Relationship between higher order attacks and CCZ-equivalence

Abstract

V této diplomové práci se zabýváme detailním vysvětlením pojmu CCZ- ekvivalence spolu s analýzou některých speciálních tvarů ekvivalenčních matic. Také se věnujeme zkoumání diferenciální kryptoanalýzy vyšších řádů a její zobecněné verze. Pro lepší ilustraci této metody představujeme několik útoků na jednoduchou pětirundovou Feistelovu šifru, dva z útoků jsou naše vlastní. Ty nejdůležitější útoky jsme implementovali a výsledky těchto ex- perimentů jsou k nalezení v textu. Dále v práci zkoumáme, jak využít rozk- ladu F = F2 ◦ F−1 1 (kde F1 i F2 jsou permutace) pro konstrukci zobecněného útoku vyšších řádů na blokovou šifru s S-boxem F. Tato konstrukce může být využita pro hledání útoku na F s použitím CCZ-ekvivalence, což je obecně těžký problém. Výsledkem našeho zkoumání je pak věta, která představuje nutnou podmínku na stupeň funkce F pro existenci takového rozkladu. 1

In this thesis, we explain the term CCZ-equivalence in more detail to- gether with an analysis of a special type of matrices of this equivalence. We also clarify the higher order differential cryptanalysis and its generalized ver- sion. To demonstrate this method we present several attacks on a simple five round Feistel cipher, two of these attacks are our own. We have implemented the most important attacks and results of these experiments can be found in the text. We also explore how to use a decomposition F = F2 ◦F−1 1 (where F1 and F2 are permutations) to construct a generalized higher order differential attack to a block cipher with an S-box F. This construction may be used while searching for an attack to F using the CCZ-equivalence which is gener- ally a hard question. The result of our research is a theorem which presents a necessary condition on a degree of F which is needed for an existence of such a decomposition. 1