Leikkaushyökkäys

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 6. toukokuuta 2018 tarkistetusta versiosta . tarkastukset vaativat 9 muokkausta .

Shift attack ( eng.  slide attack ) - kryptografinen hyökkäys , joka on yleensä valittuun selkeään tekstiin perustuva hyökkäys , joka mahdollistaa usean kierroksen lohkosalausten kryptausanalyysin käytettyjen kierrosten määrästä riippumatta. Alex Biryukovin ja David Wagnerin ehdottama vuonna 1999 [1] .

Luontihistoria

Ajatus leikkausiskun luomisesta tuli ensimmäisen kerran Edna Grossmanille ja Brian Tuckermanille vuonna 1977. Vastaava raportti julkaistiin [2] yhdessä IBM :n kanssa . Grossman ja Tuckerman pystyivät osoittamaan hyökkäyksen melko heikkoa New Data Seal (NDS) -salausta vastaan . Hyökkäys hyödyntää sitä tosiasiaa, että kunkin kierroksen salaus sekoittaa vain samaa näppäintä käyttäen samaa taulukkoa jokaisella kierroksella. Selkeiden tekstien käyttö kiertää tämän ja antaa meille mahdollisuuden pitää sitä siirtohyökkäyksen varhaisimpana versiona.

Vuonna 1990 ehdotettiin differentiaalista kryptoanalyysiä , joka osoitti monikierrosten DES-tyyppisten salausjärjestelmien haavoittuvuuden [3] . Yksi tapa varmistaa niiden kryptografinen vahvuus oli lisätä käytettyjen kierrosten määrää, mikä lisäsi hyökkäyksen laskennallista monimutkaisuutta suhteessa niiden määrään. Tämän parannuksen käyttö monille salausalgoritmeille perustui erityisesti empiiriseen arvioon, jonka mukaan mistä tahansa, jopa melko heikoista salakirjoituksista, voidaan tehdä kryptografisesti vahvoja toistamalla salaustoiminnot useita kertoja:

Vain muutamaa rappeutunutta tapausta lukuun ottamatta algoritmi voidaan tehdä mielivaltaisesti turvalliseksi lisäämällä kierrosten määrää.

Alkuperäinen teksti  (englanniksi)[ näytäpiilottaa] Muutamia rappeutuneita tapauksia lukuun ottamatta algoritmi voidaan tehdä mielivaltaisesti turvalliseksi lisäämällä kierroksia. — B. Preneel, V. Rijmen, A. Bosselears: Salausalgoritmien periaatteet ja suorituskyky [4]

Esimerkiksi joissakin AES-kilpailussa vuonna 1997 ehdokkaiksi ehdotetuissa salakirjoissa oli melko suuri määrä kierroksia: RC6(20), MARS(32), SERPENT(32), CAST(48) [1] .

Vuonna 1999 kuitenkin julkaistiin Alex Biryukovin ja David Wagnerin artikkeli, jossa kuvattiin leikkaushyökkäystä, joka kumosi tämän oletuksen. Tämän hyökkäyksen piirre oli, että se ei riipunut salauskierrosten lukumäärästä; sen menestys vaati vain kierrosten identiteetin ja mahdollisuuden salaustoiminnon kryptausanalyysiin erillisellä kierroksella. Artikkelissa kuvattiin myös tämän hyökkäyksen soveltamista TREYFER -salaukseen sekä DES -salausten (2K-DES) ja BLOWFISHin yksinkertaistettuihin versioihin [1] .

Vuonna 2000 julkaistiin toinen artikkeli, joka esitteli parannettuja versioita siirtohyökkäyksestä - "Sliding with a twist" ja "Complementation slide", mikä mahdollisti sen laajentamisen salakirjoihin, joiden kierroksilla on pieniä eroja. Joten näiden parannusten avulla murrettiin joitain DES -salauksen muutoksia sekä yksinkertaistettu 20-kierroksen versio salausstandardista GOST 28147-89 [5] [6] .

