Aplicaciones de Cuerpos Finitos en la criptografía de...

218
Aplicaciones de Cuerpos Finitos en la criptografía de clave simétrica Daniel Penazzi 19 de octubre de 2017 Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 1 / 42

Transcript of Aplicaciones de Cuerpos Finitos en la criptografía de...

Page 1: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Aplicaciones de Cuerpos Finitos en la criptografíade clave simétrica

Daniel Penazzi

19 de octubre de 2017

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 1 / 42

Page 2: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Tabla de Contenidos

1 Cifradores de clave simétrica (confidencialidad)Conceptos básicosAES

2 Criptoanálisis Diferencial (DC)∆’sδ-uniformidad

3 El Teorema de Nyberg

4 Criptoanálisis Lineal (LC)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 2 / 42

Page 3: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Confidencialidad

Problema:

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 3 / 42

Page 4: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Confidencialidad

Problema:

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 3 / 42

Page 5: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Solución: Cifradores

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 4 / 42

Page 6: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Tipos de ataques

“ciphertext-only”

“known plaintext”.“chosen plaintext”.“chosen chiphertext”.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 5 / 42

Page 7: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Tipos de ataques

“ciphertext-only”“known plaintext”.

“chosen plaintext”.“chosen chiphertext”.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 5 / 42

Page 8: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Tipos de ataques

“ciphertext-only”“known plaintext”.“chosen plaintext”.

“chosen chiphertext”.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 5 / 42

Page 9: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Tipos de ataques

“ciphertext-only”“known plaintext”.“chosen plaintext”.“chosen chiphertext”.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 5 / 42

Page 10: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.

m = m1||m2||...ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 11: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.m = m1||m2||...

ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 12: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.m = m1||m2||...ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 13: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.m = m1||m2||...ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 14: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.m = m1||m2||...ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )

Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 15: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Block Ciphers

Muchos cifradores son del tipo llamado block cipher (cifradores debloque) o cifradores de substitución.m = m1||m2||...ECB: ci = EK (mi)

mi = mj ⇒ ci = cj

CBC: ci = Ek (mi ⊕ ci−1). (c0 = IV )Counter ci = mi ⊕ Ek (IV + i)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 6 / 42

Page 16: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

ECB - Electronic CodebookPatrones en el texto cifrado. (imagen de M.Montes)

K1 K2 K3 K4

K5

K6

Imagen original

Cifrada en modo ECB

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 7 / 42

Page 17: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

ECB - Electronic CodebookPatrones en el texto cifrado. (imagen de M.Montes)

K1 K2 K3 K4

K5

K6

Imagen original Cifrada en modo ECB

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 7 / 42

Page 18: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.

En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 19: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.

No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 20: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.

¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 21: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?

Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 22: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.

Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 23: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.

Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 24: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".

Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 25: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Rondas

Bloques demasiado chicos permiten diversos ataques.En la actualidad los cifradores de bloque mas usados tienentamaño de 128 bits.No se puede hacer una tabla con 2128 entradas.¿cómo implementar un cifrador con un bloque tan grande?Se pueden usar operaciones sobre subbloques mas chicos.Pero hay que asegurarse que todos los bits de la salida dependande todos los bits de la entrada.Una técnica básica de los cifradores modernos es repetir susoperaciones a lo largo de varias "rondas".Ejemplo: DES: 16 rondas, AES 10,12 o 14 rondas, etc.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42

Page 26: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Cifradores de Hill

En la decada del 1920 Hill inventó cifradores con bloquesrelativamente grandes para la epoca usando transformacioneslineales sobre ZZn, de forma tal que todos las letras de salidadependieran de todas las letras de entrada.

Los cifradores de Hill son resistentes a ataques de tipo ciphertextonly, pero son muy débiles contra ataques de tipo chosenplaintext.

Basta un numero relativamente bajo de textos planos linealmenteindependientes para quebrarlo

La lección aprendida con Hill es que todos los cifradores debentener al menos una componente no lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 9 / 42

Page 27: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Cifradores de Hill

En la decada del 1920 Hill inventó cifradores con bloquesrelativamente grandes para la epoca usando transformacioneslineales sobre ZZn, de forma tal que todos las letras de salidadependieran de todas las letras de entrada.Los cifradores de Hill son resistentes a ataques de tipo ciphertextonly, pero son muy débiles contra ataques de tipo chosenplaintext.

Basta un numero relativamente bajo de textos planos linealmenteindependientes para quebrarlo

La lección aprendida con Hill es que todos los cifradores debentener al menos una componente no lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 9 / 42

Page 28: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Cifradores de Hill

En la decada del 1920 Hill inventó cifradores con bloquesrelativamente grandes para la epoca usando transformacioneslineales sobre ZZn, de forma tal que todos las letras de salidadependieran de todas las letras de entrada.Los cifradores de Hill son resistentes a ataques de tipo ciphertextonly, pero son muy débiles contra ataques de tipo chosenplaintext.

Basta un numero relativamente bajo de textos planos linealmenteindependientes para quebrarlo

La lección aprendida con Hill es que todos los cifradores debentener al menos una componente no lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 9 / 42

Page 29: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Cifradores de Hill

En la decada del 1920 Hill inventó cifradores con bloquesrelativamente grandes para la epoca usando transformacioneslineales sobre ZZn, de forma tal que todos las letras de salidadependieran de todas las letras de entrada.Los cifradores de Hill son resistentes a ataques de tipo ciphertextonly, pero son muy débiles contra ataques de tipo chosenplaintext.

Basta un numero relativamente bajo de textos planos linealmenteindependientes para quebrarlo

La lección aprendida con Hill es que todos los cifradores debentener al menos una componente no lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 9 / 42

Page 30: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Técnicas de construcción de cifradores

Una técnica es usar operaciones matemáticas o lógicas que nosean compatibles entre sí . (es decir, que no sean todas linealesrespecto del mismo espacio vectorial)

Hay varios algoritmos que usan una mezcla de operaciones nocompatibles entre si.Por ejemplo, el cifrador RC6 de 128 bits, mira el estado internocomo cuatro registros de 32 bits, y usa XOR bit a bit, sumas ymultiplicaciones modulo 232, rotaciones de 5 bits, y 32-bit DataDependent Rotations. (un registro se rota de acuerdo a lo queesta guardado en otro registro).Otro cifrador famoso es IDEA, de 64 bits, que usaba sumasmodulo 216, XORs bits a bits, y multiplicaciones en ZZ216+1 − {0}.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 10 / 42

Page 31: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Técnicas de construcción de cifradores

Una técnica es usar operaciones matemáticas o lógicas que nosean compatibles entre sí . (es decir, que no sean todas linealesrespecto del mismo espacio vectorial)Hay varios algoritmos que usan una mezcla de operaciones nocompatibles entre si.

