Yığın lemma - Piling-up lemma

İçinde kriptanaliz, istiflenmiş lemma kullanılan bir ilkedir doğrusal kriptanaliz inşa etmek Doğrusal yaklaşım eylemine blok şifreleri. Tarafından tanıtıldı Mitsuru Matsui (1993) doğrusal kriptanaliz için analitik bir araç olarak.

Teori

Yığınlanan lemma, kriptanalistin, olasılık eşitlik:

{ displaystyle X_ {1} oplus X_ {2} oplus cdots oplus X_ {n} = 0}

tutar, nerede X 'ler ikili değişkenler (yani bitler: 0 veya 1).

İzin Vermek P(A) "A'nın doğru olma olasılığını" belirtir. Eşitse bir, A'nın gerçekleşeceği kesindir ve sıfıra eşitse, A olamaz. Her şeyden önce, iki ikili değişken için yığılma lemmasını ele alıyoruz, burada ${ displaystyle P (X_ {1} = 0) = p_ {1}}$ ve ${ displaystyle P (X_ {2} = 0) = p_ {2}}$ .

Şimdi şunu düşünüyoruz:

{ displaystyle P (X_ {1} oplus X_ {2} = 0)}

Özelliklerinden dolayı Xor işlem, bu eşdeğerdir

{ displaystyle P (X_ {1} = X_ {2})}

X₁ = X₂ = 0 ve X₁ = X₂ = 1 birbirini dışlayan olaylar yani söyleyebiliriz

{ displaystyle P (X_ {1} = X_ {2}) = P (X_ {1} = X_ {2} = 0) + P (X_ {1} = X_ {2} = 1) = P (X_ { 1} = 0, X_ {2} = 0) + P (X_ {1} = 1, X_ {2} = 1)}

Şimdi, yığılma lemasının temel varsayımını yapmalıyız: uğraştığımız ikili değişkenler bağımsız; yani, birinin durumu, diğerlerinin herhangi birinin durumu üzerinde hiçbir etkiye sahip değildir. Böylece olasılık fonksiyonunu aşağıdaki gibi genişletebiliriz:

${ displaystyle P (X_ {1} oplus X_ {2} = 0)}$	${ displaystyle = P (X_ {1} = 0) P (X_ {2} = 0) + P (X_ {1} = 1) P (X_ {2} = 1)}$
	${ displaystyle = p_ {1} p_ {2} + (1-p_ {1}) (1-p_ {2})}$
	${ displaystyle = p_ {1} p_ {2} + (1-p_ {1} -p_ {2} + p_ {1} p_ {2})}$
	${ displaystyle = 2p_ {1} p_ {2} -p_ {1} -p_ {2} +1}$

Şimdi olasılıkları ifade ediyoruz p₁ ve p₂ ½ + ε olarak₁ ve ½ + ε₂, ε'lerin olasılık önyargıları olduğu yerde - olasılığın ½'dan saptığı miktar.

${ displaystyle P (X_ {1} oplus X_ {2} = 0)}$	${ displaystyle = 2 (1/2 + epsilon _ {1}) (1/2 + epsilon _ {2}) - (1/2 + epsilon _ {1}) - (1/2 + epsilon _ {2}) + 1}$
	${ displaystyle = 1/2 + epsilon _ {1} + epsilon _ {2} +2 epsilon _ {1} epsilon _ {2} -1 / 2- epsilon _ {1} -1/2 - epsilon _ {2} +1}$
	${ displaystyle = 1/2 + 2 epsilon _ {1} epsilon _ {2}}$

Böylece olasılık yanlılığı ε_1,2 yukarıdaki XOR toplamı için 2ε₁ε₂.

Bu formül daha fazlasına genişletilebilir X aşağıdaki gibidir:

{ displaystyle P (X_ {1} oplus X_ {2} oplus cdots oplus X_ {n} = 0) = 1/2 + 2 ^ {n-1} prod _ {i = 1} ^ { n} epsilon _ {i}}

Ε'lerden herhangi biri sıfırsa; yani, ikili değişkenlerden biri tarafsızdır, tüm olasılık işlevi tarafsız olacaktır - ½'ye eşittir.

Yanlılığın ilgili biraz farklı bir tanımı şudur: ${ displaystyle epsilon _ {i} = P (X_ {i} = 1) -P (X_ {i} = 0),}$ aslında eksi önceki değerin iki katı. Avantaj şu anda

${ displaystyle varepsilon _ {toplam} = P (X_ {1} oplus X_ {2} oplus cdots oplus X_ {n} = 1) -P (X_ {1} oplus X_ {2} oplus cdots oplus X_ {n} = 0)}$

sahibiz

{ displaystyle varepsilon _ {toplam} = (- 1) ^ {n + 1} prod _ {i = 1} ^ {n} varepsilon _ {i},}

rastgele değişkenler eklemek onların (2. tanım) önyargılarını çarpmak anlamına gelir.

Uygulama

Uygulamada, Xs yaklaşık değerlerdir S kutuları blok şifrelerinin (ikame bileşenleri). Tipik, X değerler S kutusunun girdileridir ve Y değerler karşılık gelen çıktılardır. Kriptanalist, sadece S kutularına bakarak, olasılık önyargılarının ne olduğunu söyleyebilir. İşin püf noktası, sıfır veya bir olasılığa sahip giriş ve çıkış değerlerinin kombinasyonlarını bulmaktır. Yaklaşım sıfıra veya bire ne kadar yakınsa, doğrusal kriptanalizde yaklaşım o kadar yararlıdır.

Bununla birlikte, pratikte ikili değişkenler, yığılma lemasının türetilmesinde varsayıldığı gibi bağımsız değildir. Lemmayı uygularken bu husus akılda tutulmalıdır; otomatik bir kriptanaliz formülü değildir.

Referanslar

Matsui, Mitsuru (1994). "DES Cipher için Doğrusal Kriptanaliz Yöntemi". Kriptolojideki Gelişmeler — EUROCRYPT ’93. Springer. s. 386–397. doi:10.1007/3-540-48285-7_33.