshop on Cryptographic Hardware and Embedded Systems. Springer, Berlin, Heidelberg, 2015.
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 17 /36
SLIDE 45
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method
Sadeghi, Sadegh, and Nasour Bagheri. "Improved zero-correlation and impossible differential cryptanalysis
- f reduced-round SIMECK block cipher." IET Information Security 2018.
18 /36
SLIDE 46
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method
Sadeghi, Sadegh, and Nasour Bagheri. "Improved zero-correlation and impossible differential cryptanalysis
- f reduced-round SIMECK block cipher." IET Information Security 2018.
18 /36
SLIDE 47
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 ? 000 0000 0000 0000 000? 0001
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method
Sadeghi, Sadegh, and Nasour Bagheri. "Improved zero-correlation and impossible differential cryptanalysis
- f reduced-round SIMECK block cipher." IET Information Security 2018.
18 /36
SLIDE 48
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3 <<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+9 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+12
1000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 ?000 0000 0000 00?0 00?? 001? ?000 0000 0000 00?0 00?? 001? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?00? ?00? ??0? ???? ???? ???? 0000 0000 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? ?01? ??00 0000 00?0 00?? 00?? ?01? ??00 0000 00?0 00?? 00?? ?1?? ??00 0?00 0??0 0??? 0??? ?1?? ??00 0?00 0??0 0??? 0??? ???? ??00 ??00 ???0 ???? ????
<<< 5 & <<< 1 rki+6
?00? ?00?? ?0? ???? ???? ???? ?0?? ?0?? ???? ???? ???? ???? ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? Contradiction In 13 rounds
Sadeghi, et al. IET Information Security 2018
19 /36
SLIDE 49
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3 <<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+9 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+12
1000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 ?000 0000 0000 00?0 00?? 001? ?000 0000 0000 00?0 00?? 001? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?00? ?00? ??0? ???? ???? ???? 0000 0000 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? ?01? ??00 0000 00?0 00?? 00?? ?01? ??00 0000 00?0 00?? 00?? ?1?? ??00 0?00 0??0 0??? 0??? ?1?? ??00 0?00 0??0 0??? 0??? ???? ??00 ??00 ???0 ???? ????
<<< 5 & <<< 1 rki+6
?00? ?00?? ?0? ???? ???? ???? ?0?? ?0?? ???? ???? ???? ???? ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? Contradiction In 13 rounds
<<< 5 & <<< 1 rki+8
???? ??00 ??00 ???0 ???? ???? ???? ??0? ??0? ???? ???? ????
<<< 5 & <<< 1 rki+7
???? ??0? ??0? ???? ???? ???? ???? ???? ???? ???? ???? ????
Sadeghi, et al. IET Information Security 2018
19 /36
SLIDE 50
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3 <<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+9 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+12
1000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 ?000 0000 0000 00?0 00?? 001? ?000 0000 0000 00?0 00?? 001? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?00? ?00? ??0? ???? ???? ???? 0000 0000 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? ?01? ??00 0000 00?0 00?? 00?? ?01? ??00 0000 00?0 00?? 00?? ?1?? ??00 0?00 0??0 0??? 0??? ?1?? ??00 0?00 0??0 0??? 0??? ???? ??00 ??00 ???0 ???? ????
<<< 5 & <<< 1 rki+6
?00? ?00?? ?0? ???? ???? ???? ?0?? ?0?? ???? ???? ???? ???? ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? Contradiction In 13 rounds
<<< 5 & <<< 1 rki+8
???? ??00 ??00 ???0 ???? ???? ???? ??0? ??0? ???? ???? ????
<<< 5 & <<< 1 rki+7
???? ??0? ??0? ???? ???? ???? ???? ???? ???? ???? ???? ????
Sadeghi, et al. IET Information Security 2018
19 /36
SLIDE 51
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3 <<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+9 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+12
1000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 ?000 0000 0000 00?0 00?? 001? ?000 0000 0000 00?0 00?? 001? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?00? ?00? ??0? ???? ???? ???? 0000 0000 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? ?01? ??00 0000 00?0 00?? 00?? ?01? ??00 0000 00?0 00?? 00?? ?1?? ??00 0?00 0??0 0??? 0??? ?1?? ??00 0?00 0??0 0??? 0??? ???? ??00 ??00 ???0 ???? ????
