축척 보조군

암호해석학에서 축적 보조항은 블록 암호의 작용에 대한 선형 근사치를 구성하기 위해 선형 암호해석에 사용되는 원리이다.리니어 암호 ^[1]해석 툴로서 마츠이 미츠루(1993)에 의해서 도입되었다.보조항은 독립 이진 임의 변수의 선형 부울 함수(XOR-clause)의 바이어스(기대값 1/2로부터의 편차)가 입력 ^[2]바이어스의 곱과 관련이 있다고 기술하고 있다.

$\displaystyle \silon (X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=2^{n-1}\prod _{i}\silon (X_{i})$

또는

$({displaystyle I(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=\prod _{i=1}^{n}I(X_{i})})$

$여기$서 ${\displaystyle [}$ [${\displaystyle }$- 1${\displaystyle \frac{2}{}}$ , ${\displaystyle \frac{1}{}}$ 2$]{$ $displaystyle$\ $epsilon \in$ [ - { \ $tfrac {$ } { }, { \ $tfrac$ {$}$ { $}$는 바이어스(${\displaystyle \mathrm{제로<sup\; class="reference"\; id="cite\_ref-3"><a\; href="\#cite\_note-3">[3]</a></sup>}}$ 방향)이며, I ${\displaystyle [}$[ - ${\displaystyle 1}$, 1$]{$ $displaystyle$ I$\in [ 1$ , $1$}}^[4][5]는 불균형입니다.

${\displaystyle \ipsilon (X)=P(X=0)-{\frac {1}{2}}}$

${\displaystyle I}$(${\displaystyle X}$ ) ${\displaystyle =P}$ ( ${\displaystyle X}$ ${\displaystyle =0}$) -${\displaystyle }$P ( ${\displaystyle X}$ ${\displaystyle =1}$) ${\displaystyle =}$ ${\displaystyle 2\mu }$ (${\displaystyle X}$ )$$（ \ $displaystyle$I ( X ) $= P$ ( X$$=$0$) -$P$ ( X$$=$$1 ) =$$2 \ $epsilon ($X )$$}

반대로 보조항목이 유지되지 않으면 입력 변수가 ^[6]독립적이지 않습니다.

해석

이 법칙은 XOR-ing 독립 이진 변수가 항상 편향을 줄이거나 최소한 편향을 늘리지 않는다는 것을 암시합니다. 또한 편향이 없는 입력 변수가 하나 이상 있는 경우에만 출력이 편향이 없습니다.

두 변수에서 $수량{\displaystyle }$ I${\displaystyle (X)}$ Y$)$ {{$displaystyle$ I$(X\oplus$ Y$)}$은 X$(\displaystyle$ X$)$ 및$$$Y{\displaystyle }$(\$displaystyle$Y${\displaystyle )<img\; alt="Y"\; aria-hidden="true"\; class="mwe-math-fallback-image-inline"\; src="https://wikimedia.org/api/rest\_v1/media/math/render/svg/961d67d6b454b4df2301ac571808a3538b3a6d3f"\; style="vertical-align:\; -0.171ex;\; width:1.773ex;\; height:2.009ex;">}$의 상관 측도이며${\displaystyle }$P$X = Y)$ - $(X y$Y${\displaystyle )}$와$같습니다$.$aystyle$ X$}$ ($0$ ${$ $displaystyle$ 0$$} ) 。

기대치 공식화

누적 보조항은 랜덤 변수가 {${\displaystyle }$-${\displaystyle 1}$ , 1$}$ { $displaystyle$\ { -$1$ ,$$1 \$$} { i ${\displaystyle 1}$ i = ${\displaystyle 1_{}}$ - ${\displaystyle 2}$X ${\displaystyle \mathrm{i}}$ ${\displaystyle =}$ (${\displaystyle {}^{}}$- ${\displaystyle {1_{}}^{}}$) X i { \ $displaystyle$\ $chi$=$$1 - 2 X$_$ { i } = 1 - 2 X _ 1 = 1 = 1 - 2 X _ x _ 1 }$$$1$ = 1 = 1${\displaystyle }$} 0 0 0 x x x x x x x x x 1 1 x x x x x x x x 제품:

$(\displaystyle \chi _{1}\cdots \chi _{n}=1-2(X_{1}\oplus X_{n}=opplus 1)^{X_{1}\oplus X_{2}\oplus \cdots \plus X_{n}}})$

기대치는 불균형이기 $때문$에 E${\displaystyle (}$ (${\displaystyle i_{}}$ ${\displaystyle =}$ $)$ {$displaystyle$ E$(\chi$ _${i})$=$I(X_{$i$\}\}),$ 이제 보조항목이 다음과 같습니다$.$

$(\displaystyle E\left(\prod _{i=1}^{n}\chi _{i}\right)=\displaystyle _{i}E(\chi _{i})})$

독립 변수에 대한 예상 값의 알려진 속성입니다.

종속 변수의 경우 위의 공식은 (양수 또는 음수) 공분산 항을 얻으므로 보조항이 유지되지 않습니다.실제로 두 베르누이 변수는 상관 관계가 없는 경우에만 독립적이기 때문에(즉, 공분산이 0이고 상관 관계가 없는 항목 참조), 누적 조건과 반대되는 경우가 있습니다. 즉, 변수가 유지되지 않으면 변수가 독립적이지 않습니다(비상관).

부울 유도

암호 분석가는 누적 보조항목을 통해 다음과 같은 동일성을 확인할 수 있습니다.

