Гарантія жорсткості для AES

Багато криптосистеми з відкритим ключем мають певну надійну безпеку. Наприклад, криптосистема Рабіна , настільки ж важка, як факторинг.

Цікаво, чи існує такий вид надійної безпеки для криптосистем із секретними ключами, як AES. Якщо ні, то які докази того, що зламати такі криптосистеми важко? (крім стійкості до атак проб і помилок)

Зауваження: я знайомий з операціями AES (AddRoundKey, SubBytes, ShiftRows та MixColumns). Здається, що твердість AES випливає з операції MixColumn, яка, в свою чергу, повинна успадкувати свою складність від якоїсь важкої проблеми над полями Галуа (і, таким чином, алгебри). Насправді я можу повторити своє запитання так: "Яка жорстка алгебраїчна проблема гарантує безпеку AES?"

MIXCOLUMNS запобігає атакам, зосередженим лише на декількох S-скриньках, оскільки для змішування стовпців потрібні всі S-бокси для участі в шифруванні. (Дизайнери Ріндзаеля назвали це "стратегією широкого сліду".) Аналіз причини S-коробки є важким через використання операції інверсії скінченного поля. Інверсія «згладжує» таблиці розподілу записів S-box, тому записи видаються (майже) однорідними, тобто не відрізняються від випадкового розподілу без ключа. Саме поєднання двох особливостей робить Рінддейл надійно захищеним від відомих атак.

Як осторонь, книга «Дизайн Рінддейла» дуже добре читається і обговорює теорію та філософію криптографії.

Як сказав Девід, у нас немає таких скорочень для AES. Однак це не означає, що криптосистема Рабіна або RSA є більш безпечною, ніж AES. Насправді, я б довіряв (принаймні односторонній, ймовірно, також псевдослучайним) безпеці блокових шифрів, таких як AES / DES тощо. важко, саме тому, що немає алгебраїчної структури, і тому важче уявити, що буде якийсь алгоритм прориву.

Можна побудувати блокові шифри безпосередньо з односторонніх функцій, що є мінімальним припущенням для більшої частини краптографії, але отримана конструкція буде надзвичайно неефективною і, отже, не буде використана.

Оскільки можна перетворити будь-яку схему шифрування відкритого ключа в схему секретного ключа загальним способом, ви можете отримати схеми секретного ключа з подібними підтверджуваними гарантіями безпеки.

Але ця відповідь є педантичною: для типового розгорнутого блочного шифрувальниці у нас немає доказного аналізу безпеки в сенсі скорочення до обчислювальної проблеми. Були пропозиції щодо блокувальних блоків із зменшенням безпеки, але обчислювальний багаж, необхідний для сприяння зменшенню, робить їх неконкурентоспроможними з більш ефективними схемами, такими як алгоритми AES.

Цікаво, що доказове співтовариство безпеки, як правило, погодилося з тим, що обгрунтовано вважати безпеку блокування (псевдовипадкова перестановка) припущенням, а потім зводити до неї при аналізі протоколів вищого рівня, які використовують блокчіфтер як компонент. Тобто, на відміну від деяких інших проблем у безпечній розробці протоколів, здається, достатньо довіряти інтуїції криптоаналітиків для безпеки, коли справа стосується блокчефрів.