<<< 5 & <<< 1 rki+6
?00? ?00?? ?0? ???? ???? ???? ?0?? ?0?? ???? ???? ???? ???? ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? Contradiction In 13 rounds
<<< 5 & <<< 1 rki+8
???? ??00 ??00 ???0 ???? ???? ???? ??0? ??0? ???? ???? ????
<<< 5 & <<< 1 rki+7
???? ??0? ??0? ???? ???? ???? ???? ???? ???? ???? ???? ????
Sadeghi, et al. IET Information Security 2018
19 /36
SLIDE 52
0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 0000 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3 <<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+9 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+12
1000 0000 0000 0000 0000 0000 ?000 0000 0000 0000 000? 0001 ?000 0000 0000 00?0 00?? 001? ?000 0000 0000 00?0 00?? 001? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?000 0000 0?00 0??0 0??? 01?? ?000 ?000 ??00 ???0 ???? 1??? ?00? ?00? ??0? ???? ???? ???? 0000 0000 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 0000 0100 0000 0000 0000 0000 ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? ?01? ??00 0000 00?0 00?? 00?? ?01? ??00 0000 00?0 00?? 00?? ?1?? ??00 0?00 0??0 0??? 0??? ?1?? ??00 0?00 0??0 0??? 0??? ???? ??00 ??00 ???0 ???? ????
<<< 5 & <<< 1 rki+6
?00? ?00?? ?0? ???? ???? ???? ?0?? ?0?? ???? ???? ???? ???? ?000 1?00 0000 0000 0000 0000 ?001 ??00 0000 0000 000? 000? Contradiction In 13 rounds
<<< 5 & <<< 1 rki+8
???? ??00 ??00 ???0 ???? ???? ???? ??0? ??0? ???? ???? ????
<<< 5 & <<< 1 rki+7
???? ??0? ??0? ???? ???? ???? ???? ???? ???? ???? ???? ????
صقانت Sadeghi, et al. IET Information Security 2018
19 /36
SLIDE 53
یطخ هلمح
Linear cryptanalysis
- M. Matsui.
Linear cryptanalysis method for DES cipher. in Advances in Cryptology EUROCRYPT’93. 1993. Springer 20 /36
SLIDE 54
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝐹𝐿: 𝔾2
𝑜 → 𝔾2 𝑜
𝑞 = 𝑄𝑠
𝑦 𝛽. 𝑦 = 𝛾. 𝐹𝐿 𝑦
≠ 1 2
یطخ هلمح لامتحا اب رخآ رود یاه تیب و دیلک ،یلصا نتم یاه تیب زا یضعب نیب یطخ هطبار کی نتفای فده صخشم ی Linear cryptanalysis
21 /36
SLIDE 55
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝐹𝐿: 𝔾2
𝑜 → 𝔾2 𝑜
𝑞 = 𝑄𝑠
𝑦 𝛽. 𝑦 = 𝛾. 𝐹𝐿 𝑦
≠ 1 2 𝜁 = |𝑞 − 1 2 |
یطخ هلمح لامتحا اب رخآ رود یاه تیب و دیلک ،یلصا نتم یاه تیب زا یضعب نیب یطخ هطبار کی نتفای فده صخشم ی Linear cryptanalysis
21 /36
SLIDE 56
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝐹𝐿: 𝔾2
𝑜 → 𝔾2 𝑜
𝑞 = 𝑄𝑠
𝑦 𝛽. 𝑦 = 𝛾. 𝐹𝐿 𝑦
≠ 1 2 𝜁 = |𝑞 − 1 2 |