Yleinen kuvaus

Yksinkertaisimmassa tapauksessa [7] siirtohyökkäystä sovelletaan salausalgoritmeihin, jotka ovat jonkin salaustoiminnon useita toistoja , joiden syötteenä jokaisella kierroksella on salateksti (edellisen kierroksen salauksen tulos) ja jokin kierrosavain. , joka on sama kaikilla kierroksilla. Tärkeimmät vaatimukset tämän hyökkäyksen onnistuneelle toteuttamiselle ovat [7] :

  1. Kierrosten identiteetti (joka taataan käyttämällä samaa toimintoa ja samaa näppäintä jokaisella kierroksella)
  2. Kyky löytää helposti avain , tietäen tekstin syötössä ja tekstin jonkin kierroksen lähdössä

Yksinkertaisimman hyökkäyksen algoritmi

Vaihe 1. Otetaan salausalgoritmin sisääntuloon selkeää tekstiä ja lähdössä vastaavaa salatekstiä . Vaihe 2. Ota jokin muu selväkieli ja sitä vastaava salateksti siten, että pari eroaa jo valitusta parista . Vaihe 3. Oletetaan, että se liittyy suhteeseen = , ja liittyy suhteeseen , ts. ja ovat yhden kierroksen salauksen tuloksia ja vastaavasti. Kutsutaan tällaista paria "liukuvaksi pariksi" (liukupariksi) [1] . Käyttämällä väitettä, että salausavain voidaan laskea helposti, tietäen jonkin kierroksen syötteen tekstin ja ulostulon tekstin , laskemme avaimen ensimmäisellä salauskierroksella suhteella , ja avaimen viimeisellä salauskierroksella. salaus suhteen . Vaihe 4. Tarkistetaan tasa-arvo . Koska ehdon mukaan kaikki kierroksen avaimet ovat samat, niin tämä yhtäläisyys on täytettävä, muuten vaiheessa 3 tehty oletus on virheellinen ja on palattava vaiheeseen 2 jättäen testattu pari pois mahdollisten ehdokkaiden luettelosta. Tasa-arvon toteutuminen osoittaa, että avain on mahdollisesti haluttu pyöreä avain. Vaihe 5. Voit tarkistaa löydetyn avaimen väärien positiivisten tulosten varalta korvaamalla sen salausalgoritmilla ja tarkistamalla useiden eri tunnettujen "plaintext - salateksti " -parien oikean toiminnan. Huolimatta siitä, että on mahdollista, että väärä avain läpäisee tämän testin, hyvien salausten tapauksessa tämän todennäköisyys on erittäin pieni [7] , mikä tarkoittaa, että varmennettu avain on suurella todennäköisyydellä haluttu pyöreä avain. Siten onnistuneen varmuuden tapauksessa julistamme etsittävän avaimen, muussa tapauksessa palaamme vaiheeseen 2 ja suljemme pois vahvistetun parin ja avaimen mahdollisten ehdokkaiden luettelosta.

Huomautuksia algoritmista

Shift hyökkäysmuutokset

Nykyaikaisissa lohkosalauksissa pyöreät avaimet eivät yleensä ole samat. Tämä johtaa siihen, että yksinkertaisimman hyökkäyksen rakentamisessa käytetty algoritmi ei yleensä sovellu sellaisille salakirjoille ja vaatii joitain lisäyksiä.

Ongelman selvitys

Olkoon salausalgoritmi nro 1, joka koostuu lohkoista siten, että avainta käytetään kolmannella kierroksella (oletetaan, että avainten kokonaismäärä , avain tarvitaan myöhemmin), ja valitaan jokin pari "plaintext - salateksti" . Ensimmäisen kierroksen ulostulossa saamme tekstin , jossa on salaustoiminto.

Lisäksi Shift-hyökkäys käsittää tekstin salaamisen uudella lohkosalauksella nro 2, joka koostuu lohkoista välillä - . Merkitään -: nnen lohkon lähdössä oleva salateksti muodossa . On helppo nähdä, että tässä tapauksessa i:nnen lohkon ulostulossa saamme jo yllä olevan tekstin , mikä tarkoittaa, että teksti ja salateksti liittyvät toisiinsa relaatiolla .

Siten olemme saaneet parin , joka täyttää suhteet ja , joka ei ole muuta kuin yleinen siirtopari. Vastaavasti yksinkertaisimmassa tapauksessa nämä suhteet ovat muotoa ja .

Olettaen, että jokin teksti liittyy suhteeseen , meidän pitäisi saada salateksti salausalgoritmin #2 lähdöstä tekstin kanssa, jotta voimme vahvistaa tai kumota sen suhteilla . Triviaalin avainaikataulun tapauksessa salausalgoritmit nro 1 ja nro 2 ovat identtisiä, mikä tarkoittaa , että se voidaan saada salaamalla teksti jo olemassa olevalla lohkosalauksella. Muuten salausalgoritmit nro 1 ja nro 2 ovat erilaisia, eikä kryptanalyytikko pysty rakentamaan algoritmia nro 2, mikä tarkoittaa, että salatekstiä ei voida saada.

