Điểm:0

Chế độ AES XEX: Các cuộc tấn công bộ nhớ cache đã được chứng minh?

lá cờ az

Giả sử AES ở chế độ XEX, vì vậy chúng tôi mã hóa một bản rõ $x$ như $E_K[x \oplus k_1] \oplus k_2$ ở đâu $E_K$ là mật mã Khối AES thông thường (giả sử $x$ có kích thước khối).

Giả sử việc triển khai AES dễ bị tấn công kênh phía bộ đệm. Có bất kỳ cuộc tấn công nào chống lại chế độ AES XEX này đã được chứng minh không? Đối với tôi, điều đó có vẻ khá khó khăn, bởi vì kẻ tấn công không biết đầu vào cũng như đầu ra của $E_K$.

Điểm:2
lá cờ my

Giả sử việc triển khai AES dễ bị tấn công kênh phía bộ đệm. Có bất kỳ cuộc tấn công nào chống lại chế độ AES XEX này đã được chứng minh không?

Trên thực tế, XEX dường như sẽ không làm cho một cuộc tấn công kênh phụ trở nên khó khăn hơn nhiều.

AES sử dụng khóa con đầu tiên làm XOR cho bản rõ; nó sử dụng khóa con cuối cùng làm XOR cuối cùng để tạo bản mã. Do đó, AES-XEX có thể được xem như AES bình thường, ngoại trừ khóa con đầu tiên và khóa con cuối cùng được đặt thành các giá trị tùy ý.

Điều này không có nghĩa là (ví dụ) cuộc tấn công kênh bên của bạn quản lý để khôi phục khóa con đầu tiên cho AES-128, điều đó không ngay lập tức cung cấp cho bạn toàn bộ khóa. Tuy nhiên, bạn vẫn có thể loại bỏ các hoạt động bên trong AES một cách hợp lý cho đến khi bạn đến AddRoundKey thứ hai và tấn công nó (sử dụng cùng một cuộc tấn công kênh bên); nhận được điều đó sẽ giúp bạn có được mọi thứ (đối với AES-128) ...

kelalaka avatar
lá cờ in
Poncho, AFAIK, các cuộc tấn công bộ đệm tập trung vào phím vòng đầu tiên. Bạn có biết cái nào không sử dụng phím vòng một không?
poncho avatar
lá cờ my
@kelalaka: thực ra, trong trường hợp này, bạn luôn tấn công 'chốt vòng đầu tiên'; tuy nhiên những gì là vòng đầu tiên thay đổi. Trước tiên, bạn tấn công 'phím vòng đầu tiên' hợp lý (thực tế là khoá vòng đầu tiên của AES được xor'ed với xor ban đầu của XEX). Khi bạn đã khôi phục điều đó, bạn coi mật mã là AES vòng 11/9/13 với một số hoạt động công khai ở phía trước (xor ban đầu XEX và vòng đầu tiên) và tấn công khóa vòng đầu tiên của AES bị rút ngắn đó (là khóa vòng thứ hai của AES thực)
kelalaka avatar
lá cờ in
Vâng, điều đó đúng, tuy nhiên, quan điểm thực sự của tôi là thế này; nó thực tế đến mức nào để tấn công vòng thứ hai vì người ta phải bắt công tắc ngữ cảnh trên CPU ...
poncho avatar
lá cờ my
@kelalaka: "người ta phải bắt công tắc ngữ cảnh trên CPU" - Tôi tin rằng bạn hiểu sai về cuộc tấn công bộ đệm, nơi bạn cho phép mã hóa toàn bộ khối xảy ra và sau đó bạn xác định (bằng những gì trong bộ đệm) vùng nào đã được truy cập) - các vùng được chạm vào vòng thứ hai sẽ nằm trong bộ đệm giống như các vùng được chạm vào vòng đầu tiên
kelalaka avatar
lá cờ in
Đó là những gì tôi biết, vấn đề là làm thế nào người ta có thể chắc chắn vòng nào xảy ra trên mã hóa trong mô hình thực tế, không phải trong mô hình lý tưởng nơi đối thủ có thể thay đổi bộ nhớ cache mỗi vòng. Ok, tôi nên quay lại và đọc một số bài báo ...

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.