یطخ هلمح لامتحا اب رخآ رود یاه تیب و دیلک ،یلصا نتم یاه تیب زا یضعب نیب یطخ هطبار کی نتفای فده صخشم ی
ضرف دینک 𝑦𝑗 یبیرا اب یفداصت و لقتسم ییاهریغتم 𝜁𝑗 رادقم هک نیا لامتحا سپس دشاب 𝑦1⨁𝑦2⨁ … ⊕ 𝑦𝑜 = 0 اب تسا ربارب دشاب 1 2+2𝑜−1
𝑗=1 𝑜
𝜁𝑗 مل piling-up :
Linear cryptanalysis
21 /36
SLIDE 57
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝜁 ≠ 0
؟میهد ماجنا ار یطخ هلمح ،یطخ بیرقت کی نتشاد اب روطچ
22/36
یطخ هلمح Linear cryptanalysis
SLIDE 58
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝜁 ≠ 0
؟میهد ماجنا ار یطخ هلمح ،یطخ بیرقت کی نتشاد اب روطچ متیروگلا1 ییوستام متیروگلا2 ییوستام
22/36
یطخ هلمح Linear cryptanalysis
SLIDE 59
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝜁 ≠ 0
؟میهد ماجنا ار یطخ هلمح ،یطخ بیرقت کی نتشاد اب روطچ متیروگلا1 ییوستام متیروگلا2 ییوستام دهد یم دیلک زا علبطا تیب کی ام هب( 𝛿.𝐿 = 0 ای 𝛿.𝐿 = 1 ) یا هداد یگدیچیپ(لیلحت یارب زاین دروم نآ هدشزمر و نتم نتم دادعت:) 𝑂 = 1 𝜁2
22 /36
یطخ هلمح Linear cryptanalysis
SLIDE 60
𝛽. 𝑦 ⨁𝛾. E𝐿 𝑦 = 𝛿. 𝐿 𝜁 ≠ 0
؟میهد ماجنا ار یطخ هلمح ،یطخ بیرقت کی نتشاد اب روطچ
16𝜁−2 8𝜁−2 4𝜁−2 2𝜁−2 𝑂 99.9 % 96.7 % 78.5 % 48.6 %
رد تیقفوم دصرد متیروگلا2
متیروگلا1 ییوستام متیروگلا2 ییوستام دهد یم دیلک زا علبطا تیب کی ام هب( 𝛿.𝐿 = 0 ای 𝛿.𝐿 = 1 ) یا هداد یگدیچیپ(لیلحت یارب زاین دروم نآ هدشزمر و نتم نتم دادعت:) 𝑂 = 1 𝜁2 دیلک یاه تیب زا یضعب یبایزاب یارب یرامآ لیلحت شور کی
22/36
یطخ هلمح Linear cryptanalysis
SLIDE 61
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
23 /36
یطخ هلمح Linear cryptanalysis
SLIDE 62
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
23 /36
یطخ هلمح Linear cryptanalysis
SLIDE 63
𝑌2⨁𝑌3 = 𝑍
1⨁𝑍 3⨁𝑍 4
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
23 /36
یطخ هلمح Linear cryptanalysis
SLIDE 64
𝑌2⨁𝑌3 = 𝑍
1⨁𝑍 3⨁𝑍 4
23 /36
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
یطخ هلمح Linear cryptanalysis
SLIDE 65
𝑌2⨁𝑌3 = 𝑍
1⨁𝑍 3⨁𝑍 4
12 16 = 3 4
Linear cryptanalysisیطخ هلمح
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
23 /36
SLIDE 66
𝑌2⨁𝑌3 = 𝑍
1⨁𝑍 3⨁𝑍 4
12 16 = 3 4
Linear cryptanalysisیطخ هلمح
Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
23 /36 𝛽 = 0110 → 𝛾 = (1011) 3 4
SLIDE 67
𝑄 𝑉1 𝑊
1
𝑉4 𝑉3 𝑉2 𝑊
4
𝑊
3
𝑊
2
3 4 1 4 1 4 1 4
𝑉4,6⨁𝑉4,8⨁𝑉4,14⨁𝑉4,16⨁𝑄
5⨁𝑄 7⨁𝑄 8
⨁𝐿1,5⨁𝐿
1,7⨁𝐿1,8⨁𝐿2,6⨁𝐿3,6⨁𝐿3,14 = 0
1 2 + 23 3 4 − 1 2 1 4 − 1 2
3
= 15 32 Heys, Howard M. "A tutorial on linear and differential cryptanalysis." Cryptologia 26.3 (2002): 189-221.
