¿Es posible construir una colisión de AES específica?

4

Supongamos que tengo un mensaje de texto simple P y lo cifro usando la clave K para obtener el texto cifrado C.

Es trivial encontrar un mensaje de texto plano diferente P 'y una clave K' para que el cifrado resulte en C: simplemente descifre C usando K 'para obtener P'.

Pero supongamos que tengo una P 'específica que me gustaría cifrar, usando cualquier clave, para que P' cifrada con la clave dé como resultado C. ¿Es esto posible?

    
pregunta Daniel 12.07.2015 - 22:51
fuente

2 respuestas

5

No. No solo con la llave.

Si tiene un texto sin formato conocido y un texto de cifrado conocido, entonces el problema de obtener la clave se conoce como un "ataque de texto sin formato conocido".

Y cualquier sistema criptográfico moderno, incluyendo AES, está endurecido contra esto. Varios terabytes de pares de texto cifrado / texto cifrado todavía no le permitirán obtener la clave en un tiempo razonable.

Lectura adicional

Sin embargo ...

Si va más allá de simplemente elegir una clave AES y también permite elegir un Vector de Inicialización AES (IV) para un modo de bloqueo AES, entonces sí, puede hacer esto. Fácilmente. Si tu mensaje es lo suficientemente corto. Solo obtienes el valor de una IV.

Es un pasatiempo para una Ange Albertini. Le gusta crear "archivos políglotas" que pueden decodificarse / interpretarse de más de una manera.

Dio una charla sobre esto en 2014:

respondido por el StackzOfZtuff 13.07.2015 - 00:05
fuente
0

Hubo un momento en el que algunos criptógrafos consideraron imposible que un atacante encontrara una P y una K para producir una C dada a través de AES, y hubo intentos de crear funciones hash desde AES basándose en esta suposición. Pero, las funciones hash basadas en AES no resultaron ser tan seguras como otros algoritmos de hash (consulte ¿Por qué AES no se usa para hashing seguro, en lugar de SHA-x? ).

Lo que estás preguntando es: dado P, es posible que un atacante encuentre una K para producir una C. dada. Esto es al menos tan desafiante como el caso anterior, porque en este caso el atacante recibe una particular P, mientras que en el caso anterior, P y K pueden ser elegidos por el atacante.

Entonces, la respuesta es: depende de los recursos disponibles para el atacante. Si el atacante tiene recursos suficientes, puede ser posible encontrar una clave K que produzca una C dada a partir de P (o P ') dada. Pero, va a requerir un LOTE de recursos.

    
respondido por el mti2935 13.07.2015 - 00:20
fuente

Lea otras preguntas en las etiquetas