Спасибо. Единственный вопрос начинающего криптографа. Взлом основан на слабой функции перестановки в sbox'e, из-за чего SubBytes имеет простой линейный вид. А в случае, если бы это был «true sbox», как бы изменилась выходная функция для P[i]?
«Родной» S-box AES'а опеределен, как композиция двух преобразований:
  1. Взятие мультипликативного обратного от полинома 7-й степени с коэффициентами из преобразуемого входного байта над GF(2^8) («00» переходит сам в себя).
  2. Собственно аффинное преобразование такого же вида, как рассмотрено в статье (с другими матрицей M и смещением v, разумеется).

Поэтому с «тру подстановкой» однораундовое преобразование имело бы вид отображения
w |-> Mw^{-1} + v + ki. Из-за «накопления» (-1)-й степени для 15-ти раундового преобразования становится невозможным получение простой конечной формулы для Pi.

В этом и заключается роль хорошего S-box'а: из-за вносимой нелинейности атакующему не удастся свести шифр к простому уравнению / системе уравнений.
Еще раз спасибо. Хотелось бы еще, конечно, узнать, как получили матрицу М, но это уже чисто техническая сторона. Вообще, побольше бы таких статей тут.
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.