Garanzie di durezza per AES


14

Molti sistemi crittografici a chiave pubblica hanno una sorta di sicurezza dimostrabile. Ad esempio, il sistema crittografico Rabin è molto difficile quanto il factoring.

Mi chiedo se esiste un tale tipo di sicurezza dimostrabile per i sistemi crittografici a chiave segreta, come AES. In caso contrario, qual è la prova che è difficile rompere tali sistemi crittografici? (diverso dalla resistenza agli attacchi di prova ed errore)

Nota: ho familiarità con le operazioni AES (AddRoundKey, SubBytes, ShiftRows e MixColumns). Sembra che la durezza di AES derivi dall'operazione MixColumns, che a sua volta deve ereditare la sua difficoltà da qualche problema grave su Galois Fields (e quindi, algebra). In effetti, posso ribadire la mia domanda come: "Quale difficile problema algebrico garantisce la sicurezza di AES?"

Risposte:


8

MIXCOLUMNS impedisce attacchi che si concentrano solo su alcune S-box, poiché la miscelazione delle colonne richiede che tutte le S-box partecipino alla crittografia. (I progettisti di Rijndael hanno definito questa una "strategia a largo raggio"). La ragione per cui l'analisi di una S-box è difficile è dovuta all'uso dell'operazione di inversione di campo finita. L'inversione "smussa" le tabelle di distribuzione delle voci S-box, quindi le voci appaiono (quasi) uniformi, cioè indistinguibili da una distribuzione casuale senza chiave. È la combinazione delle due caratteristiche che rende Rijndael estremamente sicuro contro attacchi noti.

A parte questo, il libro The Design of Rijndael è un'ottima lettura e discute la teoria e la filosofia della crittografia.


1
Buona spiegazione Grazie. In effetti, avevo accesso al libro, ma non sapevo quale parte leggere (riguardo alla mia domanda). Suggerisci qualche capitolo o sezione speciale?
MS Dousti,

3
L'ho letto più di due anni fa, fuori da una biblioteca, quindi non ho il sommario davanti a me, e non sono sicuro di poter dare una risposta concreta alla tua domanda, tranne che mi piaceva il modo in cui hanno progettato gli S-box per essere facilmente implementabili. Tuttavia, una cosa che posso suggerire è la spiegazione di Stinson di AES e altre reti di permutazione di sostituzione in Cryptography: Theory and Practice. È il capitolo 3 dell'edizione che ho e sembra che puoi scaricare il libro gratuitamente a questo link: ebookee.com/…
Aaron Sterling,

1
Grazie per aver suggerito il libro di Stinson. Potresti anche consultare il Sommario di The Design of Rijndael e vedere se ricorda qualcosa di utile?
MS Dousti,

2
Grazie per il link! :-) Sì, la sezione 3.6 e il capitolo 5 sono stati entrambi molto interessanti per me, perché hanno discusso "perché", non solo "cosa".
Aaron Sterling,

10

Come ha detto David, non abbiamo tali riduzioni per AES. Tuttavia, ciò non significa che Rabin o RSA cryptosystem siano più sicuri di AES. In effetti, mi fiderei della sicurezza (almeno unidirezionale, probabilmente anche della pseudocasessualità) di cifrature a blocchi come AES / DES ecc. (Forse con un po 'più di giri di quelli usati normalmente) più dell'ipotesi che il factoring è difficile, proprio perché non esiste una struttura algebrica e quindi è più difficile immaginare che ci sarà una sorta di algoritmo rivoluzionario.

Si possono costruire cifrature a blocchi direttamente da funzioni a senso unico, il che è un presupposto minimo per gran parte della crittografia, ma la costruzione risultante sarà terribilmente inefficiente e quindi non utilizzata.


Grazie Boaz. Penso che il costrutto Luby-Rackoff sia uno che fornisca una pseudo casualità dimostrabile basata su strutture simili a DES, giusto?
MS Dousti,

3
sì. Più precisamente, inizi con una funzione unidirezionale, lo converti in un generatore pseudocasuale usando Hastad, Impagliazzo, Luby, Levin, quindi lo converti in una funzione pseudocasuale usando Goldreich, Goldwasser, Micali, quindi usa Luby-Rackoff e convertilo in una permutazione pseudocasuale (cioè blocco ci pher)
Boaz Barak

6

Dal momento che uno può convertire qualsiasi schema di crittografia a chiave pubblica in uno schema a chiave segreta in modo generico, è possibile ottenere schemi a chiave segreta con garanzie di sicurezza verificabili simili.

Ma questa risposta è pedante: per la tipica blockcript distribuita non abbiamo un'analisi di sicurezza dimostrabile nel senso di riduzione del problema computazionale. Ci sono state proposte di blockcipher con riduzioni di sicurezza, ma il bagaglio computazionale necessario per facilitare una riduzione li rende non competitivi con schemi più efficienti come gli algoritmi AES.

È interessante notare che la provabile comunità della sicurezza ha generalmente concordato sul fatto che è giusto prendere come presupposto la sicurezza blockcipher (permutazione pseudocasuale), per poi ridurla quando si analizzano protocolli di livello superiore che utilizzano il blockcipher come componente. Cioè, a differenza di altre sfide nella progettazione di protocolli sicuri, sembra sufficiente fidarsi dell'intuizione dei crittografi per la sicurezza quando si tratta di blockcipher.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.