02.07 // Noi atacuri bumerang folosind metoda cheie AES
Un nou atac criptanalitar asupra AES, care este mai rapid decât o simplă căutare:
Aceste rezultate pot aduce o nouă lumină asupra dezvoltării unui calendar-cheie pentru cipurile blocurilor, dar nu reprezintă o amenințare reală pentru aplicațiile existente utilizând AES.
Î. Este primul rezultat în criptanalizarea unei AES complete?
A. Da. Anterior, cele mai reușite atacuri au acționat doar împotriva versiunilor abreviate: 10 runde (din 12) pentru AES-192, 10 runde (din 14 pentru AES-256).
Q. Este acest atac practic?
A. Nu există. Chiar și după îmbunătățiri, avem încă nevoie de mai mult de 2.100 de criptare, care depășesc puterea computațională a omenirii. Mai mult, acest atac funcționează într-un model de atacuri cu chei asociate, ceea ce implică un atacator mai puternic decât într-un model cu chei independente.
Q. Care este modelul de atac cu cheile asociate?
A. În acest model, atacatorul poate observa rezultatele procesului de criptare / decriptare pe diferite chei secrete. Atacatorul știe (sau chiar el însuși este capabil să aleagă) relația dintre diferite chei, dar nu știe cheile înseși. De exemplu, relația poate fi pur și simplu o valoare a XOR cu o constantă cunoscută: K B = K A xor C sau o relație mai complexă a formei K B = F (K A). unde F este o funcție arbitrară aleasă de atacator. În viața reală, astfel de dependențe pot apărea atunci când există un defect în hardware sau protocoale de securitate prost proiectate.
Î. În munca dvs. pentru conferința CRYPTO, ați arătat un atac practic asupra AES într-un model public-cheie - ce înseamnă asta?
O. Aceasta înseamnă că AES-256 este aproape cracat ca o funcție hash și, prin urmare, nu poate fi folosit ca un element plug-and-play în diferite modele bazate pe securitate probabilă.
Î: Trebuie să continui să utilizez AES-192 și AES-256?
A. Da. Atacurile noastre nu reprezintă o amenințare semnificativă în utilizarea AES, ci urmăriți cu atenție progresul în criptanaliză.
Q. Asta înseamnă că AES-256 este mai slab decât AES-128?
O. Teoretic - da. În practică, ambele oferă încă un nivel confortabil de securitate.
Î: Cum afectează acest lucru AES-128?
A. Nu știm cum să atacăm AES-128 pe baza acestei idei. Cu toate acestea, ne așteptăm la progresul criptanalizei versiunilor abreviate ale AES-128.
Î. Este posibilă remedierea acestei vulnerabilități?
A. Această vulnerabilitate poate fi rezolvată, numai aceasta necesită schimbări foarte grave în proiectare. În special, acea parte a cifrului, care este numită graficul cheie, ar trebui să fie refăcută. Acest lucru poate fi de asemenea corectat prin creșterea numărului de runde pentru toate versiunile, dar acest lucru va face cifrul mult mai lent.
Q. Ce efect va avea acest lucru asupra concursului SHA-3 și a aplicațiilor sale, care conțin funcții hash bazate pe AES?
O. Câteva aplicații conțin utilizarea AES în mod explicit, deci nu ne așteptăm ca multe caracteristici să sufere de atac. Totuși, ideile de bază pot fi folosite în criptanalizarea unor candidați care conțin elemente similare cu AES.
Î. Cum a fost descoperită această vulnerabilitate? De ce nu a fost deschisă în timpul competiției AES și nu a fost deschisă în următorii zece ani?
O. Vulnerabilitatea a fost descoperită când am început să vedem AES ca o funcție hash și a început să încerce să caute vulnerabilități caracteristice funcțiilor hash. Credem că majoritatea criptografilor au folosit doar tehnicile orientate către blocuri de cifru, împotriva cărora AES a fost bine protejat de dezvoltatori. Un alt motiv este faptul că AES-256 a primit, probabil, mai puțină atenție din partea criptanaliștii decât AES-128, desi in mod ironic este AES-256 este proiectat pentru a proteja informațiile mai sensibile decât AES-128.
Q. Puteți descrie pe scurt ce proprietăți ale cifrului au condus la o astfel de vulnerabilitate?
O. Cheia AES este folosită în mod repetat în timpul criptării, după ce este implementată în timpul unui proces numit programare cheie. Am constatat că mici schimbări în cauza schimbări cheie mici în procesul de criptare și poate fi neutralizat cu o probabilitate ridicată, care permite unui atacator să controleze modificările răspândirea diferențiale. Noi numim o astfel de neutralizare o coliziune locală (conceptul de criptanaliză a funcțiilor hash). Anumite ciocniri locale seriale pot fi lipite una de alta de-a lungul unei lungi 7 rotunde mostre de diferență trecere (numite diferențiale sau diferențiale caracteristici căi), care au o probabilitate foarte mare - astfel încât nici un criptanalistul nu a putut înainte și visătoare. Noi le numim căi magice AES-256.