Por ejemplo, el cifrador RC6 de 128 bits, mira el estado internocomo cuatro registros de 32 bits, y usa XOR bit a bit, sumas ymultiplicaciones modulo 232, rotaciones de 5 bits, y 32-bit DataDependent Rotations. (un registro se rota de acuerdo a lo queesta guardado en otro registro).Otro cifrador famoso es IDEA, de 64 bits, que usaba sumasmodulo 216, XORs bits a bits, y multiplicaciones en ZZ216+1 − {0}.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 10 / 42

Page 32: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Técnicas de construcción de cifradores

Una técnica es usar operaciones matemáticas o lógicas que nosean compatibles entre sí . (es decir, que no sean todas linealesrespecto del mismo espacio vectorial)Hay varios algoritmos que usan una mezcla de operaciones nocompatibles entre si.Por ejemplo, el cifrador RC6 de 128 bits, mira el estado internocomo cuatro registros de 32 bits, y usa XOR bit a bit, sumas ymultiplicaciones modulo 232, rotaciones de 5 bits, y 32-bit DataDependent Rotations. (un registro se rota de acuerdo a lo queesta guardado en otro registro).

Otro cifrador famoso es IDEA, de 64 bits, que usaba sumasmodulo 216, XORs bits a bits, y multiplicaciones en ZZ216+1 − {0}.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 10 / 42

Page 33: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Técnicas de construcción de cifradores

Una técnica es usar operaciones matemáticas o lógicas que nosean compatibles entre sí . (es decir, que no sean todas linealesrespecto del mismo espacio vectorial)Hay varios algoritmos que usan una mezcla de operaciones nocompatibles entre si.Por ejemplo, el cifrador RC6 de 128 bits, mira el estado internocomo cuatro registros de 32 bits, y usa XOR bit a bit, sumas ymultiplicaciones modulo 232, rotaciones de 5 bits, y 32-bit DataDependent Rotations. (un registro se rota de acuerdo a lo queesta guardado en otro registro).Otro cifrador famoso es IDEA, de 64 bits, que usaba sumasmodulo 216, XORs bits a bits, y multiplicaciones en ZZ216+1 − {0}.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 10 / 42

Page 34: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Una ronda de IDEA

K1 K2 K3 K4

K5

K6

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 11 / 42

Page 35: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Problemas con este tipo de cifradores

Un problema con este tipo de cifradores es que sufren unapenalidad de implementación en arquitecturas no nativas aldiseño, particularmente en arquitecturas orientadas a bytes.

Y las rotaciones, si son rotaciones de registros de 32 bits, sufrenuna penalidad en entornos de 64 bits, y viceversaAdemas, es bastante difícil analizarlos y poder obtener cotas deseguridad demonstrables.El estandard actual (AES) y el anterior (DES) no son de ese tiposin embargo sino que usan otro tipo de ideas para poder operarsobre bloques grandes.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 12 / 42

Page 36: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Problemas con este tipo de cifradores

Un problema con este tipo de cifradores es que sufren unapenalidad de implementación en arquitecturas no nativas aldiseño, particularmente en arquitecturas orientadas a bytes.Y las rotaciones, si son rotaciones de registros de 32 bits, sufrenuna penalidad en entornos de 64 bits, y viceversa

Ademas, es bastante difícil analizarlos y poder obtener cotas deseguridad demonstrables.El estandard actual (AES) y el anterior (DES) no son de ese tiposin embargo sino que usan otro tipo de ideas para poder operarsobre bloques grandes.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 12 / 42

Page 37: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Problemas con este tipo de cifradores

Un problema con este tipo de cifradores es que sufren unapenalidad de implementación en arquitecturas no nativas aldiseño, particularmente en arquitecturas orientadas a bytes.Y las rotaciones, si son rotaciones de registros de 32 bits, sufrenuna penalidad en entornos de 64 bits, y viceversaAdemas, es bastante difícil analizarlos y poder obtener cotas deseguridad demonstrables.

El estandard actual (AES) y el anterior (DES) no son de ese tiposin embargo sino que usan otro tipo de ideas para poder operarsobre bloques grandes.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 12 / 42

Page 38: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Problemas con este tipo de cifradores

Un problema con este tipo de cifradores es que sufren unapenalidad de implementación en arquitecturas no nativas aldiseño, particularmente en arquitecturas orientadas a bytes.Y las rotaciones, si son rotaciones de registros de 32 bits, sufrenuna penalidad en entornos de 64 bits, y viceversaAdemas, es bastante difícil analizarlos y poder obtener cotas deseguridad demonstrables.El estandard actual (AES) y el anterior (DES) no son de ese tiposin embargo sino que usan otro tipo de ideas para poder operarsobre bloques grandes.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 12 / 42

Page 39: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Combinando cosas

AES y DES lo que hacen es combinar, en cada ronda:

substituciones no lineales chicas (para que sean eficientes)("S-boxes")con transformaciones lineales del bloque.

Los Sboxes se analizan exhaustivamente para lograr resistencia aataques de aproximaciones lineales, y la transformación lineal seencarga de “difundir" los cambios locales efectuados por el Sboxa todo el bloque, a lo largo de varias rondas.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 13 / 42

Page 40: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Combinando cosas

AES y DES lo que hacen es combinar, en cada ronda:substituciones no lineales chicas (para que sean eficientes)("S-boxes")

con transformaciones lineales del bloque.

Los Sboxes se analizan exhaustivamente para lograr resistencia aataques de aproximaciones lineales, y la transformación lineal seencarga de “difundir" los cambios locales efectuados por el Sboxa todo el bloque, a lo largo de varias rondas.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 13 / 42

Page 41: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Combinando cosas

AES y DES lo que hacen es combinar, en cada ronda:substituciones no lineales chicas (para que sean eficientes)("S-boxes")con transformaciones lineales del bloque.

Los Sboxes se analizan exhaustivamente para lograr resistencia aataques de aproximaciones lineales, y la transformación lineal seencarga de “difundir" los cambios locales efectuados por el Sboxa todo el bloque, a lo largo de varias rondas.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 13 / 42

Page 42: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) Conceptos básicos

Combinando cosas

AES y DES lo que hacen es combinar, en cada ronda:substituciones no lineales chicas (para que sean eficientes)("S-boxes")con transformaciones lineales del bloque.

