在DES的微分密码分析中，为什么假定F(0.0)总是0.0？

Question

在本文是关于差分密码分析的研究。中，描述了对2n-Round DES的攻击。

攻击的目的是寻找DES轮的某些输入，对于这些输入，圆函数F的输出与高概率输入相等。

对于本文给出的输入，总假定一半只由零组成。另外，假定全零输入的圆函数总是以1的概率得到零：

F(0...0) = 0...0

据我理解，圆形函数F的工作方式如下:展开输入，然后xor键，然后执行替换。这与论文中所描述的假设相冲突。

对于一个不依赖于键的全零输入，圆函数如何总是产生零？

Answer 1

这个问题产生于一个误解:文件中所描述的攻击并不适用于实际的输入和输出，而是它们之间的差异。因此，差分密码分析。

如果两条消息m1 = (l1, r1)和m2 = (l2, r2)具有相等的右半截r1 = r2，那么很明显，r1 - r2 = 0...0和F(r1) - F(r2) = 0...0就是这样的。