24 /36
Linear cryptanalysisیطخ هلمح
SLIDE 68
رفص یگتسبمه هلمح
- A. Bogdanov and V. Rijmen,
Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
Zero-Correlation Cryptanalysis
25 /36
SLIDE 69
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis کی ندرک ادیپ فده یطخ ششوپ اقیقد لامتحا اب
1 2یمدشاب
26/36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 70
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
𝐺: 𝔾2
𝑜 → 𝔾2 𝑜
f1 f2 fr F:
_ 𝑔
𝑗
𝑣𝑗 𝑣𝑗−1 𝐺 = 𝑔
𝑠 ∘ ⋯ ∘ 𝑔 1
یطخ بیرقت 𝑣𝑗−1 → 𝑣𝑗 ابیدورو باقن 𝑣𝑗−1 یجورخ باقن و 𝑣𝑗 تشاگن یارب ار 𝑔
𝑗دیریگب رظن رد.
𝑣𝑗−1. 𝑦⨁𝑣𝑗. 𝑔
𝑗 𝑦 = 0
𝑄𝑠
𝑦 𝑣𝑗−1⨁𝑦 = 𝑣𝑗 ⊕ 𝑔 𝑗 𝑦
اقیقد لامتحا اب یطخ ششوپ کی ندرک ادیپ فده
1 2یمدشاب
26/36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 71
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
𝐺: 𝔾2
𝑜 → 𝔾2 𝑜
f1 f2 fr F:
_ 𝑔
𝑗
𝑣𝑗 𝑣𝑗−1 𝐺 = 𝑔
𝑠 ∘ ⋯ ∘ 𝑔 1
یطخ بیرقت 𝑣𝑗−1 → 𝑣𝑗 ابیدورو باقن 𝑣𝑗−1 یجورخ باقن و 𝑣𝑗 تشاگن یارب ار 𝑔
𝑗دیریگب رظن رد.
𝑣𝑗−1. 𝑦⨁𝑣𝑗. 𝑔
𝑗 𝑦 = 0
𝑄𝑠
𝑦 𝑣𝑗−1⨁𝑦 = 𝑣𝑗 ⊕ 𝑔 𝑗 𝑦
اقیقد لامتحا اب یطخ ششوپ کی ندرک ادیپ فده
1 2یمدشاب
𝐷𝑣𝑗−1,𝑣𝑗
𝑔𝑗
= 2𝑄𝑠
𝑦 𝑣𝑗−1⨁𝑦 = 𝑣𝑗 ⊕ 𝑔 𝑗 𝑦
− 1
f1 f2 fr u0=α u0
C
,u1 f1 u1 u2 ur-1 ur=β u1
C
,u2 f2 ur-1
C
,ur f2
دوش یم فیرعت ریز تروص هب یطخ بیرقت نیا یگتسبمه: 26
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
/36
SLIDE 72
f1 f2 fr u0=α u0
C
,u1 f1 u1 u2 ur-1 ur=β u1
C
,u2 f2 ur-1
C
,ur f2
یطخ هلابند هب تبسن یطخ یگتسبمه 𝑉 = (𝑣0,𝑣1, … ,𝑣𝑠−1,𝑣𝑠) اب ار 𝐷𝑣یام نااشن رایز ترواص هاب و میاهد یم فیرعتدوش: 𝐷𝑣 =
𝑗=1 𝑠
𝐷𝑣𝑗−1,𝑣𝑗
𝑔𝑗
𝑉 = (𝑣0 = 𝜷, 𝑣1, … , 𝑣𝑠−1, 𝑣𝑠 = 𝜸)
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
26 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 73
f1 f2 fr u0=α u0
C
,u1 f1 u1 u2 ur-1 ur=β u1
C
,u2 f2 ur-1
C
,ur f2
یطخ هلابند هب تبسن یطخ یگتسبمه 𝑉 = (𝑣0,𝑣1, … ,𝑣𝑠−1,𝑣𝑠) اب ار 𝐷𝑣یام نااشن رایز ترواص هاب و میاهد یم فیرعتدوش: 𝐷𝑣 =
𝑗=1 𝑠
𝐷𝑣𝑗−1,𝑣𝑗
𝑔𝑗
