การ โจมตีแบบลูกบาศก์เป็นวิธีการวิเคราะห์การเข้ารหัส ที่ใช้ได้กับ อัลกอริธึมกุญแจสมมาตรหลากหลายประเภทซึ่งเผยแพร่โดย Itai Dinur และAdi Shamirในเอกสารก่อนตีพิมพ์ในเดือนกันยายน พ.ศ. 2551 ฉบับปรับปรุงของเอกสารก่อนตีพิมพ์นี้ได้รับการเผยแพร่ทางออนไลน์ในเดือนมกราคม พ.ศ. 2552 ^{[ 1 ]}และเอกสารนี้ได้รับการยอมรับให้เสนอในงานEurocrypt 2552 ด้วย

รหัสลับจะอ่อนแอหากบิตเอาต์พุตสามารถแสดงเป็นพหุนามดีกรีต่ำเพียงพอ เหนือGF(2)ของบิตคีย์และบิตอินพุต โดยเฉพาะอย่างยิ่ง สิ่งนี้อธิบายถึงรหัสลับแบบสตรีม จำนวนมาก ที่ใช้LFSR ^{[ 2 ]} เชื่อกันว่า DESและAESมีภูมิคุ้มกันต่อการโจมตีนี้^{[ 2 ]}วิธี การนี้ทำงานโดยการรวมค่าบิตเอาต์พุตสำหรับค่าที่เป็นไปได้ทั้งหมดของชุดย่อยของบิตอินพุตสาธารณะ ซึ่งเลือกเพื่อให้ผลรวมที่ได้เป็นการรวมเชิงเส้นของบิตลับ การประยุกต์ใช้เทคนิคนี้ซ้ำๆ จะให้ชุดความสัมพันธ์เชิงเส้นระหว่างบิตลับที่สามารถแก้เพื่อค้นหาบิตเหล่านี้ได้ ผู้เขียนแสดงให้เห็นว่าหากรหัสลับคล้ายกับพหุนามสุ่มดีกรีต่ำเพียงพอ ชุดของบิตอินพุตสาธารณะดังกล่าวจะมีอยู่ด้วยความน่าจะเป็นสูง และสามารถค้นพบได้ใน ขั้นตอน การคำนวณล่วงหน้าโดย "การตรวจสอบแบบกล่องดำ" ของความสัมพันธ์ระหว่างอินพุตและเอาต์พุตสำหรับตัวเลือกต่างๆ ของบิตอินพุตสาธารณะและลับโดยไม่ต้องใช้ข้อมูลอื่นใดเกี่ยวกับการสร้างรหัสลับ

บทความนี้นำเสนอการโจมตีเชิงปฏิบัติ ซึ่งผู้เขียนได้นำไปใช้และทดสอบแล้ว กับรหัสสตรีมที่ไม่เคยมีการโจมตีใดได้ผลมาก่อน สถานะของมันคือ LFSR ขนาด 10,000 บิต ที่มีพหุนามป้อนกลับแบบหนาแน่นที่เป็นความลับ ซึ่งถูกกรองโดยอาร์เรย์ของS-box 8 บิตถึง 1 บิตที่เป็นความลับจำนวน 1,000 ตัว โดยอินพุตของ S-box เหล่านี้มาจาก taps ที่เป็นความลับในสถานะของ LFSR และเอาต์พุตจะถูก XOR เข้าด้วยกัน บิตแต่ละบิตใน LFSR จะถูกเริ่มต้นด้วยพหุนามกำลังสองแบบหนาแน่นที่เป็นความลับที่แตกต่างกันใน 10,000 บิตของคีย์และIV LFSR จะถูกจับเวลาเป็นจำนวนมากและเป็นความลับโดยไม่สร้างเอาต์พุตใดๆ จากนั้นเฉพาะเอาต์พุตแรก ซึ่งเป็นบิตสำหรับ IV ใดๆ ก็ตาม จะถูกเปิดเผยให้ผู้โจมตี หลังจากขั้นตอนการประมวลผลล่วงหน้าสั้นๆ ซึ่งผู้โจมตีสามารถสอบถามบิตเอาต์พุตสำหรับชุดค่าผสมคีย์และ IV ต่างๆ ได้ จะใช้เพียง 2³⁰ การดำเนินการ ³⁰บิตเท่านั้นในการค้นหาคีย์สำหรับรหัสนี้