Tapaus Feistel-verkosta, jossa on kaksikierrosta samankaltaisuutta

Täydennysdia [ 5 ]  _

Kuten hyökkäysalgoritmia koskevissa huomautuksissa mainittiin, p-kierroksen samankaltaisuuden omaavien salausten kryptausanalyysi voidaan helposti pelkistää yksinkertaisimpaan siirtohyökkäykseen yhdistämällä useita kierroksia yhdeksi, mikä vastaa salauslohkojen siirtoa kierroksia. Kun kyseessä on Feistel-verkko, jossa on vuorotellen pyöreät näppäimet ja ts. Kahden kierroksen itsensä samankaltaisuuden ansiosta tämä lähestymistapa voi monimutkaistaa krypta-analyysiä ja tehdä siten siirtohyökkäyksestä tehottoman. Sen sijaan ehdotettiin, kuten ennenkin, siirtymistä vain yhdellä kierroksella kahden sijaan, mutta samalla muutetaan hieman vuoroparille asetettuja vaatimuksia.

Yllä tarkastellun ongelman kuvauksessa todettiin, että siirtoparin etsimiseksi on yleensä kyettävä työskentelemään kahdella -lohkosalauksella - alkuperäisellä, joka koostuu lohkoista välillä - , ja uusi, joka koostuu lohkoista . Täydennysdialla voit työskennellä vain alkuperäisen lohkosalauksen kanssa.

Vaikka seuraava päättely osoitetaan 4-kierroksen salauksella, se voidaan laajentaa mihin tahansa kierrosten määrään. Katsotaanpa ensin, kuinka selväteksti muuttuu eri salauskierroksilla. Esitetään pelkkä teksti muodossa , missä ja ovat tekstin vasen ja oikea osa, vastaavasti.

Pyöreä numero Vasen puoli Oikea osa
yksi
2
3
neljä

Merkitään kierroksen 1 ulostulossa oleva teksti ja salateksti . Huomaa nyt, että salatekstin löytämiseksi 4-kierroksen lohkosalauksen lähdöstä avainaikataululla riittää, että lisäät eron alkuperäisen salauksen jokaisen kierroksen oikealle puolelle ja sitten salaat tekstin tuloksena oleva salaus (kuva 2, oikea kaavio). Tätä varten syötämme tekstin alkuperäisen salauksen syötteeseen . Merkitään salateksti muodossa . Pohditaan kuinka teksti muuttuu eri salauskierroksilla.

Pyöreä numero Vasen puoli Oikea osa
yksi
2
3

neljä

Tästä voidaan nähdä, että tuotu ero säilyy joka kierroksella, mikä tarkoittaa, että salatekstit ja liittyvät toisiinsa suhteilla: ja , ja pareilla "selkoteksti - salateksti" sekä suhteilla ja .

Jos tekstit liittyvät suhteeseen , he sanovat, että teksteillä ja on leikkausero ( englanniksi dia ero ) .  

Siten leikkausparille saadaan seuraavat yhtälöt:


Kuten ennenkin, bittisten tekstien tapauksessa siirtoparin löytämiseen tarvitaan selkeitä tekstejä . Leikkausparin on nyt täytettävä yhtälö (katso kuva 2). Potentiaalisen siirtoparin löytämisen tapauksessa toinen yhtälö mahdollistaa ehdokkaan löytämisen , ja jos funktio on riittävän altis salausanalyysille, niin näiden yhtälöiden avulla voimme löytää mahdolliset halutut avaimet ja . Sen jälkeen on vain tarkistettava vääriä positiivisia tuloksia.

Liukuminen kierteellä  [ 5 ]

Ongelmankäsityksessä määritetty vaatimus kyetä toimimaan alkuperäisen salauksen #1 kanssa, joka koostuu lohkoista välillä - , ja uudella salauksella #2, joka koostuu lohkoista alkaen - , voidaan helposti muuntaa käyttämällä ns. shift- ja kierto -lähestymistapa.

Jos jätetään pois tekstin vasemman ja oikean osan viimeinen permutaatio ja käännetään avainten järjestys, niin salauksen purku tapahtuu Feistel-verkossa täsmälleen samalla tavalla kuin salaus [1] . Siirrä ja kierrä -lähestymistapa käyttää tätä ominaisuutta, nimittäin, se ehdottaa salauksenpurkualgoritmin käyttöä salauksena #2 (katso kuva 3).