𝑉 = (𝑣0 = 𝜷, 𝑣1, … , 𝑣𝑠−1, 𝑣𝑠 = 𝜸) یگتسبمه 𝐷 یطخ هلابند یگتسبمه عومجم اب ربارب 𝑉 ینعی 𝐷𝑉 یدورو باقن اب 𝛽 یاجورخ باقن و 𝛾یامداشاب . میراد نیاربانب: 𝐷 =
𝑉:𝑣0=𝛽,𝑣𝑠=𝛾
𝐷𝑉
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
26 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 74
f1 f2 fr u0=α u0
C
,u1 f1 u1 u2 ur-1 ur=β u1
C
,u2 f2 ur-1
C
,ur f2
یطخ هلابند هب تبسن یطخ یگتسبمه 𝑉 = (𝑣0,𝑣1, … ,𝑣𝑠−1,𝑣𝑠) اب ار 𝐷𝑣یام نااشن رایز ترواص هاب و میاهد یم فیرعتدوش: 𝐷𝑣 =
𝑗=1 𝑠
𝐷𝑣𝑗−1,𝑣𝑗
𝑔𝑗
𝑉 = (𝑣0 = 𝜷, 𝑣1, … , 𝑣𝑠−1, 𝑣𝑠 = 𝜸) یگتسبمه 𝐷 یطخ هلابند یگتسبمه عومجم اب ربارب 𝑉 ینعی 𝐷𝑉 یدورو باقن اب 𝛽 یاجورخ باقن و 𝛾یامداشاب . میراد نیاربانب: 𝐷 =
𝑉:𝑣0=𝛽,𝑣𝑠=𝛾
𝐷𝑉 یدورو باقن اب یبلاق یاهزمر یور یطخ بیرقت کی 𝛽 یجورخ باقن و 𝛾یام رفاص یگتسبمه یاراد راگا داشاب 𝐷 = 0 تروص هب و دوش 𝛽 ↛ 𝛾یم هداد ناشندوش
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
26 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 75
یگژیو2( رگلمع هب طوبرم بیرقت XOR :)باقنیام رابارب مهااب رگلمع نیا یجورخ و یدورو هب طوبرم یاه- رگلمع یور یگتسبمه تروصنیا ریغ رد دنشاب XORیم رفص اب رباربدشاب. یگژیو1(هخاش هس رگلمع هب طوبرم بیرقتیا :) عومجم XOR هاس راگلمع یاجورخ و یدورو یااه بااقن هخاشیم رفص اب ربارب یایم رفص اب ربارب رگلمع نیا یور یگتسبمه تروصنیا ریغ رد دشابدشاب. یگژیو2(اهتشگیاج هب طوبرم بیرقت :)باقن و یدورو هب طوبرم یاهاه اای دنتسه رفص ودره ای یجورخ ودر میراد رفص یگتسبمه تروصنیا ریغ رد رفص ریغ. 𝑏 𝑐 𝑑 𝑏⨁𝑐⨁𝑑 = 0 𝑏 𝑐 𝑑 𝑏 = 𝑐 = 𝑑 𝑏 𝑐 𝑏 = 𝑐 = 0 𝑏 ≠ 0,𝑐 ≠ 0
هلمحص یگتسبمهرف Zero-Correlation Cryptanalysis
27 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 76
رفص یگتسبمه Zero-Correlation
نییعتیدورو باقن نییعتیجورخ باقن ورشیپ صقانت ورسپ یسیرتام شور
Soleimany, Hadi, and Kaisa Nyberg. "Zero-correlation linear cryptanalysis of reduced-round LBlock." Designs, codes and cryptography 73.2 (2014): 683- 698. Biham, et al., Miss in the Middle Attacks on IDEA and Khufu. International Workshop on Fast Software Encryption. Springer Berlin Heidelberg, 1999.
