Считается ли 128- и 256-битное шифрование AES слабым?
Я хотел заархивировать файлы и решил, что могу написать приложение, которое автоматически сделает это с помощью WinRAR или 7z. Winrar использует AES-128, а 7z использует AES-256. Мне было интересно, легко ли это сломать сейчас, когда на рынке есть четырехъядерные ядра? Некоторые из этих файлов имеют размер 10 КБ и даже 4 КБ (возможно, несколько файлов имеют размер <1 КБ).
Я хочу сделать резервную копию многих дисков, но нервничаю, как легко они могут быть сломаны, если кто-то действительно захочет сломать их.
Недавний сбой AES-256, описанный Брюсом Шнайером в своей публикации 30 июля 2009 г.,
Еще одна новая атака AES
Есть три причины не паниковать:
- Атака использует тот факт, что ключевое расписание для 256-битной версии
довольно паршиво - на что мы указывали в нашей статье 2000 года - но не распространяется
в AES со 128-битным ключом.
- Это атака с использованием связанных ключей, при которой криптоаналитик должен иметь доступ к
открытые тексты, зашифрованные с помощью нескольких ключей, связанных определенным образом.- Атака разбивает только 11 раундов AES-256. Полный AES-256 имеет 14 патронов.
Я согласен, что в этом нет особого комфорта. Но это то, что у нас есть. Криптография - это залог безопасности. Если ты можешь сломать п раундов шифра, вы создаете его с 2n или 3n раундов. Мы узнаем, что запас прочности AES намного меньше, чем считалось ранее. И хотя нет причин отказываться от AES в пользу другого алгоритма, NIST должен увеличить количество циклов всех трех вариантов AES. На этом этапе я предлагаю AES-128 на 16 раундах, AES-192 на 20 раундах и AES-256 на 28 раундов.. А может, даже больше; мы не хотим пересматривать стандарт снова и снова.
И для новых приложений я предлагаю не использовать AES-256. AES-128 обеспечивает более чем достаточный запас прочности на обозримое будущее. Но если вы уже используете AES-256, нет причин менять.
У меня есть черновик. Он распространяется среди криптографов и должен появиться в сети через пару дней. Я отправлю ссылку, как только она у меня будет (ссылка на бумагу).
В приведенной выше цитате есть основные моменты, относящиеся к вопросу, и
я сделал небольшие типографские изменения.
Шнайер, наверное, печатал медленнее, чем думает ...
Ссылка на оригинальную ссылку для пуристов.
Наконец, если вы хотите посмотреть, что хотят сказать некоторые пользователи Stackoverflow,
Можно ли перепроектировать AES256?
Короткий ответ: нет. По крайней мере, на данный момент.
Была опубликована атака на AES128, которая, если я правильно помню, немного снизила эффективную силу используемого алгоритма и комбинации размера ключа.
Более поздние векторы атак, выявленные против AES256, потенциально более серьезны, поскольку теоретически могут снизить эффективную силу AES-128. но только в некоторых очень специфических обстоятельствах. IIRC эти векторы атак непрактичны в реальном мире. Однако криптосообщество серьезно относится к ним, так как наличие непрактичного, но возможного метода атаки может привести к открытию / разработке более практичного метода.
Брюс Шнайер обсуждал это на своем блог на 30.07.2009. На первый взгляд кажется, что AES-192 и AES-256 могут быть менее сильными, чем AES-128. Хотя алгоритмы на данный момент безопасны, как говорит Дэвид Спиллет в своем ответе, сейчас возникают вопросы, и (как говорит Брюс Шнайер в связанной записи блога) «Это еще раз подтверждает пословицу криптографа: атаки всегда улучшаются, они никогда не становятся хуже ».
Ответ - «это зависит от обстоятельств». Правительство США считает их достаточно безопасными для "несекретной" информации (http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf), поэтому, если вы не храните такие вещи, как действительно происходит в Зоне 51, их должно хватить. я полагаю, что потенциал атаки (в маловероятных сценариях) против них были обнаружены, но действительно ли используемые методы применимы для случайного хакера или скрипачей? И вообще потенциал атака не делает алгоритм «слабым».
Подробнее здесь: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Security