Los Sboxes se analizan exhaustivamente para lograr resistencia aataques de aproximaciones lineales, y la transformación lineal seencarga de “difundir" los cambios locales efectuados por el Sboxa todo el bloque, a lo largo de varias rondas.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 13 / 42

Page 43: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:

1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 44: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.

Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:

1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 45: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:

1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 46: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:

1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 47: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:1 Una substitución de bytes por bytes

2 Una transformación lineal de los 16 bytes compuesta de dospartes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 48: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:

1 Un cambio de lugares de bytes en el arreglo de bytes que componenel bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 49: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:1 Un cambio de lugares de bytes en el arreglo de bytes que componen

el bloque

2 Una transformación lineal de subconjuntos de 4 bytes ensubconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 50: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

AES

La clave se “expande" para obtener todas las claves de rondanecesarias:

128 de esos bits expandidos se usan para hacer XOR con elbloque al principio de toda la operación.Las otras secuencias generadas de 128 bits se xorean con elbloque al final de cada ronda.

Cada ronda tiene, ademas de ese xor final, otras tres partes:1 Una substitución de bytes por bytes2 Una transformación lineal de los 16 bytes compuesta de dos

partes:1 Un cambio de lugares de bytes en el arreglo de bytes que componen

el bloque2 Una transformación lineal de subconjuntos de 4 bytes en

subconjuntos de 4 bytes, dada por una multiplicación por una matriz4 × 4 de bytes. (no se hace en la ultima ronda)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 14 / 42

Page 51: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

Cuerpos Finitos

Cuando hablamos de una matriz de bytes, que multiplica bytes,¿de que operaciónes de suma y producto estamos hablando?

Una posibilidad podría ser usar suma y producto módulo 28, peroZZ28 no es un cuerpo y los diseñadores de Rijndael necesitabanun cuerpo para poder probar ciertas propiedades del cifrador quequerían que este tuviera.En Cripto se suelen usar los cuerpos finitos de la forma GF (2n)para algún n. Rijndael usa GF (28) para hacer sus operaciones.¿Porqué necesitan un cuerpo? Para obtener resistencia contrados tipos de ataques muy poderosos: el criptoanálisis diferencialy el criptoanálisis lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 15 / 42

Page 52: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

Cuerpos Finitos

Cuando hablamos de una matriz de bytes, que multiplica bytes,¿de que operaciónes de suma y producto estamos hablando?Una posibilidad podría ser usar suma y producto módulo 28, peroZZ28 no es un cuerpo y los diseñadores de Rijndael necesitabanun cuerpo para poder probar ciertas propiedades del cifrador quequerían que este tuviera.

En Cripto se suelen usar los cuerpos finitos de la forma GF (2n)para algún n. Rijndael usa GF (28) para hacer sus operaciones.¿Porqué necesitan un cuerpo? Para obtener resistencia contrados tipos de ataques muy poderosos: el criptoanálisis diferencialy el criptoanálisis lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 15 / 42

Page 53: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

Cuerpos Finitos

Cuando hablamos de una matriz de bytes, que multiplica bytes,¿de que operaciónes de suma y producto estamos hablando?Una posibilidad podría ser usar suma y producto módulo 28, peroZZ28 no es un cuerpo y los diseñadores de Rijndael necesitabanun cuerpo para poder probar ciertas propiedades del cifrador quequerían que este tuviera.En Cripto se suelen usar los cuerpos finitos de la forma GF (2n)para algún n. Rijndael usa GF (28) para hacer sus operaciones.

¿Porqué necesitan un cuerpo? Para obtener resistencia contrados tipos de ataques muy poderosos: el criptoanálisis diferencialy el criptoanálisis lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 15 / 42

Page 54: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Cifradores de clave simétrica (confidencialidad) AES

Cuerpos Finitos

Cuando hablamos de una matriz de bytes, que multiplica bytes,¿de que operaciónes de suma y producto estamos hablando?Una posibilidad podría ser usar suma y producto módulo 28, peroZZ28 no es un cuerpo y los diseñadores de Rijndael necesitabanun cuerpo para poder probar ciertas propiedades del cifrador quequerían que este tuviera.En Cripto se suelen usar los cuerpos finitos de la forma GF (2n)para algún n. Rijndael usa GF (28) para hacer sus operaciones.¿Porqué necesitan un cuerpo? Para obtener resistencia contrados tipos de ataques muy poderosos: el criptoanálisis diferencialy el criptoanálisis lineal.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 15 / 42

Page 55: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

En el Criptoanálisis Diferencial se tratan de explotar lasdesviaciones estadísticas entre las diferencias de los datos deentrada y los datos de salida de alguna componente no lineal(Sboxes, operacion aritmética no lineal, etc).

“diferencia" es relativa a algún grupo.

En general, ZZ n2 , pero

dependiendo del cifrador puede ser mas conveniente usar otrosgrupos.

Básicamente, se debe usar el grupo que el cifrador usapara mesclar las claves de ronda con el texto.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 16 / 42

Page 56: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

En el Criptoanálisis Diferencial se tratan de explotar lasdesviaciones estadísticas entre las diferencias de los datos deentrada y los datos de salida de alguna componente no lineal(Sboxes, operacion aritmética no lineal, etc).“diferencia" es relativa a algún grupo.

En general, ZZ n2 , pero

dependiendo del cifrador puede ser mas conveniente usar otrosgrupos.

Básicamente, se debe usar el grupo que el cifrador usapara mesclar las claves de ronda con el texto.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 16 / 42

Page 57: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

En el Criptoanálisis Diferencial se tratan de explotar lasdesviaciones estadísticas entre las diferencias de los datos deentrada y los datos de salida de alguna componente no lineal(Sboxes, operacion aritmética no lineal, etc).“diferencia" es relativa a algún grupo. En general, ZZ n

2 , perodependiendo del cifrador puede ser mas conveniente usar otrosgrupos.

Básicamente, se debe usar el grupo que el cifrador usapara mesclar las claves de ronda con el texto.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 16 / 42

Page 58: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

En el Criptoanálisis Diferencial se tratan de explotar lasdesviaciones estadísticas entre las diferencias de los datos deentrada y los datos de salida de alguna componente no lineal(Sboxes, operacion aritmética no lineal, etc).“diferencia" es relativa a algún grupo. En general, ZZ n

2 , perodependiendo del cifrador puede ser mas conveniente usar otrosgrupos. Básicamente, se debe usar el grupo que el cifrador usapara mesclar las claves de ronda con el texto.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 16 / 42

Page 59: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

Denotemos la suma de ZZ n2 por ⊕.

Dados R,R′ ∈ ZZ n2 , denotemos ∆R = R ⊕ R′.

