A5/2会话密钥派生

Question

让我们谈谈Barkan、Biham和Keller对A5/2攻击的实现及性能分析。在本文中，我们提到需要强行攻击寄存器4 (R_4)才能从下面获得密钥流：

HP^{-1}C=HP^{-1}K. \tag{1}，HP^{-1}是奇偶校验，C是密文，K是密钥流。

另一方面，密钥流上的方程必须适应于LFSRs变量上的方程。因此，我们有以下线性系统：

Sr=K. \tag{2}

其中S是大小为1368*656的乘法矩阵，K是3未知密钥流k_1、k_2和k_3的级联，r是表示LFSRs状态的未知数向量。

1. R_4在第一个方程中的影响是什么？
2. 我们如何构造第二个方程(请详细说明)？

Answer 1

作者在4.3中指出，密码的设计具有以下巧妙的特性：

由于R_4的初值与密钥流之间的依赖关系很大，并且由于R_4的变量在密钥流的值中不起作用，所以无法找到它们。

因此，后来他们建议R_4的值必须是强制的，作为预计算。

至于你的问题2，你需要插入一些东西，就像第4.3节末尾的方程式一样。