هنایم رد نادقف هلمح شور 28/36
SLIDE 77
هنایم رد نادقف شور Miss in the Middle method 29 /36
SLIDE 78
یلتسیف یاهراتخاس یارب رفص یگتسبمه هصخشم رود جنپ
هنایم رد نادقف شور Miss in the Middle method 29 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 79
یلتسیف یاهراتخاس یارب رفص یگتسبمه هصخشم رود جنپ
a a
هنایم رد نادقف شور Miss in the Middle method 29 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 80
یلتسیف یاهراتخاس یارب رفص یگتسبمه هصخشم رود جنپ
a a
a b b b b b a a a a b
هنایم رد نادقف شور Miss in the Middle method 29 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 81
یلتسیف یاهراتخاس یارب رفص یگتسبمه هصخشم رود جنپ
a a a b b b b b a a a a b a a a a a a b
هنایم رد نادقف شور Miss in the Middle method 29 /36
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
SLIDE 82
Bogdanov, A. and V. Rijmen, Linear hulls with correlation zero and linear cryptanalysis of block ciphers. Designs, codes and cryptography, 2014. 70(3): p. 369-383
یلتسیف یاهراتخاس یارب رفص یگتسبمه هصخشم رود جنپ
a a a b b b b b a a a a b a a a a a a b
هنایم رد نادقف شور Miss in the Middle method 29 /36
SLIDE 83
SIMECK
متیروگلاکمیاس
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 30 /36
SLIDE 84
1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3
رد قانت 11 رود
000? 1000 ?000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? 1000 ?000 0000 0000 0000 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? ???1 ???? 0??? 00?? 000? 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ???? ???? ???? ?0?? ?00? ?000 ?000 000? ???1 ???? 0??? 00?? 000? 0000 0000 0?0? ???? ???? ???? ???? ??0? ??00 ??00 000? ???? ???? ???? ?0?? ?00? ?000 ?000
<<< 5& <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+1231 /36
Sadeghi, et al. IET Information Security 2018
SLIDE 85
1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3
رد قانت 11 رود
0?0? ???? ???? ???? ???? ??0? ??00 ??00 0??? ???? ???? ???? ???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???? ????
<<< 5& <<< 1 rki+9 <<< 5 & <<< 1 rki+8
???? 1??? ?0?? ?00? ?000 ?000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? 1??? ?0?? ?00? ?000 ?000 0000 0000
<<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+6 <<< 5 & <<< 1 rki+7
???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???? ???? 0??? 00??
000? 1000 ?000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? 1000 ?000 0000 0000 0000 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? ???1 ???? 0??? 00?? 000? 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ???? ???? ???? ?0?? ?00? ?000 ?000 000? ???1 ???? 0??? 00?? 000? 0000 0000 0?0? ???? ???? ???? ???? ??0? ??00 ??00 000? ???? ???? ???? ?0?? ?00? ?000 ?000
<<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+1231 /36
Sadeghi, et al. IET Information Security 2018
SLIDE 86
1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3
رد قانت 11 رود
0?0? ???? ???? ???? ???? ??0? ??00 ??00 0??? ???? ???? ???? ???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???? ????
<<< 5& <<< 1 rki+9 <<< 5 & <<< 1 rki+8
???? 1??? ?0?? ?00? ?000 ?000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? 1??? ?0?? ?00? ?000 ?000 0000 0000
<<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+6 <<< 5 & <<< 1 rki+7
???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???? ???? 0??? 00??
