Гарантія жорсткості для AES


14

Багато криптосистеми з відкритим ключем мають певну надійну безпеку. Наприклад, криптосистема Рабіна , настільки ж важка, як факторинг.

Цікаво, чи існує такий вид надійної безпеки для криптосистем із секретними ключами, як AES. Якщо ні, то які докази того, що зламати такі криптосистеми важко? (крім стійкості до атак проб і помилок)

Зауваження: я знайомий з операціями AES (AddRoundKey, SubBytes, ShiftRows та MixColumns). Здається, що твердість AES випливає з операції MixColumn, яка, в свою чергу, повинна успадкувати свою складність від якоїсь важкої проблеми над полями Галуа (і, таким чином, алгебри). Насправді я можу повторити своє запитання так: "Яка жорстка алгебраїчна проблема гарантує безпеку AES?"

Відповіді:


8

MIXCOLUMNS запобігає атакам, зосередженим лише на декількох S-скриньках, оскільки для змішування стовпців потрібні всі S-бокси для участі в шифруванні. (Дизайнери Ріндзаеля назвали це "стратегією широкого сліду".) Аналіз причини S-коробки є важким через використання операції інверсії скінченного поля. Інверсія «згладжує» таблиці розподілу записів S-box, тому записи видаються (майже) однорідними, тобто не відрізняються від випадкового розподілу без ключа. Саме поєднання двох особливостей робить Рінддейл надійно захищеним від відомих атак.

Як осторонь, книга «Дизайн Рінддейла» дуже добре читається і обговорює теорію та філософію криптографії.


1
Гарне пояснення. Спасибі. Власне кажучи, я мав доступ до книги, але не знав, яку частину прочитати (стосовно мого питання). Чи пропонуєте ви якусь спеціальну главу чи розділ?
MS Dousti

3
Я прочитав це понад два роки тому з бібліотеки, тому в мене немає змісту, і я не впевнений, що міг би дати конкретну відповідь на ваше запитання, за винятком того, що мені сподобався спосіб вони спроектували S-коробки легкими для реалізації. Однак я можу запропонувати одне пояснення Стінсона щодо AES та інших мереж заміщення-перестановки в криптографії: теорія та практика. Це глава 3 видання, яке я маю, і виглядає так, ніби ви можете безкоштовно завантажити книгу за цим посиланням: ebookee.com/…
Аарон Стерлінг

1
Дякуємо, що запропонували книгу Стінсона. Не могли б ви також переглянути зміст проекту "Рінддейл" і побачити, чи нагадує він щось корисне?
MS Dousti

2
Дякуємо за посилання! :-) Так, розділ 3.6 та глава 5 були для мене дуже цікавими, бо вони обговорювали "чому", а не лише "що".
Аарон Стерлінг

10

Як сказав Девід, у нас немає таких скорочень для AES. Однак це не означає, що криптосистема Рабіна або RSA є більш безпечною, ніж AES. Насправді, я б довіряв (принаймні односторонній, ймовірно, також псевдослучайним) безпеці блокових шифрів, таких як AES / DES тощо. важко, саме тому, що немає алгебраїчної структури, і тому важче уявити, що буде якийсь алгоритм прориву.

Можна побудувати блокові шифри безпосередньо з односторонніх функцій, що є мінімальним припущенням для більшої частини краптографії, але отримана конструкція буде надзвичайно неефективною і, отже, не буде використана.


Дякую Боаз. Я думаю, що конструкція Любі-Раккоффа - це те, що забезпечує підтверджувані псевдовипадковість на основі DES-подібних структур, правда?
MS Dousti

3
так. Точніше, ви починаєте з односторонньої функції, перетворюєте її в генератор псевдовипадкових за допомогою Hastad, Impagliazzo, Luby, Levin, потім перетворюєте її в псевдовипадкову функцію за допомогою Goldreich, Goldwasser, Micali, а потім дійсно використовуєте конвертувати Luby-Rackoff в псевдовипадкова перестановка (тобто, блок ci pher)
Боаз Барак

6

Оскільки можна перетворити будь-яку схему шифрування відкритого ключа в схему секретного ключа загальним способом, ви можете отримати схеми секретного ключа з подібними підтверджуваними гарантіями безпеки.

Але ця відповідь є педантичною: для типового розгорнутого блочного шифрувальниці у нас немає доказного аналізу безпеки в сенсі скорочення до обчислювальної проблеми. Були пропозиції щодо блокувальних блоків із зменшенням безпеки, але обчислювальний багаж, необхідний для сприяння зменшенню, робить їх неконкурентоспроможними з більш ефективними схемами, такими як алгоритми AES.

Цікаво, що доказове співтовариство безпеки, як правило, погодилося з тим, що обгрунтовано вважати безпеку блокування (псевдовипадкова перестановка) припущенням, а потім зводити до неї при аналізі протоколів вищого рівня, які використовують блокчіфтер як компонент. Тобто, на відміну від деяких інших проблем у безпечній розробці протоколів, здається, достатньо довіряти інтуїції криптоаналітиків для безпеки, коли справа стосується блокчефрів.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.