(si el grupo encuestión no es ZZ n

2 se tomaría la diferencia del grupo en vez de ⊕).

Si P,P ′ denota dos textos planos y C,C′ sus textos cifradoscorrespondientes, en el random cipher no habrá ninguna relaciónpredecible entre ∆P y ∆C .Si se encuentra alguna relación entre ellos en un cifrador real,esto constituye un ataque de distinguibilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 17 / 42

Page 60: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

Denotemos la suma de ZZ n2 por ⊕.

Dados R,R′ ∈ ZZ n2 , denotemos ∆R = R ⊕ R′.

(si el grupo encuestión no es ZZ n

2 se tomaría la diferencia del grupo en vez de ⊕).Si P,P ′ denota dos textos planos y C,C′ sus textos cifradoscorrespondientes, en el random cipher no habrá ninguna relaciónpredecible entre ∆P y ∆C .Si se encuentra alguna relación entre ellos en un cifrador real,esto constituye un ataque de distinguibilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 17 / 42

Page 61: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

Denotemos la suma de ZZ n2 por ⊕.

Dados R,R′ ∈ ZZ n2 , denotemos ∆R = R ⊕ R′. (si el grupo en

cuestión no es ZZ n2 se tomaría la diferencia del grupo en vez de ⊕).

Si P,P ′ denota dos textos planos y C,C′ sus textos cifradoscorrespondientes, en el random cipher no habrá ninguna relaciónpredecible entre ∆P y ∆C .Si se encuentra alguna relación entre ellos en un cifrador real,esto constituye un ataque de distinguibilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 17 / 42

Page 62: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

Denotemos la suma de ZZ n2 por ⊕.

Dados R,R′ ∈ ZZ n2 , denotemos ∆R = R ⊕ R′. (si el grupo en

cuestión no es ZZ n2 se tomaría la diferencia del grupo en vez de ⊕).

Si P,P ′ denota dos textos planos y C,C′ sus textos cifradoscorrespondientes, en el random cipher no habrá ninguna relaciónpredecible entre ∆P y ∆C .

Si se encuentra alguna relación entre ellos en un cifrador real,esto constituye un ataque de distinguibilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 17 / 42

Page 63: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC)

DC

Denotemos la suma de ZZ n2 por ⊕.

Dados R,R′ ∈ ZZ n2 , denotemos ∆R = R ⊕ R′. (si el grupo en

cuestión no es ZZ n2 se tomaría la diferencia del grupo en vez de ⊕).

Si P,P ′ denota dos textos planos y C,C′ sus textos cifradoscorrespondientes, en el random cipher no habrá ninguna relaciónpredecible entre ∆P y ∆C .Si se encuentra alguna relación entre ellos en un cifrador real,esto constituye un ataque de distinguibilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 17 / 42

Page 64: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 65: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 66: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.

Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 67: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.

Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 68: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 69: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′

= (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 70: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k)

= P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 71: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 72: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Por ejemplo, consideremos una ronda del tipo:

P ⊕k−→X Sbox−→Y tr .lineal−→ Z ⊕k∗−→C

Sbox y tr.lineal se suponen conocidos, k y k∗ son los secretos.Dados textos planos P y P ′ denotemos por X ,X ′, Y ,Y ′, etc susevoluciones a lo largo del cifrador.Queremos ver como evolucionan ∆X ,∆Y , etc, teniendo en cuentaque el adversario no conoce las claves.

∆X = X ⊕ X ′ = (P ⊕ k)⊕ (P ′ ⊕ k) = P ⊕ P ′

= ∆P

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 18 / 42

Page 73: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .

Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 74: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).

Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 75: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).

El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 76: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .

6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 77: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.

Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 78: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 79: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Bypassing la clave

De la misma forma, ∆C = ∆Z .Ademas, ∆Z = tr .lineal(∆Y ).Estas relaciónes son verdaderas independientemente de k y dequienes son P,P ′,X ,X ′, etc (sólo dependen de los ∆’s).El problema es cúal es la relación entre ∆X y ∆Y .6 ∃f tal que ∆Y = f (∆X ) debido a la no linealidad del S-box.Sin embargo, el nucleo del DC es lo siguiente:

Importante!Dado un ∆X no todo ∆Y es igualmente probable.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 19 / 42

Page 80: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 81: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 82: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)

= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 83: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 84: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.

Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 85: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Si ∆X queda fijo entonces X determina ∆Y :

∆Y = Y ⊕ Y ′

= S(X )⊕ S(X ′)= S(X )⊕ S(X ⊕∆X )

Pero el atacante NO CONOCE X , que en general depende de laclave.Asi que deberá calcular probabilidades sobre X , de que un dado∆X se transforme en un ∆Y .

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 20 / 42

Page 86: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.

Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 87: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.

Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 88: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.

Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 89: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 90: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 91: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

∆X = 3

Veamos un ejemplo para n = 3.Denotaremos 001 = 1, 010 = 2, 011 = 3, etc.Tomaremos S = 34567012, es decir, S(0) = 3, S(1) = 4, etc.Supongamos que ∆X = 3 = 011. Analicemos los posibles ∆Y :

X : 01234567 Y = S(X ) : 34567012X ′ = X ⊕∆X : 32107654 Y ′ = S(X ′) : 65432107

∆Y : 51155115

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 21 / 42

Page 92: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Probabilidad condicional

Unicos valores posibles para ∆Y con ese ∆X son 1 o 5, ambos lamitad de las veces.

X depende de la primera clave, que no conocemos.Tomando probabilidad respecto de ella:

P(∆Y = β|∆X = 3) =

{0 si β 6= 1,548 = 50% si β = 1,5

Por lo tanto, si bien no podemos predecir con exactitud cual será∆Y , podemos estimarlo, con cierta probabilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 22 / 42

Page 93: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Probabilidad condicional

Unicos valores posibles para ∆Y con ese ∆X son 1 o 5, ambos lamitad de las veces.X depende de la primera clave, que no conocemos.