Tällä lähestymistavalla ei ole perustavanlaatuisia eroja yksinkertaisimpaan algoritmiin. Kuten yksinkertaisimmassa tapauksessa, vaatimukset vaihtoparille , jossa . Siten saamme yhtälöt:


ja ehto, joka helpottaa vuoroparien löytämistä:

Kuten tavallista, bittitekstien tapauksessa tarvitaan selkeitä tekstejä siirtoparin löytämiseen . Jos se löytyy, funktion haavoittuvuus antaa sinun löytää avaimen yhtälöistä .

Vaadittujen tekstien lukumäärä tässä vaiheessa voidaan vähentää arvoon . Tätä varten salaamme erilaisia ​​lomakkeen tekstejä ja puramme lomakkeen eri tekstejä , joissa ja ovat kiinteät ja täyttävät ehdon . Siten, koska työskentelemme nyt itse asiassa --bittisten tekstien kanssa, syntymäpäiväparadoksin mukaan näiden "selkoteksti-salateksti"-parien joukossa, on suuri todennäköisyys siirtoparille.

Avain löytyy soveltamalla p-kierroksen itsesamankaltaisuuden omaavien lohkosalausten yleiselle tapaukselle kuvattua menetelmää, eli yhdistämällä jokaista seuraavaa kaksi kierrosta yhdeksi - näin pelkistetään ongelma yksinkertaisimpaan tapaukseen. Vaikka pyöreän avaimen koko kaksinkertaistuu, tämä ei vaikeuta kryptausanalyysiä, koska avain , joka on puolet uudesta pyöreästä avaimesta, on jo tiedossa, ja meidän on löydettävä vain toinen puolisko, joka on yhtä suuri kuin kierroksen koko näppäile alkuperäinen ongelma.

Muut muutokset

Erillisenä muunnelmana voidaan pitää kahden yllä kuvatun lähestymistavan - Complementation slide ja Sliding with a twist - samanaikaista käyttöä, mikä mahdollistaa siirtohyökkäyksen laajentamisen salauksiin, joissa on 4-kierroksen samankaltaisuus [5] .

Epätasaisten kierrosten salausten kryptausanalyysin ongelma eroaa kaikista tähän mennessä käsitellyistä tapauksista, joiden ratkaisussa ei voida käyttää mitään tarkasteluista hyökkäyksen modifikaatioista. Tällaisten salausten tapauksessa ehdotettiin uudelleenkohdistavaa diahyökkäystä [ 8 ] ,  joka esitettiin esimerkillä DES-salauksen modifikaatioista, erityisesti DES :n täyden 16-kierroksen version esimerkistä.

Sliding-linear attack ( englanniksi  slide-linear attack ) [9] on esimerkki siirtohyökkäyksen toteutuksesta lineaarisen krypta -analyysin periaatteita käyttäen . Tämän hyökkäyksen työ näytettiin salauksella 4K-DES.

On myös parannuksia, jotka nopeuttavat jo olemassa olevien leikkausiskun muutosten toteuttamista. Erityisesti yksi näistä parannuksista, jotka on kuvattu teoksessa Eli Biham, Orr Dunkelman, Nathan Keller: Improved Slide Attacks [10] , mahdollistaa siirtoparien löytämisen paljon nopeammin käyttämällä syklistä salausrakennetta ja vastaavia avainpermutaatioita. Tämän muunnoksen toiminta esitettiin GOST 28147-89 (GOST) -salauksen eri muunnelmien esimerkissä.

Salausalgoritmit, jotka ovat alttiita siirtohyökkäykselle ja sen muokkauksille

Kuvattu alkuperäisissä artikkeleissa: [1] [5]

Kuvattu muissa lähteissä

Hajautusfunktioiden luokan siirtohyökkäykset [13]

Alkuperäisen tarkoituksensa - lohkosalausten hyökkäämisen - lisäksi shift-hyökkäyksen periaatteet ovat löytäneet käyttöä myös hash-funktion krypta-analyysin alalla. Samoin kuin lohkosalausten tapauksessa, jossa siirtohyökkäystä on käytetty avainaikataulun löytämiseen, se on osoittautunut mahdollisesti soveltuvaksi sen salaisen avaimen löytämiseen, jota käytetään lähetetyn viestin hajautusarvon luomiseen ja vahvistamiseen. Tämä lähestymistapa osoitettiin erityisesti simuloidun lisäyksen (MAC) luomisen esimerkissä .

