Multiple Linear Cryptanalysis-Revisited

Many Linear attacks have introduced after M. Matsui suggested Linear Cryptanalysis in 1993. The one of them is the method suggested by B. Kaliski and M. Robshaw. It was a new method using multiple linear approximations to attack for block ciphers. It requires less known plaintexts than that of Linear Cryptanalysis(LC) by Matsui, but it has a problem. In this paper, we will introduce the new method using multiple linear approximation that can solve the problem. Using the new method, the requirements of the known plaintexts is 5(1.25) times as small as the requirements in LC on 8(16) round DES with a success rate of 95%(86%) respectively. We can also adopt A Chosen Plaintext Linear Attack suggested by L. R. Knudsen and J. E. Mathiassen and then our attack requires about $2^{40.6}$ chosen plaintexts to recover 15 key bits with 86% success rate. We believe that the results in this paper contain the fastest attack on the DES full round reported so far in the open literature.

블록 암호에 대한 효율적인 선형 공격 방법

1993년도에 선형 공격이 Matsui에 의해 제안된 이후에 이를 개량한 여러 선형 공격들이 등장하였다. 그 중에 한가지는 B. Kaliski와 M. Robshaw에 의한 방법인데, 이 방법은 여러 개의 독립적인 선형 근사식을 동시에 이용하여 블록 암호를 공격하는 새로운 방법이였다. 이 방법은 선형 공격 보다 더 적은 기지 평문수를 요구한다는 장점은 있었지만 실제로 그들의 방법을 블록 암호에 적용하는 데에는 문제점이 있었다. 본 고에서는 그러한 문제점을 해결하면서 동시에 여러 개의 독립적인 선형 근사식을 이용할 수 있는 방법을 제시한다. 본 고에서 제시된 방법을 이용했을때 선형 공격에 비해 8,16 라운드 DES에 대해 5배,1.25배 더 적은 기지 평문을 가지고 각각 95%, 86% 확률로 공격에 성공할 수 있었으며, 또한 선택 평문을 이용한 L. R. Knudsen과 J. E. Mathiassen의 방법을 본 고에서 제시한 방법에 접목하면, 약 $2^{40.6}$개 이하의 기지 평문들을 이용하여 86% 성공 확률로 키 15 비트를 찾을 수 있다. 이 결과는 현재까지 DES에 대한 공격 중 가장 우수한 결과이다.