Tomando probabilidad respecto de ella:

P(∆Y = β|∆X = 3) =

{0 si β 6= 1,548 = 50% si β = 1,5

Por lo tanto, si bien no podemos predecir con exactitud cual será∆Y , podemos estimarlo, con cierta probabilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 22 / 42

Page 94: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Probabilidad condicional

Unicos valores posibles para ∆Y con ese ∆X son 1 o 5, ambos lamitad de las veces.X depende de la primera clave, que no conocemos.Tomando probabilidad respecto de ella:

P(∆Y = β|∆X = 3) =

{0 si β 6= 1,548 = 50% si β = 1,5

Por lo tanto, si bien no podemos predecir con exactitud cual será∆Y , podemos estimarlo, con cierta probabilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 22 / 42

Page 95: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Probabilidad condicional

Unicos valores posibles para ∆Y con ese ∆X son 1 o 5, ambos lamitad de las veces.X depende de la primera clave, que no conocemos.Tomando probabilidad respecto de ella:

P(∆Y = β|∆X = 3) =

{0 si β 6= 1,548 = 50% si β = 1,5

Por lo tanto, si bien no podemos predecir con exactitud cual será∆Y , podemos estimarlo, con cierta probabilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 22 / 42

Page 96: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

Probabilidad condicional

Unicos valores posibles para ∆Y con ese ∆X son 1 o 5, ambos lamitad de las veces.X depende de la primera clave, que no conocemos.Tomando probabilidad respecto de ella:

P(∆Y = β|∆X = 3) =

{0 si β 6= 1,548 = 50% si β = 1,5

Por lo tanto, si bien no podemos predecir con exactitud cual será∆Y , podemos estimarlo, con cierta probabilidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 22 / 42

Page 97: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 98: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 99: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 100: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.

Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 101: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0

, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 102: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1

y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 103: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0

en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 104: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

DP

DefinitionLa probabilidad diferencial es:

DP(α, β) = DP(α 7→ β) = P(∆Y = β|∆X = α)

=#{x ∈ ZZ n

2 : S(x)⊕ S(x ⊕ α) = β}2n

Se puede construir la tabla de probabilidades, o bien la tabla dedistribución de diferencias, que es la misma pero multiplicada por 2n.Puesto que DP(0, β) = 0 si β 6= 0, DP(0,0) = 1y si S es biyeccion,DP(α,0) = 0 si α 6= 0 en la tabla se suelen eliminar la primera fila ycolumnas por ser triviales si el Sbox es biyectivo.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 23 / 42

Page 105: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) ∆’s

tabla para S = 34567012

1 2 3 4 5 6 71 0 0 4 0 0 0 42 0 4 0 0 0 4 03 4 0 0 0 4 0 04 0 0 0 8 0 0 05 0 0 4 0 0 0 46 0 4 0 0 0 4 07 4 0 0 0 4 0 0

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 24 / 42

Page 106: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β

⇒ x ⊕ α también es solución

pues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad

, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 107: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β

⇒ x ⊕ α también es solución

pues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad

, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 108: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.

En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β

⇒ x ⊕ α también es solución

pues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad

, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 109: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β

⇒ x ⊕ α también es solución

pues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad

, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 110: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β ⇒ x ⊕ α también es solución

pues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad

, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 111: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β ⇒ x ⊕ α también es soluciónpues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)

= S(x)⊕ S(x ⊕ α) = β.Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 112: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β ⇒ x ⊕ α también es soluciónpues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)= S(x)⊕ S(x ⊕ α) = β.

Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 113: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β ⇒ x ⊕ α también es soluciónpues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)= S(x)⊕ S(x ⊕ α) = β.Cualquier entrada en la tabla de diferencias debe ser PAR.

Lo mejor que podemos esperar es 2-uniformidad, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 114: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

δ-uniformidad

Una permutación S : ZZ n2 7→ ZZ n

2 se dice δ-uniforme si:

#{x ∈ ZZ n2 : S(x)⊕ S(x ⊕ α) = β} ≤ δ ∀α, β 6= 0

Un ataque DC busca la entrada no trivial con mayor valor, paratener la probabilidad más favorable y desde el punto de vista deldefensor, se quiere una δ-uniformidad con el δ mas chico posible.En el caso del xor:

x solución de S(x ⊕ α)⊕ S(x) = β ⇒ x ⊕ α también es soluciónpues S((x ⊕ α)⊕ α)⊕ S(x ⊕ α)= S(x)⊕ S(x ⊕ α) = β.Cualquier entrada en la tabla de diferencias debe ser PAR.Lo mejor que podemos esperar es 2-uniformidad, y si no se puede,lo siguiente mejor seria 4-uniformidad.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 25 / 42

Page 115: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,Atacante quiere la menor cantidad de Sboxes activosDefensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 116: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,

Atacante quiere la menor cantidad de Sboxes activosDefensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 117: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,Atacante quiere la menor cantidad de Sboxes activos

Defensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 118: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,Atacante quiere la menor cantidad de Sboxes activosDefensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.

Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 119: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,Atacante quiere la menor cantidad de Sboxes activosDefensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.

Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 120: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Sboxes activos

DefinitionUn Sbox activo es un Sbox con diferencia de entradas distinta de 0.

Cada Sbox activo contribuirá con una probabilidad casi siempremenor a 1 a la probabilidad total,Atacante quiere la menor cantidad de Sboxes activosDefensor quiere crear una estructura que obligue a cualquierataque a multiplicar el número de Sboxes activos.Probar que un diseño logra esto requiere extensivos tests bajotodas las variaciones para mostrar que hay una cierta cantidadmínima de Sboxes activos en una cierta cantidad de rondas.Por ejemplo, eso es lo que se hace en el cifrador Serpent (quesalió segundo en la competencia AES)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 26 / 42

Page 121: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

La matriz de Rijndael

Pero Rijmen y Daemen eligieron un diseño que permite dar unademostración matemática de la cota de Sboxes activos, usando elhecho que la multiplicación por la matriz es en un cuerpo finito, yeligiendo cuidadosamente la matriz.

La matriz M elegida tiene la propiedad de que cualquier submatrizcuadrada es invertible, es lo que se llama una matriz MDS.El nombre viene de “Maximum Distance Separable" (codes) yviene de la teoría de códigos correctores de errores.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 27 / 42

Page 122: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

La matriz de Rijndael

Pero Rijmen y Daemen eligieron un diseño que permite dar unademostración matemática de la cota de Sboxes activos, usando elhecho que la multiplicación por la matriz es en un cuerpo finito, yeligiendo cuidadosamente la matriz.La matriz M elegida tiene la propiedad de que cualquier submatrizcuadrada es invertible, es lo que se llama una matriz MDS.

El nombre viene de “Maximum Distance Separable" (codes) yviene de la teoría de códigos correctores de errores.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 27 / 42

Page 123: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

La matriz de Rijndael

Pero Rijmen y Daemen eligieron un diseño que permite dar unademostración matemática de la cota de Sboxes activos, usando elhecho que la multiplicación por la matriz es en un cuerpo finito, yeligiendo cuidadosamente la matriz.La matriz M elegida tiene la propiedad de que cualquier submatrizcuadrada es invertible, es lo que se llama una matriz MDS.El nombre viene de “Maximum Distance Separable" (codes) yviene de la teoría de códigos correctores de errores.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 27 / 42

Page 124: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.

