¿Existen límites (o, ¿cuáles son los límites) a nuestra comprensión de la resistencia de AES a los ataques de texto plano conocidos?

Question

¿Existen límites (o, ¿cuáles son los límites) a nuestra comprensión de la resistencia de AES a los ataques de texto plano conocidos?

#1 de Tom Leek (5 votos)

1

Supongamos que el mismo mensaje se cifra varias veces, cada vez con un IV diferente pero con la misma clave. ¿Llegamos a un punto en el que saber qué es ese mensaje nos da un ataque plausible mediante el cual podemos descubrir la clave?

Lo más cercano que veo a esto es un ataque de canal lateral mencionado en la página de Wikipedia que requiere más 200 millones de plaintexts elegidos, y presumiblemente los canales laterales pueden cerrarse a medida que se descubren, anulando esta debilidad en particular.

Aparte de eso, parece que podría ser imprudente volver a codificar el mismo mensaje muchas veces, si se encontrara una debilidad, tal escenario podría ser el primero en ser explotado, pero me preguntaba si era algo de lo que actualmente estábamos al tanto en ese sentido.

aes known-vulnerabilities

pregunta Jason 28.03.2014 - 22:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas aes known-vulnerabilities

¿Las conexiones OVPN son vulnerables a Heart Bleed? [duplicar] Iniciar sesión después del correo electrónico de restablecimiento de contraseña enviado (pero sin actuar)

score 5 · Accepted Answer

Un cifrado de bloque perfecto se modela como un permutación pseudoaleatoria . Para los bloques de n bits, hay 2 ⁿ! posibles permutaciones; un cifrado de bloque perfecto es como si la clave fuera una selección aleatoria uniforme de una permutación entre todos estos. Para un PRP, conocer muchos pares de texto simple / texto cifrado (m, E (m)) le da exactamente cero información sobre el cifrado de los bloques m ' que no son parte de la pares conocidos.

Ahora mismo, el mejor ataque que sabemos que puede distinguir entre AES y PRP es el denominado biclique attack , que tiene un costo solo un poco más bajo que la fuerza bruta básica en la clave (el costo es teóricamente alrededor de 2^126.1 , en comparación con 2 ¹²⁷ para la fuerza bruta, no hace falta decir que el ataque no se puede probar con la tecnología existente, por lo que no estamos absolutamente seguros de que funcione como se anuncia, aunque eso es plausible. / p>

Suponiendo que AES es un PRP tan bueno como podemos obtener, se puede demostrar que los modos de cifrado habituales son "seguros" siempre que no haya procesado más de 2 ⁶⁴ bloques con la misma llave. Ese es el punto donde, estadísticamente, el PRP comienza a diferenciarse de un PRF. Se traduce en unos 300 millones de terabytes, que es un poco grande. AES se ha definido para usar bloques de 128 bits, y no bloques de 64 bits como 3DES, precisamente para que no nos encontremos con ese tipo de problema.

Para resumir: en la práctica , no debe temer volver a utilizar la misma tecla una y otra vez, siempre que lo haga correctamente (por ejemplo, el modo CBC requiere aleatorio uniforme impredecible IV).