Điểm:3

Phân tích sức mạnh tương quan trên AES - các mô hình tấn công có thể xảy ra

lá cờ br

Theo như tôi biết, có thể trích xuất khóa hoặc các bộ phận chính bằng cách sử dụng tấn công phân tích sức mạnh kênh bên trên AES, nhưng chúng tôi cần một số mô hình kẻ tấn công mạnh để thực hiện điều đó. Cuộc tấn công đầu tiên mà tôi biết là tấn công vòng AES đầu tiên, so sánh kết quả SBOX đầu tiên, nơi chúng tôi cần biết văn bản gốc của dấu vết của mình để thực hiện cuộc tấn công này. Cuộc tấn công thứ hai không yêu cầu kiến ​​​​thức về bản rõ mà chỉ cần bản mã, đây là mô hình kẻ tấn công yếu hơn, vì chúng ta có thể đánh hơi được bản mã. Điều này chỉ tấn công vòng AES cuối cùng và khôi phục khóa vòng cuối cùng của AES, mà theo hiểu biết của tôi, điều này chỉ có thể dẫn đến khôi phục khóa đầy đủ cho AES128 và 192 chứ không phải AES256. Kẻ tấn công cũng phải tính toán nhiều hơn do thao tác dịch chuyển hàng giữa các byte con và bản mã.

Bạn có biết bất kỳ cuộc tấn công CPA nào khác hoặc thậm chí mạnh hơn vào AES không? Tôi biết DPA nhưng không phải nó chỉ là một phiên bản CPA yếu hơn và nói chung nếu chúng ta có thể thực hiện CPA thì tại sao chúng ta phải thực hiện DPA?

Có thể thực hiện CPA mà không cần biết về bản rõ cũng như bản mã không?

fgrieu avatar
lá cờ ng
Lưu ý rằng nếu bạn đã khôi phục toàn bộ khóa con của vòng cuối cùng của AES-256 khi biết đầu ra của vòng cuối cùng (bản mã), thì bây giờ bạn có thể tính toán đầu ra của vòng trước đó, do đó có lẽ bạn có thể tấn công vòng trước đó bằng cùng một phương pháp và khôi phục khóa vòng của nó ; và như vậy lên.
lá cờ br
@fgrieu butlast round đầu ra là gì? afaik khôi phục khóa AES256 từ phím tròn cuối cùng sẽ có độ phức tạp là 128 bit
fgrieu avatar
lá cờ ng
Xin lỗi, tôi không phải là người nói tiếng Anh bản ngữ. "Vòng cuối cùng" ý tôi là vòng trước vòng cuối cùng (vòng áp chót). Tôi đã trực tiếp chỉnh sửa bình luận của mình. Phương pháp tôi phác thảo, khi khả thi, mang lại khóa con của vòng áp chót với công việc tương đương với việc khôi phục khóa con 128-bit của vòng trước và mang lại nhiều thông tin hơn về khóa mà không yêu cầu tìm kiếm toàn diện.
Điểm:1
lá cờ ng

Câu hỏi và câu trả lời này giả định Phân tích sức mạnh tương quan có thể tìm thấy khóa vòng cuối cùng của AES-256 trong một cuộc tấn công bằng bản mã đã biết. Đó là tìm đầu vào khóa 128 bit của AddRoundKey trong vòng 14 để biết đầu ra của nó.

Khi đã xong, từ bản mã đã biết và khóa 128 bit đó, có thể tính toán đầu ra của AddRoundKey trong vòng 13 cho mỗi bản mã đã biết (chúng tôi bắt đầu từ bản mã đã biết và đảo ngược AddRoundKey, ShiftRows, SubBytes, giống như trong giải mã).

Do đó, các điều kiện tương tự cho phép CPA trong vòng 14 giờ áp dụng cho vòng 13. Và sau đó, bằng cách thực hiện cuộc tấn công này trước đó trong quá trình thực thi, có vẻ như có thể tìm thấy đầu vào khóa 128-bit của AddRoundKey trong vòng 13. Lưu ý: có một mặc dù có sự khác biệt đáng kể: trong vòng 13 có MixColumns giữa ShiftRows và AddRoundKey, khi điều đó không có trong vòng 14.

Khi nào và nếu CPA thứ hai đó được thực hiện, chúng tôi có đủ thông tin để tìm khóa AES 256 bit đầy đủ.

lá cờ br
biết phím vòng cuối cùng và bản mã có nghĩa là tôi có thể tính ngược vòng cuối cùng và kết thúc bằng đầu vào cho hoạt động byte con cuối cùng. Trước đó, có giai đoạn bổ sung khóa vòng thứ 13, trong đó khóa con thứ 14 được xored với đầu ra là mixcolumn của vòng trước đó. làm thế nào để chúng tôi tìm ra giá trị khóa con thứ 14, nếu chúng tôi chỉ biết đầu ra của thao tác phím Xor mixcolumns?
fgrieu avatar
lá cờ ng
@user100099: Bạn đúng là có sự khác biệt đáng kể ở vòng 14 và vòng 13, và câu trả lời hiện thừa nhận điều đó. Xin lỗi, tôi sẽ không đi sâu vào chi tiết của một cuộc tấn công CPA thực tế. Bức tranh toàn cảnh về quan điểm của tôi vẫn còn giá trị, tôi hy vọng: một khi vòng 14 bị tấn công thành công, chúng tôi có đầu ra của vòng 13 giống như kết quả của vòng 14 khi bị tấn công bằng bản mã đã biết và chúng tôi có thể hy vọng đạt được kết quả (phải thừa nhận là khác) CPA tấn công vào vòng 13.
kelalaka avatar
lá cờ in
Có một vấn đề quan trọng ở đây; thông thường bạn không mong đợi ai đó giải mã bản mã nhiều lần. Trong một hoạt động bình thường, bạn có một shot. Để buộc người dùng/hệ thống giải mã lại, người ta có thể cần một cuộc tấn công lỗi bổ sung hoặc một số cơ chế khác trong giao thức...

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.