Acest atac poate fi dezvoltat până la 10 runde (2 172 pași), dar numai cu un model incomplet de chei asociate (așa-numitele subchei conectate).
RC-5-72 nu a fost încă hacked, deși după terminarea sponsorizării RSA (adevărul este pur și simplu simbolic) și interesul pentru competiție a scăzut. Despre brutoforii de succes pentru 2 72 de operațiuni nu este încă audibil.
2 64 - acest lucru este practic.
Atacurile asupra cheile svjazanyh (dintre care unele nici măcar o versiune completă sau nu „curat“ chei legate) în protocoalele cele mai simple, ele însele nu ajută să crape un mesaj text sau criptat.
În consecință, este imposibil să se efectueze 2 128 operații computaționale asupra a ceea ce este cunoscut.
Îmi voi permite o traducere, cineva poate găsi inexactitate în calcule sau ipoteze:
Există un argument fizic cu privire la faptul că o cheie simetrică pe 128 de biți este în siguranță împotriva unui atac simplu al forței brute. Așa-numita limită Von Neumann-Landau stabilește o limită fizică inferioară consumul de energie necesar pentru calculele sub forma ln (2) kT per bit utilizat în calculul unde T - calcul a temperaturii dispozitivului în grade Kelvin, k - constanta Boltzmann, iar logaritmul natural 2 este aproximativ egal cu 0,693. Nici un dispozitiv de calcul pe o singură față nu poate folosi mai puțin decât această energie, chiar și ca principiu.
Astfel, pentru a simplifica trecerea prin dispozitiv a tuturor valorilor posibile ale unei chei simetrice de 128 biți (cu excepția efectuării tuturor calculelor necesare pentru a fi verificată), sunt necesare 2 întreruptoare de 128-1 biți. Dacă presupunem că calculele se efectuează la temperatura camerei (300 K), putem impune, prin impunerea limitei Von Neumann-Landau, cantitatea de energie consumată ca
10 18 Joule, echivalent cu consumul de 30 de gigawați de energie pe an (30 x 10 9 W x 365 x 24 x 3600 s = 9,46 x 10 17 J). Numărul total de calcule și verificări ale fiecărei taste va fi în mod evident de multe ori mai mare și va necesita un consum de energie mult mai mare.
Acest argument înseamnă că valorile din registru se modifică utilizând operații tradiționale care generează inevitabil entropie. Sa demonstrat că, teoretic, este posibil să se creeze echipamente de calcul pe calcule reversibile care nu fac obiectul unor astfel de limitări teoretice, dar nu se știe nimic despre proiectarea computerelor de acest tip.
Timpul de hacking o cheie de 128 de biți este, de asemenea, minunat. Este necesar să verificați 2 128 (340,282,366,920,938,463,463,374,607,431,768,211,456) de posibile valori. Un dispozitiv care ar putea testa miliarde de chei (10 18) pe secundă ar dura încă aproximativ 10 13 ani pentru a verifica valorile din spațiul cheie. Aceasta este de o mie de ori mai mare decât vârsta universului, care este estimată la 13 000 000 000 (1,3 x 10 10 ani).
AES permite utilizarea cheilor de 256 de biți. Hacking-ul cu o simplă căutare a unei chei simetrice de 256 de biți va necesita 2 128 de ori mai multe resurse de calcul decât tastele pe 128 biți. Un dispozitiv care ar putea testa un chestionar de miliard de miliarde (10 18) pe minut ar necesita 3 x 10 51 ani pentru o scanare completă a spațiului cheie de 256 de biți
Un dispozitiv care ar putea testa un chestionar de miliard de miliarde (10 18) pe minut ar necesita 3 x 10 51 ani pentru o scanare completă a spațiului cheie de 256 de biți
Sursele de energie din univers vor termina mult mai devreme, deci, aparent, putem concluziona că forța bruta a unei astfel de chei este fundamental imposibilă.
Și acest lucru nu este nimic, că QC reduce în mod eficient lungimea cheii criptografice de 2 ori? Ie O cheie pe 128 de biți, de exemplu, va fi la fel de greu de rupt ca acum pe un computer tipic pe 64 de biți. 64-bit AES nu este încă hacked de bruteforce? 2 ^ 64 - acest lucru este practic.
Este ceva cunoscut despre QC cu mai mult de trei supape?
AES de 256 de biți a fost creat tocmai în calcularea unei astfel de amenințări. Dar situația se dezvoltă în așa fel încât, înainte de a apărea, este puțin probabil să supraviețuiască în cea actuală.
Este ceva cunoscut despre QC cu mai mult de trei supape? Ei bine, toate Taki QC este de fapt o mai mult decât un tip abstract de expresie putin a fost demonstrat că este teoretic posibil de a crea echipamente de calcul pe calcul reversibil, nu este supusă unor astfel de limitări teoretice, dar nu se cunoaște nimic despre proiectarea acestui tip de calculator. Sună ca și în cazul în care există un lucru pe care, de, ar fi arătat o „posibilitate“, dar nimeni nu este sigur, dar de fapt QC - tema, pe care mii de oameni sunt acum lucrează în jurul lumii dezvoltate.
Articole similare
Trimiteți-le prietenilor: