0. 前言

1. 密码分析

不讨论侧信道攻击和故障攻击

对于一个加密函数 $E$ ，

令 $(P,P^*)$ 为明文对，则 $P$ 和 $P*$ 的差分值定义为

$\Delta P = P \oplus P^*$

于是

$P^* = P \oplus \Delta P$

$\Delta C = E(P) \oplus E(P^*) = E(P) \oplus E(P \oplus \Delta P)$

上述性质可以用来恢复密钥，通常用在选择明文攻击中。

我们依此法表示加密过程：

$E = \rho_r \cdot ...\cdot \rho_2 \cdot \rho_1$

$\rho_i$ 表示第 $i$ 轮的轮函数，r 表示最后一轮

令明文 $P_1 = P$ (可以理解为经过第0轮的轮函数输出的值)

则有 $P_{i+1} = \rho_i(P_i)$

不难推出

密文 $C = P_{r+1} = \rho_r(P_r)$ （可以理解为经过第r轮的轮函数输出的值）

类似地， $P_i^*$ 和 $C_*$ 是另一串明文 $P^*$ 使用相同的密钥若干轮加密后的结果

为简化讨论，我们令

$\delta_i = \Delta P_i , \Delta = \Delta P_1 , and\ \nabla = \Delta P_{r+1}$

即第 $i$ 轮差分用 $\delta_i$ 表示，明文差分值用 $\Delta$ 表示，密文差分值用 $\nabla$ 表示.

用 $p_i$ 表示 $\delta_i \rightarrow \delta_{i+1}$ 的概率，即

$p_i = \mathcal{P}_{\rho_i}(\delta_i,\delta_{i+1}) = \mathcal{P}[\rho_i(x+\delta_i)-\rho_i(x) = \delta_{i+1}]$

也就是

“已知第 $i$ 轮输出值的差分值是 $\delta_{i}$ ，求第 $i+1$ 轮的输出值的差分值是 $\delta_{i+1}$ ”的概率

于是我们有差分特征：

A Salad of Block Ciphers:The State of the Art in Block Cipher and their Analysis