(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 125: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).

Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 126: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 127: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,

cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 128: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,

etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 129: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 130: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Branch Number

∀x ∈ GF (28)4, x 6= 0, la suma del número de bytes no nulos de xmas los bytes no nulos de Mx es al menos 5.(M tiene “branch number" igual a 5).Es decir:

cualquier vector con sólo un byte no nulo producirá un vector conlos 4 bytes no nulos,cualquier vector con exactamente dos bytes no nulos producirá unvector con al menos 3 bytes no nulos,etc

Branch number igual a 5 es lo mejor que se puede esperar de unamatriz 4× 4

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 28 / 42

Page 131: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

El Lema de Rijmen y Daemen

Usando esta propiedad de la matriz, mas una propiedad de lapermutación de bytes incorporada a AES, Rijmen y Daemenprobaron el siguiente:

LemaEn cualquier ataque diferencial, en cuatro rondas consecutivas deRijndael hay al menos 25 S-boxes activos.

No probaremos esto pues nos llevaria bastante tiempo. Pero esto essólo una de las patas de la resistencia de AES. Ademas, necesitamosque el Sbox sea resistente.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 29 / 42

Page 132: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

El Lema de Rijmen y Daemen

Usando esta propiedad de la matriz, mas una propiedad de lapermutación de bytes incorporada a AES, Rijmen y Daemenprobaron el siguiente:

LemaEn cualquier ataque diferencial, en cuatro rondas consecutivas deRijndael hay al menos 25 S-boxes activos.

No probaremos esto pues nos llevaria bastante tiempo. Pero esto essólo una de las patas de la resistencia de AES. Ademas, necesitamosque el Sbox sea resistente.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 29 / 42

Page 133: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

El Lema de Rijmen y Daemen

Usando esta propiedad de la matriz, mas una propiedad de lapermutación de bytes incorporada a AES, Rijmen y Daemenprobaron el siguiente:

LemaEn cualquier ataque diferencial, en cuatro rondas consecutivas deRijndael hay al menos 25 S-boxes activos.

No probaremos esto pues nos llevaria bastante tiempo. Pero esto essólo una de las patas de la resistencia de AES. Ademas, necesitamosque el Sbox sea resistente.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 29 / 42

Page 134: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Como hallar Sboxes “buenos"

Para n par, sólo se conoce un Sbox 2-uniforme, para el cason = 6, pero en general es conveniente usar n’s que sean potenciade 2. (ademas que ese de n = 6 es de la NSA)

Para n = 4 es fácil encontrar Sboxes 4-uniformes buscando alazar.Para n = 8 esto no parece ser posible. (hasta ahora, buscando alazar por largo tiempo, no se han encontrado).Pero se pueden construir matemáticamente, usando cuerposfinitos.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 30 / 42

Page 135: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Como hallar Sboxes “buenos"

Para n par, sólo se conoce un Sbox 2-uniforme, para el cason = 6, pero en general es conveniente usar n’s que sean potenciade 2. (ademas que ese de n = 6 es de la NSA)Para n = 4 es fácil encontrar Sboxes 4-uniformes buscando alazar.

Para n = 8 esto no parece ser posible. (hasta ahora, buscando alazar por largo tiempo, no se han encontrado).Pero se pueden construir matemáticamente, usando cuerposfinitos.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 30 / 42

Page 136: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Como hallar Sboxes “buenos"

Para n par, sólo se conoce un Sbox 2-uniforme, para el cason = 6, pero en general es conveniente usar n’s que sean potenciade 2. (ademas que ese de n = 6 es de la NSA)Para n = 4 es fácil encontrar Sboxes 4-uniformes buscando alazar.Para n = 8 esto no parece ser posible. (hasta ahora, buscando alazar por largo tiempo, no se han encontrado).

Pero se pueden construir matemáticamente, usando cuerposfinitos.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 30 / 42

Page 137: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Diferencial (DC) δ-uniformidad

Como hallar Sboxes “buenos"

Para n par, sólo se conoce un Sbox 2-uniforme, para el cason = 6, pero en general es conveniente usar n’s que sean potenciade 2. (ademas que ese de n = 6 es de la NSA)Para n = 4 es fácil encontrar Sboxes 4-uniformes buscando alazar.Para n = 8 esto no parece ser posible. (hasta ahora, buscando alazar por largo tiempo, no se han encontrado).Pero se pueden construir matemáticamente, usando cuerposfinitos.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 30 / 42

Page 138: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Teorema de Nyberg

Sea S el S-box dado por S(x) = x−1 si x 6= 0 y S(0) = 0, donde lainversión se hace en el cuerpo finito GF (2n).Las mayores probabilidades diferenciales no triviales son menores oiguales a 2−n+2.Ademas, en el caso impar la mayor probabilidad diferencial es menoro igual a 2−n+1.Es decir, S es 2-uniforme si n es impar y 4-uniforme (pero no 2uniforme) si n es par.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 31 / 42

Page 139: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Teorema de Nyberg

Sea S el S-box dado por S(x) = x−1 si x 6= 0 y S(0) = 0, donde lainversión se hace en el cuerpo finito GF (2n).

Las mayores probabilidades diferenciales no triviales son menores oiguales a 2−n+2.Ademas, en el caso impar la mayor probabilidad diferencial es menoro igual a 2−n+1.Es decir, S es 2-uniforme si n es impar y 4-uniforme (pero no 2uniforme) si n es par.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 31 / 42

Page 140: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Teorema de Nyberg

Sea S el S-box dado por S(x) = x−1 si x 6= 0 y S(0) = 0, donde lainversión se hace en el cuerpo finito GF (2n).Las mayores probabilidades diferenciales no triviales son menores oiguales a 2−n+2.

Ademas, en el caso impar la mayor probabilidad diferencial es menoro igual a 2−n+1.Es decir, S es 2-uniforme si n es impar y 4-uniforme (pero no 2uniforme) si n es par.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 31 / 42

Page 141: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Teorema de Nyberg

Sea S el S-box dado por S(x) = x−1 si x 6= 0 y S(0) = 0, donde lainversión se hace en el cuerpo finito GF (2n).Las mayores probabilidades diferenciales no triviales son menores oiguales a 2−n+2.Ademas, en el caso impar la mayor probabilidad diferencial es menoro igual a 2−n+1.

