Điểm:1

Crypto

Tại sao không thể tấn công AES bằng cách tạo một hàm để mô hình hóa sự thay thế xảy ra trong s-box?

Ahmed

01:54, 19/10/2022

Tôi nhận ra rằng các hộp s có thể thực hiện các phép biến đổi được thực hiện trong AES phi tuyến tính. Tuy nhiên tôi không chắc làm thế nào điều này làm cho AES an toàn. Chẳng hạn, nếu chúng ta không có hộp s thì có thể tính khóa từ một tập hợp các phương trình tuyến tính:

$C^1=Ax+k$

$C^2=AC^1+k$

...

$y=AC^n+k$

Trong đó A là phép biến đổi tuyến tính, k là khóa, C là bản mã trung gian, n là số vòng mã hóa, x là đầu vào và y là đầu ra cuối cùng.Tuy nhiên, nếu chúng ta thêm một hộp S, thì sẽ không thể biểu diễn phép thế mà nó thực hiện như một hàm của x, f(x), vì vậy bây giờ chúng ta có:

$C^1=Af(x)+k$

$C^2=Af(C^1)+k$

...

$y=Af(C^n)+k$

Điều mà đối với tôi dường như cũng trở thành con mồi của việc loại bỏ Gaussian (thông qua việc thay thế từng phương trình thành hàm của phương trình tiếp theo), mặc dù một hàm như vậy để thay thế xảy ra trong hộp s có thể cực kỳ phức tạp để rút ra. Miễn là chúng ta được cung cấp một vài giá trị x trải qua quá trình mã hóa bằng cùng một khóa và các hộp s được biết đến công khai, chúng ta sẽ có thể tính toán khóa. Tôi nhận ra rằng trong thực tế, điều này không thể xảy ra nếu không thì AES sẽ không được sử dụng, vì vậy tôi rất biết ơn nếu được trợ giúp trong việc xác định nơi tôi đã sai/các hộp S sẽ can thiệp như thế nào để ngăn phương pháp đó xảy ra :)

112

1 + 4

s-box

aes

kelalaka

07:21, 19/10/2022

Bạn phải xử lý các đơn thức bậc 128 (trung bình là 127) và một số lượng lớn các đơn thức cần xử lý. Courtois tuyên bố đã phá vỡ AES (có nghĩa là độ phức tạp của tìm kiếm nhỏ hơn 128 bit) nhưng điều đó mang tính suy đoán cao. Điều này đã có tên giải SAT. Xem [Sách của Bard để biết ví dụ](https://www.amazon.com/Algebraic-Cryptanalysis-Gregory-Bard-ebook/dp/B00FB36BZO/).

Hồi đáp

Fractalice

08:35, 19/10/2022

@kelalaka Giải SAT chỉ là một phương pháp để giải các hệ như vậy. Những gì Ahmed đề xuất chỉ đơn giản là tuyến tính hóa (là thành phần cơ bản của các phương pháp nâng cao hơn dựa trên cơ sở Gröbner, tuyến tính hóa mở rộng, ElimLin, v.v.).

Hồi đáp

kelalaka

08:48, 19/10/2022

@Fractalice Tôi đã sử dụng SAT như một thuật ngữ lớn (tôi thấy hiện tại việc sử dụng giải SAT gây ra sai hướng). GB, XL, XLS, RL, EL đều là những phương tiện để giải quyết vấn đề SAT của chúng ta, đặc biệt là trong Mật mã học. Bard đã đề cập đến hầu hết chúng trong cuốn sách của họ. Câu trả lời của Q này chỉ là một số giấy tờ

Hồi đáp

kelalaka

08:50, 19/10/2022

Năm 2003, Murphy và Robshaw đã phát hiện ra một mô tả thay thế về AES, nhúng nó vào một mật mã lớn hơn gọi là "BES", sử dụng các thao tác rất đơn giản trên một trường đơn lẻ, GF(28). Một cuộc tấn công XSL tạo ra một tập hợp các phương trình đơn giản hơn có thể phá vỡ AES với ~2^100 phép tính, nếu Courtois et. al phân tích là chính xác. Vào năm 2005 Cid. et al đã đưa ra bằng chứng rằng, ở dạng đề xuất, thuật toán XSL không cung cấp một phương pháp hiệu quả để giải hệ phương trình AES; tuy nhiên Courtois đã bác bỏ những phát hiện của họ. Tại FSE 2007, Chu-Wee Lim và Khoongming Khoo đã chỉ ra rằng nó không thể hoạt động như đã trình bày

Hồi đáp

Điểm:2

Crypto

Fractalice

08:50, 19/10/2022

Nếu tôi hiểu chính xác, bạn đề nghị xử lý các giá trị trung gian $C^i$ như các biến.

Vấn đề là ở đó $f(C^i)$ là phi tuyến tính và chứa nhiều đơn thức hơn 128 biến (vì tính phi tuyến đến từ hộp S, số lượng đơn thức nhiều nhất là $256\times16$). Do đó, không thể loại bỏ nó bằng phương trình $C^i = ...$, và $C^i$ không được sử dụng ở bất cứ nơi nào khác. Lưu ý rằng nếu bạn thêm nhiều giá trị văn bản gốc/bản mã hơn, các biến $C^i$ không giống nhau nên không thể dùng cặp khác để khử các đơn thức phụ đó. Thay vào đó, nhiều biến hơn được thêm vào.

Lưu ý rằng S-box có một điểm yếu là tồn tại bậc hai phương trình (trên $GF(2)$) kết nối đầu vào và đầu ra của nó (thay vì các phương trình cấp 7 trực tiếp của hộp S), giúp đơn giản hóa hệ thống rất nhiều. Tuy nhiên, vẫn chưa ai có thể chỉ ra cách giải quyết hệ thống như vậy hoặc hệ thống tương tự nhanh hơn so với AES key bruteforce.

Đối với bản ghi, nguồn gốc của các phương trình bậc hai là hộp S tương đương với $GF(256)$ chức năng trái ngược $y=x^{254}$. Chúng ta có $yx^2=x^{256}=x$ và vì thế $yx^2-x=0$, là bậc hai trên $GF(2)$ (chia thành 8 phương trình).

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why is it not possible to attack an AES by creating a function to model the substitution that occurs in a s-box?

TH: เหตุใดจึงไม่สามารถโจมตี AES โดยสร้างฟังก์ชันเพื่อจำลองการแทนที่ที่เกิดขึ้นใน s-box

RO: De ce nu este posibil să atacăm un AES prin crearea unei funcții pentru a modela substituția care are loc într-o cutie s?

RU: Почему невозможно атаковать AES, создав функцию для моделирования замены, которая происходит в s-блоке?

VI: Tại sao không thể tấn công AES bằng cách tạo một hàm để mô hình hóa sự thay thế xảy ra trong s-box?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.