Shift-hyökkäys osoittautui myös hyödylliseksi paitsi kryptografisissa hash-funktioissa, jotka ottavat parametriksi jonkin salaisen avaimen arvon, vaan myös sellaisissa hash-funktioissa, jotka tuottavat hajautusarvon pelkän viestin perusteella. Tällaisten toimintojen siirtohyökkäykseen perustuva analyysi mahdollistaa suurella todennäköisyydellä jotkin siirtoominaisuudet ja sen seurauksena tietyt hajautusalgoritmien toimintamallit.

Hash-funktiot ovat alttiina shift-hyökkäykselle: [13]

Tapoja lisätä kryptografista vastustuskykyä muutoshyökkäysten muutoksille [7] [16]

Koska avainaikataulun haavoittuvuuksia käytetään vuorohyökkäyksen aikana, yksi toimenpiteistä on monimutkaista sitä. Erityisesti avainaikataulussa tulee mahdollisuuksien mukaan välttää syklisiä toistoja tai käyttää ainakin riittävän suurta toistojaksoa. Jos näppäimiä on vähän, yksinkertaisen jaksollisen toiston sijasta tulisi käyttää jotakin satunnaista järjestystä niiden järjestyksessä.

Avainaikataulun heikkouden lisäksi myös vuorohyökkäys hyödyntää samoja kierroksia. Yksi tapa välttää tämä on käyttää eri kierroksilla salaustoiminnon parametreina joitain erilaisia ​​pyöreitä vakioita - näin voit tehdä eroja yksittäisten salauslohkojen toiminnassa ilman, että koko salausalgoritmi muuttuu merkittävästi.

Myös siirtohyökkäyksen tehokkuutta voidaan vähentää merkittävästi lisäämällä pyöreän salaustoiminnon kryptografista vahvuutta. Joten sen vastustuskyky selkeisiin teksteihin perustuvia hyökkäyksiä vastaan ​​vaikeuttaa pyöreän avaimen löytämistä jopa vaihtoparin ollessa läsnä.