Es decir, S es 2-uniforme si n es impar y 4-uniforme (pero no 2uniforme) si n es par.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 31 / 42

Page 142: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Teorema de Nyberg

Sea S el S-box dado por S(x) = x−1 si x 6= 0 y S(0) = 0, donde lainversión se hace en el cuerpo finito GF (2n).Las mayores probabilidades diferenciales no triviales son menores oiguales a 2−n+2.Ademas, en el caso impar la mayor probabilidad diferencial es menoro igual a 2−n+1.Es decir, S es 2-uniforme si n es impar y 4-uniforme (pero no 2uniforme) si n es par.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 31 / 42

Page 143: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Prueba:

Dados α, β 6= 0, queremos contar el número de soluciones de laecuación S(x)⊕ S(x ⊕ α) = β.si β = α−1, tenemos las dos soluciones x = 0, α, puesS(0)⊕ S(α) = 0⊕ α−1 = β.Si β 6= α−1 entonces 0 y α no son soluciones.Independientemente que lo sean o no, queremos contar cuantasotras soluciones hay.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 32 / 42

Page 144: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Prueba:Dados α, β 6= 0, queremos contar el número de soluciones de laecuación S(x)⊕ S(x ⊕ α) = β.

si β = α−1, tenemos las dos soluciones x = 0, α, puesS(0)⊕ S(α) = 0⊕ α−1 = β.Si β 6= α−1 entonces 0 y α no son soluciones.Independientemente que lo sean o no, queremos contar cuantasotras soluciones hay.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 32 / 42

Page 145: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Prueba:Dados α, β 6= 0, queremos contar el número de soluciones de laecuación S(x)⊕ S(x ⊕ α) = β.si β = α−1, tenemos las dos soluciones x = 0, α, puesS(0)⊕ S(α) = 0⊕ α−1 = β.

Si β 6= α−1 entonces 0 y α no son soluciones.Independientemente que lo sean o no, queremos contar cuantasotras soluciones hay.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 32 / 42

Page 146: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Prueba:Dados α, β 6= 0, queremos contar el número de soluciones de laecuación S(x)⊕ S(x ⊕ α) = β.si β = α−1, tenemos las dos soluciones x = 0, α, puesS(0)⊕ S(α) = 0⊕ α−1 = β.Si β 6= α−1 entonces 0 y α no son soluciones.

Independientemente que lo sean o no, queremos contar cuantasotras soluciones hay.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 32 / 42

Page 147: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Teorema de Nyberg

Prueba:Dados α, β 6= 0, queremos contar el número de soluciones de laecuación S(x)⊕ S(x ⊕ α) = β.si β = α−1, tenemos las dos soluciones x = 0, α, puesS(0)⊕ S(α) = 0⊕ α−1 = β.Si β 6= α−1 entonces 0 y α no son soluciones.Independientemente que lo sean o no, queremos contar cuantasotras soluciones hay.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 32 / 42

Page 148: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 149: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 150: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 151: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 152: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 153: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β

si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 154: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Nyberg cont.

Sea x 6= 0, α.

S(x)⊕ S(x ⊕ α) = x−1 ⊕ (x ⊕ α)−1

= (x ⊕ α)(x ⊕ α)−1x−1 ⊕ xx−1(x ⊕ α)−1

= (x ⊕ α)−1x−1((x ⊕ α)⊕ x)

= (x(x ⊕ α))−1α

Por lo tanto S(x)⊕ S(x ⊕ α) = β si y solo si (x(x ⊕ α))−1α = β si ysolo si α = x(x ⊕ α)β

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 33 / 42

Page 155: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.

A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 156: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.

En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 157: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 158: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 159: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 160: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

El número de x ’s que satisface la ecuación α = x(x ⊕ α)β es a losumo 2, pues es un polinomio de segundo grado y estamos en uncuerpo.A estas dos posibles soluciones hay que sumarles dos mas siαβ = 1.En resumen, el número total de soluciones es:

0 o 2 si β 6= α−1

2 o 4 si β = α−1

¿Cuando se da que hay 4 soluciones?

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 34 / 42

Page 161: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 162: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 163: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 164: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).

Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 165: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.

Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 166: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Condicion para que existan 4 soluciones

Propiedad

El Sbox de Nyberg es 2-uniforme si y solo si no existe z con z2⊕ z = 1

Como acabamos de ver la única posibilidad de que el Sbox deNyberg no sea 2-uniforme es que exista alguna solución x 6= 0, αde la ecuación S(x)⊕ S(x ⊕ α) = β cuando β = α−1

Por la cuenta anterior, tal x debe satisfacer α = x(x ⊕ α)β

Como β = α−1 esto ocurre si y solo si α = x(x ⊕ α)α−1

Si y solo si 1 = (xα−1)(xα−1 ⊕ 1).Sea z = xα−1. Por lo anterior 1 = z(z ⊕ 1) = z2 ⊕ z.Viceversa, si z es tal que z2⊕ z = 1, definimos x = αz y entonces1 = (xα−1)(xα−1 ⊕ 1)

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 35 / 42

Page 167: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.

Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 168: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.

Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 169: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)

Es decir, z2n= z y z2n ⊕ z = 0.

Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 170: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.

Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 171: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).

Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 172: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 173: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar.

Veamos que en el caso n impar, no existen 4 soluciones, i.e., elSbox es 2-uniforme.Si existieran 4 soluciones, por lo anterior existe z con z2 ⊕ z = 1.Como (GF (2n)− {0}, .) es un grupo con 2n − 1 elementostendremos que z2n−1 = 1 (teorema de Lagrange)Es decir, z2n

= z y z2n ⊕ z = 0.Por otro lado, recordemos que (a⊕ b)2 = a2 ⊕ b2 en GF (2n).Por lo tanto, elevando al cuadrado la ecuación 1 = z2 ⊕ zobtenemos 1 = z4 ⊕ z2

continuemos elevando al cuadrado repetidamente

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 36 / 42

Page 174: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1

z4 ⊕ z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 175: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1z4 ⊕ z2 = 1

z8 ⊕ z4 = 1...

...z2n−1 ⊕ z2n−2

= 1z2n ⊕ z2n−1

= 1−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 176: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1z4 ⊕ z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 177: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1z4 ⊕ z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 178: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1z4 ⊕ z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 179: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

z2 ⊕ z = 1z4 ⊕ z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 180: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 1z4 ⊕ 6 z2 = 1z8 ⊕ z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 181: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 1z8 ⊕ 6 z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 182: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

z2n−1 ⊕ z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 183: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 184: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 185: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 186: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z

= 0

=

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 187: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0 =

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 188: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0 =

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 189: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0 =

1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Como n es impar hay una cantidad impar de terminos en ese xorDaniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 190: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0 = 1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

Como n es impar hay una cantidad impar de terminos en ese xorDaniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 191: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

2-uniformidad en el caso impar (cont).

