现在,分组密码在信息安全范畴的使用十分广泛, 其安全强度十分令人重视。评价分组密码的安全强度,一般的做法是调查分组密码能否反抗已知的密码分析办法的攻击。 而差分密码分析和线性密码分析是最重要、最基本的两种密码分析办法,于是,估量分组密码反抗这两种分析办法的能力就具有重要的意义。
对分组密码反抗差分密码分析和线性密码分析能力的评价,常用的办法是给出最大差分特征概率和最大线性迫临概率的上界。当分组密码的最大差分特征(线性迫临)概率满足小时, 就可以以为该密码对差分(线性)密码分析是实践安全的。这儿需求留意两种不完全相同的状况:一是对详细的分组密码算法进行评价,二是对分组密码结构进行评价。
对详细的分组密码算法反抗差分和线性密码分析的能力进行评价时,各个“密码模块”的结构现已清晰,从而给出最大差分特征(线性迫临)概率上界的详细数值是可能的,也就是说,这个上界可以用详细的数值来表明;而对分组密码结构反抗差分和线性密码分析的能力进行评价时,轮函数、S盒以及分散层等“密码模块”的结构并不清晰,从而给出最大差分特征(线性迫临)概率上界的详细数值是困难的,一般只能使用某些“密码模块”的一些密码参数(例如轮函数或S 盒的最大差分概率、分散层的差分分支数等),给出最大差分特征(线性迫临)概率的上界, 也就是说,该上界仅仅关于上述密码参数的一个表达式,并不是详细的数值表明。
相比较而言,对分组密码结构反抗差分和线性密码分析的能力进行评价, 一般并不使用“密码模块”的详细结构方式,正因为如此,所得的成果更具有普适性,从这个意义上讲,对分组密码结构的安全性评价比详细分组密码算法的安全性评价更有意义。
