Tham gia Đăng nhập
Điểm:1
Hormoz avatar Crypto

Vậy rốt cuộc AES-256 an toàn hơn hay kém an toàn hơn AES-128?

lá cờ us
Hormoz

Có vẻ như có các cuộc tấn công hoạt động hiệu quả hơn trên AES-256 so với AES-128, khiến nó kém an toàn hơn trong một số trường hợp. Nhưng mặt khác, kích thước khóa lớn hơn sẽ bổ sung một số giới hạn an toàn, chẳng hạn như làm cho nó miễn nhiễm với cả máy tính lượng tử. Và tôi đã nghe một số người nói rằng nhiều vòng hơn làm cho nó kém an toàn hơn và những người khác nói rằng điều đó làm cho nó an toàn hơn.

1103
2 + 1
aes
forest avatar
lá cờ vn
forest
Nhiều vòng hơn không thể làm cho nó kém an toàn hơn. Vấn đề với AES-256 là lịch trình chính.
0
Hồi đáp
Điểm:4
Maarten Bodewes avatar Crypto
lá cờ in
Maarten Bodewes

Vấn đề là bạn đang cố so sánh bảo mật chung trên AES-128 và AES-256. Tôi sẽ lập luận rằng nếu bạn định tìm hiểu sâu hơn - như bạn hiện đang làm - thì ý tưởng cho rằng có một "mức bảo mật chung" như tôi nghĩ, là sai lầm.

Như bạn đã nói, có một cuộc tấn công khóa liên quan chỉ có hiệu lực đối với AES-256, chủ yếu liên quan đến lịch trình khóa. Tuy nhiên, các cuộc tấn công quan trọng liên quan như vậy chỉ có thể xảy ra trong những trường hợp rất cụ thể, ví dụ: khi AES-256 sẽ được sử dụng làm nguyên mẫu để tạo thuật toán băm. AES-256 cung cấp mức bảo mật ~99 bit cho trường hợp sử dụng cụ thể này, thực sự thấp hơn mức bảo mật ~128 bit mà bạn mong đợi đối với AES-128. Điều này đã chỉ ra rằng AES-128 là thỉnh thoảng an toàn hơn AES-256, mặc dù nói chung AES-256 nên được coi là an toàn hơn. Tuy nhiên, đây là một trường hợp sử dụng thích hợp, vì kích thước khối 128 bit sẽ không làm cho AES trở thành một ứng cử viên sáng giá ngay từ đầu. Hàm băm Whirlpool (trong số những hàm khác), ví dụ: được xây dựng dựa trên một chức năng đã được nguồn gốc từ AES, không phải chính AES.

Lịch trình khóa phần nào liên quan đến số vòng, nhưng nói chung có nhiều vòng hơn chỉ làm cho mật mã an toàn hơn chứ không ít hơn.

0 + 1
forest avatar
lá cờ vn
forest
Điều quan trọng, Whirlpool hoàn toàn loại bỏ lịch trình khóa AES.
0
Hồi đáp
Điểm:2
kelalaka avatar Crypto
lá cờ in
kelalaka

Tóm lại, AES-256 đánh bại AES-128. Sử dụng AES-256 là tiêu chuẩn vàng;

phân tích mật mã

Các cuộc tấn công vào AES-256 thực tế không làm cho nó không an toàn, thậm chí sau 20 năm, cuộc tấn công tốt nhất có độ phức tạp của $2^{254.3}$ cho AES-256 và $2^{126.0}$ cho AES-128

Các cuộc tấn công khóa liên quan nổi tiếng (như Maarten cũng đã đề cập), không liên quan đến mã hóa, điều quan trọng là bạn phải khởi tạo chức năng nén của Công trình Merkle-Damgard bằng AES. Các cuộc tấn công này có thể tạo ra các va chạm nội bộ có thể bị khai thác. Trên thực tế, chúng tôi không cần điều này, vì nó có kích thước khối quá nhỏ.

Nếu bạn nhìn vào cuộc tấn công ở trên thì AES-128 kém an toàn hơn khi so sánh, mất 2 bit trong 128 so với mất 2 bit trong 256.

Mã hóa 128 bit kém an toàn hơn theo nhiều cách khác nhau;

  • Tấn công đa mục tiêu trong đó kẻ tấn công lấy được các cặp bản rõ-bản mã với các khóa khác nhau. Trong trường hợp này, họ có thể tìm thấy một số khóa nhanh hơn so với vũ phu. Cho một $t$ mục tiêu chi phí dự kiến ​​​​của việc tìm kiếm một khóa là $2^{128}/t$. Nếu những kẻ tấn công lấy được một tỷ mục tiêu thì chúng sẽ có thể tìm thấy khóa đầu tiên thấp hơn nhiều so với bảo mật 128-bit. chi phí sẽ được dưới đây $2^{100}$ và thời gian sẽ ở bên dưới $2^{70}$. Cuộc tấn công này không chỉ áp dụng cho AES mà còn cho tất cả các mật mã khối.

    Cuộc tấn công này đã được thực hiện với phiên bản song song của Bàn cầu vồng của Oechslin, hoặc đọc trong của chúng tôi Q/A kinh điển.

  • tấn công lượng tử: Thuật toán tìm kiếm Grover có thể có tốc độ bậc hai sẽ làm cho bất kỳ mật mã khối 128 bit nào không an toàn, $\khoảng 2^{64}$-thời gian. Tính toán sơ bộ này bỏ qua các chi tiết quan trọng;

    Cuộc tấn công của Grover cho AES-128 yêu cầu khoảng $2^{64}$ đánh giá AES liên tiếp. Không rõ làm thế nào một người sẽ đạt được điều này, thậm chí chúng tôi giả sử một giây cho mỗi lần đánh giá, thời gian sẽ rất lớn - 5,846Ã10^11 năm Gregorian trung bình.Đó là một con số rất lớn và với lập luận tương tự, chúng ta có thể nói rằng AES-192 và AES-256 chắc chắn không thể đạt được.

    Ngoài ra, lưu ý rằng thuật toán của Grover cũng có thể song song hóa, một $k$ thuật toán Grover song song chỉ có thể cung cấp $\sqrt{k}$ sự cải tiến. Không phải là một lợi ích lớn!.

Quên AES-128 đi, sử dụng mã hóa 256 bit làm tiêu chuẩn vàng. Không sợ

  • phân tích mật mã,
  • Tấn công đa mục tiêu, hoặc
  • Các cuộc tấn công lượng tử.

Sử dụng AES-256-GCM (cũng có thể với SIV) hoặc ChaCha20-Poly1305 (tốt hơn nên sử dụng xChaCha20-Poly1305 để bảo mật nonce tốt hơn nonce 192-bit)

Nhiều vòng làm cho an toàn hơn

Ngay cả vòng đơn giản của Thuật toán mã hóa nhỏ được an toàn sau 32 vòng. Công việc này chỉ đơn giản cho chúng tôi thấy rằng, chúng tôi có thể bảo mật ngay cả những vòng đơn giản sau nhiều vòng; Twofish: Mật mã khối 128 bit Schneier và cộng sự, 1998;

Tuy nhiên, với đủ số vòng, thậm chí các chức năng vòng xấu có thể được thực hiện để được an toàn.

Có một phiên họp tại hội nghị AES lần thứ 3 mà (rất có thể) Rose Anderson đã ước Rijndael 32 vòng. Nhiều vòng hơn là an toàn hơn và đây là kiến ​​​​thức phổ biến.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.