6 z2 ⊕ z = 16 z4 ⊕ 6 z2 = 16 z8 ⊕ 6 z4 = 1

......

6 z2n−1 ⊕ 6 z2n−2= 1

z2n ⊕ 6 z2n−1= 1

−−−−−−−− = −−

z2n ⊕ z = 0 = 1 =

n︷ ︸︸ ︷1⊕ ...⊕ 1

0 = 1, absurdoDaniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 37 / 42

Page 192: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.

En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 193: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .

Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 194: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).

Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 195: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.

Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 196: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0

i.e., 3 divide a 2n − 1 (⇒ 2n−13 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 197: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 198: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No hay 2-uniformidad en el caso par

El teorema del elemento primitivo dice que en cualquier cuerpofinito existe un elemento primitivo, es decir, un elemento tal quesus potencias generan todos los elementos no nulos del cuerpo.En el caso de GF (2n), ρ es un elemento primitivo si y solo siρt = 1⇒ (2n − 1)|t .Sea ρ un elemento primitivo de GF (2n).Como n es par, es de la forma n = 2k . Asi, 2n − 1 = 4k − 1.Por lo tanto, (2n − 1)mod 3 = 1k − 1 = 0i.e., 3 divide a 2n − 1 (⇒ 2n−1

3 es un entero).

Tiene sentido entonces tomar el elemento z = ρ2n−1

3

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 38 / 42

Page 199: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.

0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 200: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 201: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.

Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 202: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 203: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 204: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

No 2-uniformidad en el caso par (cont)

z3 = (ρ2n−1

3 )3 = ρ2n−1 = 1.0 = z3 ⊕ 1 = (z ⊕ 1)(z2 ⊕ z ⊕ 1)

Como estamos en un cuerpo, un producto de dos factores es 0 siy solo si al menos uno de ellos es cero.Asi que, o bien z = 1 o bien z2 ⊕ z = 1.

Como ρ es primitivo z = ρ2n−1

3 no puede ser 1, pues 2n−13 < 2n−1.

Entonces, debe ser z2 ⊕ z = 1 y vimos que esto implica que nopuede ser 2-uniforme.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 39 / 42

Page 205: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES al DC

Rijndael usa un Sbox de Nyberg compuesto con unatransformación afín.

Esa composición tiene las mismas propiedades que el Sbox deNyberg.Combinando esto con el Lema de Rijmen y Daemen que vimosantes, se tiene:

TeoremaLa probabilidad de cualquier característica diferencial de cuatrorondas en Rijndael es menor o igual a 2−150

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 40 / 42

Page 206: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES al DC

Rijndael usa un Sbox de Nyberg compuesto con unatransformación afín.Esa composición tiene las mismas propiedades que el Sbox deNyberg.

Combinando esto con el Lema de Rijmen y Daemen que vimosantes, se tiene:

TeoremaLa probabilidad de cualquier característica diferencial de cuatrorondas en Rijndael es menor o igual a 2−150

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 40 / 42

Page 207: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES al DC

Rijndael usa un Sbox de Nyberg compuesto con unatransformación afín.Esa composición tiene las mismas propiedades que el Sbox deNyberg.Combinando esto con el Lema de Rijmen y Daemen que vimosantes, se tiene:

TeoremaLa probabilidad de cualquier característica diferencial de cuatrorondas en Rijndael es menor o igual a 2−150

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 40 / 42

Page 208: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES al DC

Rijndael usa un Sbox de Nyberg compuesto con unatransformación afín.Esa composición tiene las mismas propiedades que el Sbox deNyberg.Combinando esto con el Lema de Rijmen y Daemen que vimosantes, se tiene:

TeoremaLa probabilidad de cualquier característica diferencial de cuatrorondas en Rijndael es menor o igual a 2−150

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 40 / 42

Page 209: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:

En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 210: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.

Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 211: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 212: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 213: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.

Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 214: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.

Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 215: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

El Teorema de Nyberg

Resistencia de AES contra DC

Prueba del Teorema:En cualquier ataque diferencial, por el lema de Rijmen y Daemen,debe haber al menos 25 S-boxes con diferencias de entrada nonulas en 4 rondas.Cada uno de esos S-boxes es 4-uniforme, asi que tiene unaprobabilidad diferencial máxima de 4

28 = 2−6

Asi, la probabilidad diferencial total es de a lo sumo (2−6)25 = 2−150

Consecuencia del Teorema: Para poder montar un ataque DC conalguna probabilidad de éxito contra 4 rondas de Rijndael, sedeben disponer de al menos 2150 mensajes de 1 bloque.Esos deben ser mensajes de 128 bits, el tamaño del bloque.Solo hay 2128 bloques de 128 bits, por lo tanto no es posiblemontar el ataque.

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 41 / 42

Page 216: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Lineal (LC)

Linear Cryptanalísis

Otro ataque que realiza un tipo distinto de aproximación lineal alos Sboxes es el ataque de de 1993 de Mitsuru Matsui llamadoCriptoanálisis Lineal (LC)

No tenemos tiempo de explicarlo, pero resulta que el Sbox deNyberg también es resistente en forma óptima contra este ataque,aunque la prueba es mucho mas complicada que en el caso DC.Asi que Rijndael también es resistente al LC

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 42 / 42

Page 217: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Lineal (LC)

Linear Cryptanalísis

Otro ataque que realiza un tipo distinto de aproximación lineal alos Sboxes es el ataque de de 1993 de Mitsuru Matsui llamadoCriptoanálisis Lineal (LC)No tenemos tiempo de explicarlo, pero resulta que el Sbox deNyberg también es resistente en forma óptima contra este ataque,aunque la prueba es mucho mas complicada que en el caso DC.

Asi que Rijndael también es resistente al LC

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 42 / 42

Page 218: Aplicaciones de Cuerpos Finitos en la criptografía de ...ciem/congresos/cuerposfinitos/resumenes/… · Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 8 / 42.

Criptoanálisis Lineal (LC)

Linear Cryptanalísis

Otro ataque que realiza un tipo distinto de aproximación lineal alos Sboxes es el ataque de de 1993 de Mitsuru Matsui llamadoCriptoanálisis Lineal (LC)No tenemos tiempo de explicarlo, pero resulta que el Sbox deNyberg también es resistente en forma óptima contra este ataque,aunque la prueba es mucho mas complicada que en el caso DC.Asi que Rijndael también es resistente al LC

Daniel Penazzi Aplicaciones CF en clave simétrica October 19, 2017 42 / 42