$\displaystyle X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0}$

holds. 여기서 X는 이진 변수(비트: 0 또는 1)입니다.

P(A)는 "A가 참일 확률"을 나타낸다.1과 같으면 A가 발생할 것이 확실하고 0과 같으면 A가 발생할 수 없습니다.먼저 두 개의 이진 변수(P${\displaystyle }$(${\displaystyle {X\mathrm{}}_{}}$ 1 $=$ ) ${\displaystyle =}$ ${\displaystyle {}_{}}$ ({$Displaystyle$ P$(X_{$1}=0) =$p_{1$}}${\displaystyle {}_{}}$ P (${\displaystyle {X\mathrm{}}_{}}$ ${\displaystyle 2}$ $=$ 0) ${\displaystyle =}$ ${\displaystyle {}_{}}$ {$displaystyle$ P$(X_{2$}=0)=$p_{2$에 대한 누적 약어를 고려합니다.

여기에서는 다음 사항을 고려합니다.

$({displaystyle P(X_{1}\oplus X_{2}=0)}$

xor 연산의 속성으로 인해 이는 다음과 같습니다.

$(\displaystyle P(X_{1}=X_{2})}$

X₁ = X₂ = 0 및 X₁ = X₂ = 1은 서로 배타적인 이벤트이므로 다음과 같이 말할 수 있습니다.

$({displaystyle P(X_{1}=X_{2}=0)=P(X_{1}=X_{2}=1)=P(X_{1}=0,X_{2}=0)+P(X_{1}={1},X_{1}={1}={1})=P(X_{1})+P(X_{1})={1})$

이제 우리는 축적된 법칙의 중심적인 가정을 해야 합니다. 즉, 우리가 다루고 있는 이항 변수는 독립적입니다. 즉, 하나의 상태는 다른 어떤 상태에도 영향을 미치지 않습니다.따라서 다음과 같이 확률 함수를 확장할 수 있습니다.

$({displaystyle P(X_{1}\oplus X_{2}=0)}$	${\displaystyle = P(X_{1}=0)P(X_{2}=0)+P(X_{1}=1)P(X_{2}=1)}$
	${\displaystyle =p_{1}p_{2}+(1-p_{1}(1-p_{2})}$
	$({displaystyle =p_{1}p_{2}+(1-p_{1}-p_{2}+p_{1}p_{2})}$
	${\displaystyle = 2p_{1}p_{2}-p_{1}-p_{2}+1}$

이제₁ 확률 p와₂ p를 + + and₁ 및 + + ,로₂ 나타냅니다.여기서 '는 확률 바이어스, 즉 확률이 ½에서 벗어나는 양입니다.

$({displaystyle P(X_{1}\oplus X_{2}=0)}$	${\displaystyle = 2 (1/2+\ilon _{1}) (1/2+\ilon _{2}) - (1/2+\ilon _{1}) - (1/2+\ilon _{2}+1}$
	${\displaystyle = 1/2+\ilon _{1}+\ilon _{2}+2\ilon _{1}\ilon _{2}-1/2-\ilon _{2}+1}$
	${\displaystyle = 1/2+2\ilon _{1}\ilon _{2}}$

따라서 위의 XOR 합계에 대한 확률 바이어스 θ는_1,2 2µµ이다₁₂.

이 공식은 다음과 같이 더 많은 X로 확장할 수 있습니다.

${\displaystyle P(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0)=1/2+2^{n-1}\prod _{i=1}^{n}\cdilon _{i}$

θ 중 하나가 0인 경우, 즉 바이너리 변수 중 하나가 바이어스되지 않은 경우 확률 함수 전체가 바이어스되지 않음에 유의하십시오.이것은 θ와 같습니다.

약간 다른 바이어스의 정의는 ${\displaystyle {\theta }_{}}$ i ${\displaystyle {}_{}P}$ ( ${\displaystyle {}_{}}$ ${\displaystyle i_{}}$ ${\displaystyle =1}$) -${\displaystyle P}$ ( ${\displaystyle X_{}}$ i $=$)$$, { $displaystyle$\$explon _$ { i } = P ($X$_ { i } =$1)-P$($$X$$_ { i $}$=$$0 )이며$$, 실제로는 이전 값의 2배를 뺀 값입니다.장점은 현재와

$\displaystyle \varepsilon _{total}=P(X_{1}\oplus X_{n}=1)-P(X_{1}\oplus X_{2}\oplus \cdots \oplus X_{n}=0})$

우리는 가지고 있다.

${{displaystyle \varepsilon _{total}=param1}\paret_{i=1}^{n}\varepsilon _{i}$

랜덤 변수를 추가하여 (2차 정의) 편견을 곱한다.

연습

실제로 X는 블록 암호의 S박스(치환 컴포넌트)에 대한 근사치입니다.일반적으로 X 값은 S 상자의 입력이고 Y 값은 대응하는 출력입니다.암호 분석가는 S박스를 보는 것만으로 확률 편견이 무엇인지 알 수 있습니다.요령은 확률이 0 또는 1인 입력 및 출력 값의 조합을 찾는 것입니다.근사치가 0 또는 1에 가까울수록 선형 암호해석에 도움이 됩니다.

그러나 실제로 이항 변수는 누적 조건의 도출에서 가정한 바와 같이 독립적이지 않습니다.보조항목을 적용할 때는 이 점을 고려해야 합니다.이는 자동 암호식이 아닙니다.

「 」를 참조해 주세요.

• 독립 실변수 합계의 분산

레퍼런스