相容性攻擊

利用密鑰冗餘建立線性方程組恢復密鑰信息的攻擊方法。密碼分析的方式之一。

相容性攻擊主要是從秘密密鑰中挑選出一個特定的子密鑰，並根據輸出序列的某一段構造一個線性方程組，線性方程組的係數矩陣由比特生成算法確定，是子密鑰的函式。當選取的特定子密鑰是正確的子密鑰時，線性方程組有解；反之，若選取的特定子密鑰不是正確的子密鑰，方程有解的機率很小。通過窮舉選取的特定子密鑰的所有可能來測試線性方程組是否有解，當方程組有解時，稱此方程組是一致的，將這個子密鑰作為候選子密鑰挑出，最終通過解這個方程組可以確定密鑰的其餘部分。相容性攻擊所需計算量是套用高斯消元法將方程組的增廣矩陣化為標準形所需的計算量和選取的特定子密鑰所有可能種數的乘積，遠小於窮盡密鑰所需的計算量。相容性攻擊方法適用於具有一定密鑰冗餘率的密碼算法。

發布者：中國軍事百科全書編審室