Mă chinui să înțeleg atacul DS-MITM asupra AES (Hârtie originală). În special distincția cu 4 runde de către Gilbert și Minier (secțiunea 3).
Am ideea de bază că verificăm exact pe ce octeți de intrare și octeți-cheie prima intrare a stării AES după trei runde $C_{11}^{(3)}$ depinde. Deci avem o funcție
$f: a_{11} \longrightarrow C_{11}^{(3)}$
(Unde $a_{11}$ este primul octet de text simplu) care este determinat în întregime de 9 valori de un octet {$c_1,\ldots,c_8,K_{11}^{(3)}$}.
Acum nu înțeleg deloc cum se folosește acest lucru pentru a defini un deosebitor pentru AES cu 4 runde. Se afirmă că ideea de bază este de a găsi o coliziune a acestor funcții, dar nu pot înțelege cum este suficient acest lucru pentru un deosebitor.
Propunerea de definire a acestui deosebitor prevede următoarele:
Luați în considerare un set de 256 de texte clare unde intrarea $a_{11}$
este activ și toate celelalte intrări sunt pasive. Aplicați 4 runde de AES la aceasta
a stabilit. Lasă funcția $S^{â1}$ notează inversul cutiei s AES și $k^{(4)}$ denota
$0E · K^{(4)}_{11} + 0B · K^{(4)}_{21} + 0D · K^{(4)}_{31} + 09 · K ^{(4)}_{41} .$
Atunci
$S^{-1}[0E · C^{(4)}_{11} + 0B · C^{(4)}_{21} + 0D · C^{(4)}_{ 31} + 09 · C^{(4)}_{41} +k^{(4)}]$
este o functie a $a_{11}$ determinată în întregime de 1 octet de cheie și 8 octeți care depind de cheie și de intrările pasive. Prin urmare,
$0E · C^{(4)}_{11} + 0B · C^{(4)}_{21} + 0D · C^{(4)}_{31} + 09 · C ^{(4)}_{41}$
este o functie a $a_11$ determinată în întregime de 10 octeți constanți.
Pe scurt, am 2 întrebări:
- Unde funcționează aceasta cu coeficienți 0 E, 0 miliarde $, etc provin din?
- Cum definește această proprietate un deosebitor pe AES?
Editare: În ceea ce privește întrebarea 1, am aflat că derivă din polinomul invers care definește MixColumns.
