Garanzie di durezza per AES

Molti sistemi crittografici a chiave pubblica hanno una sorta di sicurezza dimostrabile. Ad esempio, il sistema crittografico Rabin è molto difficile quanto il factoring.

Mi chiedo se esiste un tale tipo di sicurezza dimostrabile per i sistemi crittografici a chiave segreta, come AES. In caso contrario, qual è la prova che è difficile rompere tali sistemi crittografici? (diverso dalla resistenza agli attacchi di prova ed errore)

Nota: ho familiarità con le operazioni AES (AddRoundKey, SubBytes, ShiftRows e MixColumns). Sembra che la durezza di AES derivi dall'operazione MixColumns, che a sua volta deve ereditare la sua difficoltà da qualche problema grave su Galois Fields (e quindi, algebra). In effetti, posso ribadire la mia domanda come: "Quale difficile problema algebrico garantisce la sicurezza di AES?"

MIXCOLUMNS impedisce attacchi che si concentrano solo su alcune S-box, poiché la miscelazione delle colonne richiede che tutte le S-box partecipino alla crittografia. (I progettisti di Rijndael hanno definito questa una "strategia a largo raggio"). La ragione per cui l'analisi di una S-box è difficile è dovuta all'uso dell'operazione di inversione di campo finita. L'inversione "smussa" le tabelle di distribuzione delle voci S-box, quindi le voci appaiono (quasi) uniformi, cioè indistinguibili da una distribuzione casuale senza chiave. È la combinazione delle due caratteristiche che rende Rijndael estremamente sicuro contro attacchi noti.

A parte questo, il libro The Design of Rijndael è un'ottima lettura e discute la teoria e la filosofia della crittografia.

Come ha detto David, non abbiamo tali riduzioni per AES. Tuttavia, ciò non significa che Rabin o RSA cryptosystem siano più sicuri di AES. In effetti, mi fiderei della sicurezza (almeno unidirezionale, probabilmente anche della pseudocasessualità) di cifrature a blocchi come AES / DES ecc. (Forse con un po 'più di giri di quelli usati normalmente) più dell'ipotesi che il factoring è difficile, proprio perché non esiste una struttura algebrica e quindi è più difficile immaginare che ci sarà una sorta di algoritmo rivoluzionario.

Si possono costruire cifrature a blocchi direttamente da funzioni a senso unico, il che è un presupposto minimo per gran parte della crittografia, ma la costruzione risultante sarà terribilmente inefficiente e quindi non utilizzata.

Dal momento che uno può convertire qualsiasi schema di crittografia a chiave pubblica in uno schema a chiave segreta in modo generico, è possibile ottenere schemi a chiave segreta con garanzie di sicurezza verificabili simili.

Ma questa risposta è pedante: per la tipica blockcript distribuita non abbiamo un'analisi di sicurezza dimostrabile nel senso di riduzione del problema computazionale. Ci sono state proposte di blockcipher con riduzioni di sicurezza, ma il bagaglio computazionale necessario per facilitare una riduzione li rende non competitivi con schemi più efficienti come gli algoritmi AES.

È interessante notare che la provabile comunità della sicurezza ha generalmente concordato sul fatto che è giusto prendere come presupposto la sicurezza blockcipher (permutazione pseudocasuale), per poi ridurla quando si analizzano protocolli di livello superiore che utilizzano il blockcipher come componente. Cioè, a differenza di altre sfide nella progettazione di protocolli sicuri, sembra sufficiente fidarsi dell'intuizione dei crittografi per la sicurezza quando si tratta di blockcipher.