Điểm:2

Tái tạo khóa AES-192 từ phím tròn cuối cùng

lá cờ cn

Giả sử chúng ta biết khóa vòng cuối cùng của AES.

Đối với AES-128, toàn bộ khóa có thể được xây dựng lại bằng cách sử dụng khóa vòng cuối cùng vì mọi WORD trong lịch biểu khóa đều dựa trên mục nhập 128 bit trước đó.

Đối với AES-256, nó không thể được xây dựng lại vì chúng tôi chỉ biết 128 bit. Tuy nhiên, việc xây dựng lại 4 WORDS sẽ đưa chúng ta $2^{128}$ các bước (bruteforce).

Bây giờ, câu hỏi đặt ra cho AES-192, vì chúng tôi không biết 64 hoặc 96 bit của (2 đến 3 TỪ), chúng tôi vẫn có thể sử dụng vũ phu không?

fgrieu avatar
lá cờ ng
Gợi ý: Kiểm tra khóa [schedule](https://en.wikipedia.org/wiki/AES_key_schedule#The_key_schedule). Xác định những gì bạn biết và những gì bạn đang thiếu để có thể xây dựng lại tất cả các khóa con tròn.Câu trả lời sẽ theo sau.
lá cờ cn
@fgrieu Tôi đã làm điều đó rồi, trong AES192, bạn có thể tạo lại 3 trong số 6 TỪ, câu hỏi của tôi là: có đủ để bruteforce và lấy lại khóa không? bruteforcing 2^96 có phải là một thử thách không? Trong trường hợp xấu nhất, nó có thể là bruteforcing 2^64 vì WORD đầu tiên được xored với một giá trị mà chúng ta đã biết từ phím tròn cuối cùng
fgrieu avatar
lá cờ ng
Để biết độ khó của việc cưỡng bức $2^{96}$, hãy xem [điều này](https://crypto.stackexchange.com/a/13305/555). Quay lại câu hỏi của bạn: Tôi khuyên bạn nên xem lại [lịch trình khóa AES](https://en.wikipedia.org/wiki/AES_key_schedule#The_key_schedule) một lần nữa, tự hỏi: chính xác $W_i$ được biết đến điều gì khi một nàng tiên tốt bụng kể phím tròn cuối cùng? Có bao nhiêu $W_i$ khác (mà bạn chọn) mà nàng tiên tốt bụng cần kể trước khi bạn có thể tái tạo lại tất cả $W_i$ một cách có hệ thống?
lá cờ cn
@fgrieu Cho key AES192, tiên sinh bảo là W48-51. Chúng tôi cần W42-47 để tạo lại khóa. Từ phím cuối cùng, chúng ta có thể dễ dàng nhận được W43, W44 và W45. W46 hoàn toàn không liên quan đến phím tròn cuối cùng, trong khi W48, được biết đến với chúng tôi, có liên quan đến W42 và W47, vì nó là kết quả của: W48 = W42 xor g(W47). Câu hỏi đặt ra là phương trình cuối cùng có giúp việc không tìm kiếm 2^96 trở nên dễ dàng hơn không, vì chúng ta có thể tìm kiếm song song cả hai thông tin này? Vì nếu tìm đúng W42 thì tự động tìm đúng W47 và ngược lại
fgrieu avatar
lá cờ ng
Vâng, nàng tiên nói với chúng tôi W48-51. Không, chúng tôi không cần tất cả W42-47. Gợi ý: Giả sử bà tiên đưa ra W46-51, hãy viết các phương trình cho chúng và suy ra thêm Wi.
lá cờ cn
@fgrieu vì chúng tôi biết W46-51, chúng tôi biết 5/6 phím tròn trước đó. Chúng ta có thể tính W43-W45 trong số W48-W51. Nếu biết W47 và W48, chúng ta có thể dễ dàng tính W42, vì W42= W48 xor g(W47). Do đó, chúng tôi đã tính toán lại toàn bộ khóa trước đó và có thể đảo ngược lịch trình khóa để tính toán tất cả các khóa trước đó. Vì vậy, bây giờ tôi hơi bối rối, vì giả định dễ dàng hơn về cách tạo lại khóa AES192, thậm chí còn biết nhiều hơn chỉ phím tròn cuối cùng
fgrieu avatar
lá cờ ng
Đừng nhầm lẫn. Bạn vừa chỉ ra rằng nếu bạn có khóa tròn cuối cùng và 64 bit khác (W46-47) về khóa, thì bạn có thể tính tất cả các khóa tròn, do đó có thể tính AES bằng khóa đầy đủ. Chỉ với khóa vòng cuối cùng và một cặp văn bản gốc/bản mã (một giả định tiêu chuẩn), bạn có thể kiểm tra dự đoán về 64 bit khác này một cách có chọn lọc. Đó là tất cả những gì bạn cần cho một cuộc tấn công bruteforce.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.