ผู้เขียนยังอ้างว่าสามารถโจมตีเวอร์ชันของTriviumที่ลดจำนวนรอบการเริ่มต้นเหลือ 735 รอบ ด้วยความซับซ้อน 2³⁰ ^และคาดการณ์ว่าเทคนิคเหล่านี้อาจขยายไปถึงการถอดรหัส 1100 รอบจาก 1152 รอบการเริ่มต้นของ Trivium และ "อาจถึงขั้นถอดรหัสต้นฉบับได้" ณ เดือนธันวาคม 2008 นี่คือการโจมตีที่ดีที่สุดที่ทราบกันดีสำหรับ Trivium

อย่างไรก็ตาม การโจมตีนี้เกี่ยวข้องกับข้อโต้แย้งสองประการแยกกัน ประการแรกDaniel J. Bernstein ^{[ 3 ]}โต้แย้งข้ออ้างที่ว่าไม่มีการโจมตีก่อนหน้านี้ต่อการเข้ารหัสแบบสตรีมที่ใช้ LFSR 10,000 บิต และอ้างว่าการโจมตี Trivium แบบลดรอบ "ไม่ได้ให้เหตุผลที่แท้จริงใดๆ ที่จะคิดว่า Trivium (แบบเต็ม) สามารถถูกโจมตีได้" เขาอ้างว่าเอกสาร Cube ไม่ได้อ้างอิงเอกสารที่มีอยู่ของXuejia Laiซึ่งให้รายละเอียดเกี่ยวกับการโจมตีการเข้ารหัสด้วยพหุนามดีกรีต่ำ และเขาเชื่อว่าการโจมตี Cube เป็นเพียงการคิดค้นเทคนิคที่มีอยู่แล้วนี้ขึ้นมาใหม่

ประการที่สอง Dinur และ Shamir ยกย่อง " การโจมตีเชิงอนุพันธ์พีชคณิต IV " (AIDA) ของ Michael Vielhaber ว่าเป็นต้นแบบของการโจมตี Cube ^{[ 4 ]} Dinur กล่าวในการประชุม Eurocrypt 2009 ว่า Cube เป็นการขยายและปรับปรุง AIDA อย่างไรก็ตาม Vielhaber โต้แย้งว่าการโจมตี Cube เป็นเพียงการโจมตีของเขาภายใต้ชื่ออื่น^{[ 5 ]} อย่างไรก็ตาม ทุกฝ่ายที่เกี่ยวข้องยอมรับว่าการใช้การทดสอบความเป็นเส้นตรงที่มีประสิทธิภาพ เช่น การทดสอบ BLR ของ Cube ทำให้การโจมตีใหม่นี้ใช้เวลาน้อยกว่า AIDA แม้ว่าการเปลี่ยนแปลงที่สำคัญนี้ยังคงเป็นที่ถกเถียงกันอยู่ นี่ไม่ใช่เพียงวิธีเดียวที่ Cube และ AIDA แตกต่างกัน Vielhaber อ้างว่าพหุนามเชิงเส้นในบิตคีย์ที่ได้รับระหว่างการโจมตีจะมีความเบาบางเป็นพิเศษ เขายังไม่ได้แสดงหลักฐานใด ๆ เกี่ยวกับเรื่องนี้ แต่กล่าวอ้างว่าหลักฐานดังกล่าวจะปรากฏในบทความที่จะตีพิมพ์ในอนาคตของเขาเอง ในชื่อเรื่อง "การโจมตีเชิงอนุพันธ์พีชคณิต IV: AIDA โจมตี Trivium ฉบับเต็ม" (ยังไม่ชัดเจนว่าความเบาบางที่กล่าวอ้างนี้ใช้ได้กับรหัสลับอื่นนอกเหนือจาก Trivium หรือไม่)