Muistiinpanot

  1. 1 2 3 4 5 6 7 Alex Biryukov, David Wagner. Diahyökkäykset  //  Nopea ohjelmistosalaus. 6th International Workshop, FSE'99 Rooma, Italia, 24.–26. maaliskuuta 1999 Proceedings. - Springer Berlin Heidelberg, 1999. - P. 245-259 . - ISBN 978-3-540-66226-6 .  (linkki ei saatavilla)
  2. EK Grossman, Thomas J. Watson IBM Research Centerin tutkimusosasto, B. Tuckerman. Pyörimättömän avaimen heikentämän Feistelin kaltaisen salauksen analyysi . - IBM Thomas J. Watson Research Division, 1977. - 33 s.
  3. Eli Biham, Adi Shamir. DES-tyyppisten kryptojärjestelmien differentiaalinen kryptoanalyysi  //  Advances in Cryptology-CRYPT0' 90 Proceedings. - Springer Berlin Heidelberg, 1990. - P. 2-21 . — ISBN 978-3-540-54508-8 .  (linkki ei saatavilla)
  4. B. Preneel, V. Rijmen, A. Bosselears. Salausalgoritmien periaatteet ja suorituskyky  //  Dr. Dobbin päiväkirja. - Miller Freeman, 1998. - Voi. 23 , ei. 12 . - s. 126-131 .
  5. 1 2 3 4 5 6 Alex Biryukov, David Wagner. Advanced Slide Attacks  (englanniksi)  // Advances in Cryptology - EUROCRYPT 2000. Kansainvälinen konferenssi kryptografisten tekniikoiden teoriasta ja soveltamisesta Brugge, Belgia, 14.–18. toukokuuta 2000 Proceedings. - Springer Berlin Heidelberg, 2000. - P. 589-606 . — ISBN 978-3-540-67517-4 .  (linkki ei saatavilla)
  6. 1 2 Panasenko S.P. Shift-hyökkäys // Salausalgoritmit. Erityinen hakuteos - Pietari. : BHV-SPb , 2009. - S. 40-42. — 576 s. — ISBN 978-5-9775-0319-8
  7. 1 2 3 4 5 Chalermpong Worawannotai, Isabelle Stanton. Opetusohjelma diahyökkäyksille  . Arkistoitu alkuperäisestä 29. marraskuuta 2014.
  8. Raphael C.-W. Phan. Advanced Slide Attacks Revisited: Realigning Slide on DES  //  Progress in Cryptology – Mycrypt 2005. Ensimmäinen kansainvälinen kryptologiakonferenssi Malesiassa, Kuala Lumpur, Malesia, 28.-30.9.2005. Proceedings. - Springer Berlin Heidelberg, 2005. - S. 263-276 . — ISBN 978-3-540-28938-8 . Arkistoitu alkuperäisestä 12. kesäkuuta 2018.
  9. 1 2 Soichi Furuya. Slide Attacks with a Known-Plaintext Cryptanalysis  (englanniksi)  // Tietoturva ja kryptologia - ICISC 2001. 4th International Conference Soul, Korea, 6.–7. joulukuuta 2001 Proceedings. - Springer Berlin Heidelberg, 2002. - S. 214-225 . - ISBN 978-3-540-43319-4 . Arkistoitu alkuperäisestä 9. kesäkuuta 2018.
  10. Eli Biham, Orr Dunkelman, Nathan Keller. Parannetut diahyökkäykset  //  Nopea ohjelmistosalaus. 14th International Workshop, FSE 2007, Luxemburg, Luxemburg, 26.-28.3.2007, Revised Selected Papers. - Springer Berlin Heidelberg, 2007. - S. 153-166 . — ISBN 978-3-540-74617-1 .  (linkki ei saatavilla)
  11. Selçuk Kavut, Melek D. Yücel. Slide Attack on Spectr-H64  //  Progress in Cryptology - INDOCRYPT 2002. Kolmas kansainvälinen kryptologiakonferenssi Intiassa Hyderabad, Intia, 16.–18. joulukuuta 2002 Proceedings. - Springer Berlin Heidelberg, 2002. - S. 34-47 . - ISBN 978-3-540-00263-5 . Arkistoitu alkuperäisestä 11. kesäkuuta 2018.
  12. Nicolas T. Courtois, Gregory V. Bard, David Wagner. Algebralliset ja liukuhyökkäykset KeeLoqiin  //  Nopea ohjelmiston salaus. 15th International Workshop, FSE 2008, Lausanne, Sveitsi, 10.-13.2.2008, Revised Selected Papers. - Springer Berlin Heidelberg, 2008. - P. 97-115 . — ISBN 978-3-540-71038-7 . Arkistoitu alkuperäisestä 30. lokakuuta 2018.
  13. 1 2 Michael Gorski, Stefan Lucks, Thomas Peyrin. Slide Attacks on a Class of Hash Functions  //  Advances in Cryptology - ASIACRYPT 2008. 14th International Conference on theory and Application of Cryptology and Information Security, Melbourne, Australia, 7.-11.12.2008. Proceedings. - Springer Berlin Heidelberg, 2008. - S. 143-160 . - ISBN 978-3-540-89254-0 .  (linkki ei saatavilla)
  14. Yu Sasaki, Lei Wang, Kazuo Ohta, Noboru Kunihiro. Salasanan palautus haasteessa ja vastauksessa: mahdoton erilainen hyökkäys hash -funktioon  //  Progress in Cryptology – AFRICACRYPT 2008. Ensimmäinen kansainvälinen kryptologiakonferenssi Afrikassa, Casablanca, Marokko, 11.–14. kesäkuuta 2008. Proceedings. - Springer Berlin Heidelberg, 2008. - S. 290-307 . — ISBN 978-3-540-68159-5 . Arkistoitu alkuperäisestä 6. kesäkuuta 2018.
  15. 1 2 Markku-Juhani O. Saarinen. SHA-1:een ja MD5:een perustuvien lohkosalausten krypta-analyysi  //  Fast Software Encryption. 10. kansainvälinen työpaja, FSE 2003, Lund, Ruotsi, 24.-26. helmikuuta 2003. Revised Papers. - Springer Berlin Heidelberg, 2003. - S. 36-44 . - ISBN 978-3-540-20449-7 .  (linkki ei saatavilla)
  16. Francois-Xavier Standaert, Gilles Piret, Jean-Jacques Quisquater. Lohkosalausten krypta-analyysi: Tutkimus  //  UCL Crypto Group Technical Report Series. - 2003. Arkistoitu 10. helmikuuta 2014.