Další p?kný kryptoanalytický výsledek k AES-256
05.05.2010Jedná se o ?lánek Alexe Biryukova a Dmitry Khovratoviche: Feasible Attack on the 13-round AES-256. Je v n?m popsán útok s využitím ?ty? p?íbuzných klí??, který má složitost 2^76 a je aplikován na 13 rundovní AES-256, p?i?emž standardní AES-256 má o jednu rundu více. Je to další kryptoanalytický výsledek (jeden z t?ch lepších), který v?bec neohrožuje AES, pouze prohlubuje znalosti o n?m. Ukazuje za prvé, že AES je stále bezpe?ná šifra a za druhé, kde je nejv?tší jeho p?ípadná potenciální slabina. Tou je p?íprava klí??, p?i?emž p?íbuzné klí?e se u správn? implementovaných blokových šifer prakticky nikdy neobjeví. Klí?e by m?ly být totiž voleny náhodn? nebo pseudonáhodn? (nap?íklad jako výsledek hašovací funkce), tj v každém p?ípad? jakákoliv p?íbuznost (blízkost) klí?? nep?ipadá v úvahu. Pokud bych si cht?l p?ih?át svojí polív?i?ku, navrhl jsem p?ed n?kolika lety systém dvojité sít?, a to p?vodn? pro hašovací funkce (HDN), kde dot?ený stavební prvek podobný blokové šif?e musí být rezistentní proti útok?m p?íbuznými vstupy i z klí?e, i z otev?eného textu. Touto konstrukcí pak bylo možné dokázat, že uvedená hašovací funkce má prokazatelné vlastnosti odolnosti proti nalezení kolizí a vzoru (mimochodem po tom marn? touží všechny algoritmy ze sout?že na SHA-3, v?etn? BMW-n). Jako hašovací funkce se konstrukce HDN neujala, protože dvojitá sí? je dvakrát pomalejší než klasická jednoduchá sí?, zatímco hašovací funkce SHA-3 má být spíše dvakrát rychlejší než sou?asné funkce rodiny SHA-2. Avšak pokud bychom použili konstrukci dvojité sít? pro blokovou šifru, docílili bychom tím i odolnosti proti útok?m p?íbuznými klí?i. Posta?ilo by AES vybavit sítí pro p?ípravu rundovních klí?? a byl by pokoj od podobných útok?. Sou?asné útoky si v?bec neškrtnou vzhledem k otev?enému textu a za deset let existence AES žádný takový ukázán nebyl. Použití druhé sít? na p?ípravu rundovních klí?? by totéž ud?lalo s útoky proti klí?i – žádné by neexistovaly, nebo? se jedná v zásad? o stejnou úlohu jako útok na otev?ený text. AES s dvojitou sítí by tak byla zcela ?istá bez jediného kryptoanalytického výsledku. To by bylo ur?it? velmi p?kné. Na druhou stranu cenou za tento luxus by bylo zpomalení v SW nebo zv?tšení plochy k?emíku p?i realizaci v HW. Pokud by se klí? p?ipravoval jen ob?as, výkon v SW by byl zcela stejný jako u dnešní AES. V HW by pak šlo využít jen jedné sít?, a to nejprve pro p?ípravu rndovních klí?? a poté, po jejich uložení do mezipam?ti, k vlastnímu šifrování. Rozhodn? to ale v každém p?ípad? JE zesložit?ní, které v dnešní dob? nikdo nep?ijme jen proto, že by se znemožnily i sou?asné teoretické útoky. Takový p?ístup a stav je v technice p?irozený, nebo? realizuje princip p?im??ené obrany. ?as od ?asu proto m?žeme poblahop?át kryptolog?m, že si u AES trochu škrtli a našli n?jakou tu mušku.
Zdroj: http://eprint.iacr.org/2010/257.pdfAutor: VK
Heuristické vyhledání souvisejících článků v archívu NEWS
Pozor - není zdaleka přesné a výsledek je bez záruky...
Chcete-li článek obsahující konkrétní termín - pou·ijte funkci
vyhledávání !
