DES - Sbox中的弱点

Question

在“编码理论密码学导论”一书中，作者在关于DES算法四轮差分密码分析的章节中说：

s_{1}框中有一个弱点。如果我们查看XOR等于0011的16个输入对，我们会发现其中12个输入对的输出XOR等于011。当然，我们平均预期两对应该产生给定的输出异或，所以目前的情况是相当极端的。有一点变化是预料中的；我们会看到，这种大的变化使得找到关键变得很容易。s_{1}也有类似的弱点，尽管没有那么极端。在XOR等于1100的16对输入对中，有8对输出XOR等于010。

我已经理解了如果发生三轮袭击的话。但是，我不清楚如何使用sboxes这个特殊的弱点来攻击4轮场景中的DES算法。你能跟我解释一下吗？

ps:你可以找到在谷歌上写的书“密码学导论与编码理论pdf”，并且是第一个链接。相关章节为4.3

Answer 1

3发子弹的攻击是决定性的。它以概率的方式扩展到4轮，这是执行差分密码分析的通常方法，例如Heys关于线性和差分密码分析的教程，它易于在线找到，并使用一个简单的玩具密码来解释这些概念。

基本上，只要有足够的输入输出对，就可以利用这些差异在统计上占主导地位的事实。扫描一组子键位模式，并声明子键位模式，从而导致最偏置的输出差分布为正确的密钥位模式。