AES için Sertlik Garantileri

Birçok ortak anahtarlı şifreleme sisteminin bir tür kanıtlanabilir güvenliği vardır. Örneğin, Rabin şifreleme sistemi muhtemelen faktoring kadar zordur.

AES gibi gizli anahtar şifreleme sistemleri için bu tür kanıtlanabilir bir güvenliğin var olup olmadığını merak ediyorum. Değilse, bu tür şifreleme sistemlerini kırmanın zor olduğuna dair kanıtlar nelerdir? (deneme yanılma saldırılarına karşı direnç dışında)

Not: AES işlemlerini (AddRoundKey, SubBytes, ShiftRows ve MixColumns) tanıyorum. AES'in sertliği MixColumns işleminden kaynaklanıyor gibi görünüyor, bu da Galois Fields (ve böylece cebir) üzerindeki zor problemlerden güçlüğünü miras almalıdır. Aslında sorumu şu şekilde yeniden ifade edebilirim: "Hangi zor cebirsel problem AES'in güvenliğini garanti eder?"

MIXCOLUMNS, yalnızca birkaç S-kutusuna odaklanan saldırıları önler, çünkü sütunların karıştırılması tüm S-kutularının şifrelemeye katılmasını gerektirir. (Rijndael tasarımcıları buna "geniş iz stratejisi" adını verdiler.) S-box'ın analizinin zor olmasının nedeni, sonlu alan ters çevirme işleminin kullanılmasıdır. Ters çevirme, S-kutusu girişlerinin dağıtım tablolarını "düzleştirir", böylece girişler (neredeyse) tek tip görünür, yani anahtar olmadan rastgele bir dağıtımdan ayırt edilemez. Rijndael'i bilinen saldırılara karşı güvenilir bir şekilde güvenli kılan iki özelliğin birleşimidir.

Bir kenara, Rijndael'in Tasarımı kitabı çok iyi bir okuma ve kriptografi teorisi ve felsefesini tartışıyor.

David'in dediği gibi, AES için böyle bir indirgememiz yok. Ancak bu, Rabin veya RSA şifreleme sisteminin AES'den daha güvenli olduğu anlamına gelmez. Aslında, AES / DES vb.Gibi blok şifrelemelerin güvenliğine (en azından tek yönlü, muhtemelen aynı zamanda sahte) de güveniyorum. (Belki de standart olarak kullanılandan biraz daha fazla turla) cebirsel bir yapı olmadığı için zordur ve bu nedenle bir çığır açan algoritma olacağını hayal etmek daha zordur.

Blok şifrelemeleri doğrudan tek yönlü işlevlerden inşa edilebilir, bu da çoğu kriyotgrafi için minimum bir varsayımdır, ancak ortaya çıkan yapı çok verimsiz olur ve bu nedenle kullanılmaz.

Herhangi bir ortak anahtar şifreleme şemasını genel bir şekilde gizli anahtar şemasına dönüştürebildiğinden, benzer kanıtlanabilir güvenlik garantilerine sahip gizli anahtar şemaları elde edebilirsiniz.

Ancak bu cevap bilgiçlik tasvir ediyor: tipik konuşlandırılmış blokiperi için hesaplama-soruna-indirgeme sorununda kanıtlanabilir bir güvenlik analizimiz yok. Güvenlik azaltmalarına sahip blokiperler için öneriler var, ancak bir azaltmayı kolaylaştırmak için gereken hesaplama bagajı, onları AES algoritmaları gibi daha verimli şemalarla rekabetsiz hale getiriyor.

İlginç bir şekilde, kanıtlanabilir güvenlik topluluğu, genel olarak, blok disiplini güvenliğini (sözde permütasyon) bir varsayım olarak almanın ve daha sonra blok disiplini bir bileşen olarak kullanan daha üst düzey protokolleri analiz ederken bunun azaltılmasının sağlam olduğu konusunda anlaşmıştır. Diğer bir deyişle, güvenli protokol tasarımındaki diğer bazı zorluklardan farklı olarak, blok şifreleyiciler söz konusu olduğunda kriptanistlerin güvenlik sezgisine güvenmek yeterli görünmektedir.