En criptografía , el criptoanálisis diferencial imposible es una forma de criptoanálisis diferencial para cifrados en bloque . Mientras que el criptoanálisis diferencial ordinario rastrea las diferencias que se propagan a través del cifrado con una probabilidad mayor que la esperada , el criptoanálisis diferencial imposible aprovecha las diferencias que son imposibles (con probabilidad 0) en algún estado intermedio del algoritmo de cifrado.
Lars Knudsen parece ser el primero en utilizar una forma de este ataque, en el documento de 1998 donde presentó a su candidato AES , DEAL . [1] La primera presentación para atraer la atención de la comunidad criptográfica fue más tarde el mismo año en la sesión de grupa de CRYPTO '98, en la que Eli Biham , Alex Biryukov y Adi Shamir introdujeron el nombre "diferencial imposible" [2] y usó la técnica para romper 4.5 de 8.5 rondas de IDEA [3] y 31 de 32 rondas del cifrado Skipjack diseñado por la NSA . [4]Este desarrollo llevó al criptógrafo Bruce Schneier a especular que la NSA no tenía conocimientos previos sobre el criptoanálisis diferencial imposible. [5] Desde entonces, la técnica se ha aplicado a muchos otros cifrados: Khufu y Khafre , E2 , variantes de Serpent , MARS , Twofish , Rijndael , CRYPTON , Zodiac , Hierocrypt-3 , TEA , XTEA , Mini-AES , ARIA , Camellia , y SHACAL-2 . [ cita requerida]
Biham, Biryukov y Shamir también presentaron un método especializado relativamente eficiente para encontrar diferenciales imposibles que llamaron un ataque fallido en el medio . Consiste en encontrar "dos eventos con probabilidad uno, cuyas condiciones no se pueden cumplir juntas". [6]