000? 1000 ?000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? 1000 ?000 0000 0000 0000 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? ???1 ???? 0??? 00?? 000? 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ???? ???? ???? ?0?? ?00? ?000 ?000 000? ???1 ???? 0??? 00?? 000? 0000 0000 0?0? ???? ???? ???? ???? ??0? ??00 ??00 000? ???? ???? ???? ?0?? ?00? ?000 ?000
<<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+1231 /36
Sadeghi, et al. IET Information Security 2018
SLIDE 87
1000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 1000 0000 0000 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000 ?100 0?00 0000 0000 0000 0000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ??10 0??0 00?0 0000 0000 0000 0000 0000
<<< 5 & <<< 1 rki <<< 5 & <<< 1 rki+1 <<< 5 & <<< 1 rki+2 <<< 5 & <<< 1 rki+3
رد قانت 11 رود
0?0? ???? ???? ???? ???? ??0? ??00 ??00 0??? ???? ???? ???? ???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???0 ???0
0??? ???? ???? ????
???? ???? ???? ????
<<< 5& <<< 1 rki+9 <<< 5 & <<< 1 rki+8
???? 1??? ?0?? ?00? ?000 ?000 0000 0000 ???1 0??? 00?? 000? 0000 0000 0000 0000 ???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? 1??? ?0?? ?00? ?000 ?000 0000 0000
<<< 5 & <<< 1 rki+4 <<< 5 & <<< 1 rki+5 <<< 5 & <<< 1 rki+6 <<< 5 & <<< 1 rki+7
???? ???? ???? ??0? ??00 ??00 0?00 0000 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???0 ???0 0??0 00?0 ???? ???? ???? ???? ???? ???? 0??? 00??
000? 1000 ?000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0001 0000 0000 0000 0000 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? 1000 ?000 0000 0000 0000 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ?100 ??00 0?00 0000 0000 0000 0000 000? ???1 ???? 0??? 00?? 000? 0000 0000 000? ??10 ???0 0??0 00?0 0000 0000 0000 000? ???? ???? ???? ?0?? ?00? ?000 ?000 000? ???1 ???? 0??? 00?? 000? 0000 0000 0?0? ???? ???? ???? ???? ??0? ??00 ??00 000? ???? ???? ???? ?0?? ?00? ?000 ?000
<<< 5 & <<< 1 rki+13 <<< 5 & <<< 1 rki+14 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+15 <<< 5 & <<< 1 rki+10 <<< 5 & <<< 1 rki+11 <<< 5 & <<< 1 rki+120صقانت Sadeghi, et al. IET Information Security 2018
31 /36
SLIDE 88
SKINNYینیکسا متیروگلا
Beierle, Christof, et al. "The SKINNY family of block ciphers and its low-latency variant MANTIS." Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 2016.
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 32 /36
SLIDE 89
SKINNYینیکسا متیروگلا رفص یگتسبمه یاه هصخشم یوجتسج
رد قانت9رود 32/36
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
SLIDE 90
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 32
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
/36
SLIDE 91
32 /36
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
SLIDE 92
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
32 /36
SLIDE 93
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method 32 /36
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
SLIDE 94
رد قانت10رود
هنایم رد نادقف شورهتفای دوبهب Improved Miss in the Middle method
Sadeghi, Sadegh, Tahereh Mohammadi, and Nasour Bagheri. "Cryptanalysis of reduced round SKINNY block cipher." IACR Transactions on Symmetric Cryptology (2018): 124-162.
32 /36
SLIDE 95
یسیرتام شور یسیرتام شور Matrix method Soleimany Hadi, and Kaisa Nyberg, Zero-correlation linear cryptanalysis of reduced-round LBlock. Designs, codes and cryptography, 2014. 73(2): p. 683-698 33 /36
SLIDE 96
یگ هجیتنیر
34/36 یریگ هجیتن
SLIDE 97
یگ هجیتنیر
1
یطخ رفص یگتسبمه یلضافت نکممان یلضافت هنایم رد نادقف شور یسیرتام شور 35/36 یریگ هجیتن
SLIDE 98
یگ هجیتنیر
1 راکدوخ وجتسج شور
شور MILP شور CP SAT-Solvers
2
36 /36 یریگ هجیتن یطخ رفص یگتسبمه یلضافت نکممان یلضافت هنایم رد نادقف شور شوریسیرتام
SLIDE 99