Ci sono dei limiti (o, quali sono i limiti) alla nostra comprensione della resistenza di AES agli attacchi di testo in chiaro noti?

1

Supponiamo che lo stesso messaggio sia criptato molte volte, ogni volta con un IV diverso ma la stessa chiave. Raggiungiamo un punto in cui sapere cosa è quel messaggio ci dà un attacco plausibile con il quale possiamo scoprire la chiave?

La cosa più vicina che vedo è un attacco di canale laterale menzionato nella pagina di Wikipedia che richiede oltre 200 milioni di testi in chiaro scelti, e presumibilmente i canali secondari possono essere chiusi man mano che vengono scoperti, annullando questa particolare debolezza.

A parte questo, sembra che non sia saggio ricodificare lo stesso messaggio molte volte, se si dovesse trovare una debolezza allora uno scenario del genere potrebbe essere il primo a essere sfruttato, ma mi stavo chiedendo se ci fosse era tutto ciò di cui eravamo al corrente in questo senso.

    
posta Jason 28.03.2014 - 22:40
fonte

1 risposta

5

Una cifra di blocco perfetta è modellata come permutazione pseudocasuale . Per i blocchi di n bit, ci sono 2 n ! possibili permutazioni; un codice a blocchi perfetto è come se la chiave fosse una selezione casuale casuale di una permutazione tra tutti questi. Per un PRP, conoscere molte coppie di testo in chiaro / cifrati (m, E (m)) fornisce esattamente zero informazioni sulla crittografia dei blocchi m ' che non fanno parte del coppie conosciute.

In questo momento, l'attacco migliore che sappiamo che può distinguere AES da un PRP è il cosiddetto attacco bicolore , che ha un costo solo leggermente inferiore alla forza bruta di base sulla chiave (il costo è teoricamente circa 2 126.1 , rispetto a 2 127 per la forza bruta - inutile dire che l'attacco non può essere effettivamente provato con la tecnologia esistente, quindi non siamo assolutamente sicuri che funzioni come pubblicizzato, anche se è plausibile). / p>

Supponendo che AES sia effettivamente un buon PRP come possiamo ottenere, le normali modalità di crittografia possono essere mostrate come "sicure" se non hai elaborato più di 2 64 blocchi con la stessa chiave. Questo è il punto in cui, statisticamente, il PRP inizia a differenziarsi da un PRF. Si traduce in circa 300 milioni di terabyte, che è abbastanza grande. AES è stato definito per utilizzare blocchi a 128 bit e non blocchi a 64 bit come 3DES, proprio per non incorrere in questo tipo di problema.

Per riassumere: nella pratica , non devi temere di riutilizzare lo stesso tasto ancora e ancora, se lo fai correttamente (ad es. modalità CBC richiede l'imprevedibile uniforme casuale IV).

    
risposta data 28.03.2014 - 23:21
fonte

Leggi altre domande sui tag