"Практическому взлому" можно считать подверженным не только AES-128, но и AES-256. Следует опять же различать, что даже если гипотетический противник, обладающий доступными в масштабе крупной страны сверхресурсами, потратит их на осуществление взлома, его практичность всё равно остаётся под сомнением: противнику нужно получить доступ к слишком большой утечке данных в рамках исполнения протокола, что может встречаться скорее в лабораторных условиях и ограничивает оценочный характер этого результата ещё в большей степени.
Исследователи рассмотрели две ранее известные атаки на полнораундовый AES, требующие исполнения 2100 операций. Первая атака — на связанных ключах против AES-256 (Related Key Cryptoanalysis — RKC) — 299.5 шагов исполнения и 278 памяти. Такая атака непрактична из-за малой вероятности появления связанных ключей в каком-либо практически используемом криптопротоколе. Несмотря на слишком сильную модель атакующего и невероятное количество предоставляемых ему данных, такая атака преодолевает психологический барьер сложности 2100.
Вторая атака основана на размене ключей-времени-памяти (Time-Memory-Key — TMK) против AES-128, также известна как атака с множественными целями. В этой атаке фиксированный открытый текст шифруется множеством различных секретных ключей, а целью атакующего является нахождение по крайней мере одного из этих ключей. Используя 232 целей, TMK-атака имеет сложность предвычислений 296, после чего каждый новый секретный ключ может быть найден с затратами времени 280 и памяти 256. Впервые атака такого рода предложена Хеллманом для инвертирования хэш-функций и использована для создания радужных таблиц.
Применительно к шифрам TMK-атака позволяет перебирать только часть пространства поиска за счёт оптимизации по требуемому параметру. В случае если сообщения (файлы) с одним и тем же заголовком шифруются множественными ключами, такую ситуацию можно признать практичной.
Обе атаки требуют примерно одинаковых затрат и оборудования. Исследователи считают, что организация, способная потратить триллион долларов (что сопоставимо с размером годового оборонного бюджета США), может взломать AES-256 в сценарии RKC и подобных атак в течении года вычислений. Использование десятой части такого бюджета (100 миллиардов US$) достаточно для проведения TMK-атаки на AES-128 с 232 целями. Такая атака потребует год предвычислений, после чего каждый новый ключ может быть вычисляем за 280 AES-операций, т.е. каждые 8 минут на таком "менее масштабном" суперкомпьютере. Исследователи рассматривают гипотетический проект такого компьютера, названный ими CAESAR (“Cryptanalytic AES ARchitecture”). Эта гипотетическая машина (как TWINKLE или TWIRL), хотя и находится за границей реально доступных ресурсов, но в отличие от "кофейников Шамира", опирается на существующую технологию. Некоторые предположения и близкие прогнозы авторов касаются памяти. Так, реалистично ожидать появления жёстких дисков размером 10-100 терабайт, которых в таком случае потребуется всего 3 · 1010 — 3 · 109. Столько же потребуется и процессоров. Расходы энергии составят 4 тераватта, что превосходит годовое потребление энергии в США (3.34 тераватта), но развитие энергосберегающих вычислительных технологий позволяют несколько приблизить и эти границы.
По мнению исследователей, проект гипотетического суперкомпьютера CAESAR демонстрирует узкие места в затратах энергии и количестве памяти, но свидетельствует о снижении оценок практической стойкости AES в долговременной перспективе.
Полная статья - на OpenPGP
Полная статья - на OpenPGP
No comments:
Post a Comment