Se la conoscenza di parte del testo in chiaro dà un vantaggio all'avversario nei suoi sforzi per indovinare o ricalcolare altri byte crittografati, o la chiave stessa, allora questo è considerato un grave punto debole dell'algoritmo di crittografia. Nessuna debolezza di questo tipo è nota per AES.
Il paragrafo precedente necessita di alcune precisioni. Infatti, se io, come attaccante, mi viene data la consapevolezza che alcuni byte in chiaro sono "Papa Benedetto XVI si dimette", con il "." essendo un byte sconosciuto all'attaccante, allora posso indovinare con una probabilità relativamente alta che il byte sconosciuto codifica effettivamente una "i". Quindi la definizione corretta sarebbe: se l'attaccante, data conoscenza di alcuni byte di testo in chiaro e dell'intero file crittografato, può indovinare i byte mancanti con maggiore probabilità di successo rispetto allo stesso un utente malintenzionato che conosce gli stessi byte in chiaro ma non il file crittografato, quindi l'algoritmo di crittografia può essere considerato non funzionante. AES non è considerato danneggiato, quindi va bene.
Un altro punto riguarda gli attacchi attivi . Un utente malintenzionato potrebbe voler modificare i dati in modo da indurre un sistema onesto a lavorare su dati falsi; e il comportamento del sistema quel può dare molte informazioni sui byte sconosciuti (una variante di questo attacco è ciò che viene usato nel attacco BEAST su SSL / TLS ). La conoscenza di alcuni byte di testo in chiaro rende tali attacchi più facili. AES-CBC, da solo, non protegge da aggressori attivi. Per sconfiggere gli attaccanti attivi, devi applicare un MAC . La combinazione di crittografia e MAC è non facile ; è meglio sostituire CBC con una modalità di crittografia che include un MAC e gestisce il duro lavoro (ad esempio GCM o < a href="http://en.wikipedia.org/wiki/EAX_mode"> EAX ).
(La definizione di cui sopra riguarda "noti attacchi di testo in chiaro", dove l'autore dell'attacco conosce parte del testo in chiaro.Per gli attacchi attivi, dovremmo parlare di "attacchi di testo in chiaro scelti", in cui l'attaccante arriva a scegliere parte del testo in chiaro e "attacchi cifratici scelti", in cui l'autore dell'attacco altera il testo cifrato e osserva più o meno direttamente il risultato della decrittografia: il MAC correttamente applicato e verificato fornisce una protezione affidabile contro gli attacchi di testo cifrato scelti.)