<<< Újabb támadás az SHA-1 ellenKlubrádió interjú >>>

Támadások az AES-256 ellen2009-08-26
A közelmúltban több támadás is megjelent az AES ellen. Mindkettő az AES-256 bites kulcsú változata (illetve 256 bites kulcsú változat egyes variánsai) ellen irányul.

Az AES (Advanced Encryption Standard) egy szimmetrikus kulcsú titkosító algoritmus. Az NIST 1997-ben pályázatot írt ki az addigra már elavult DES kiváltására. A pályázaton a Rijndael algoritmus nyert, amely 2001 óta az AES nevet is viseli.

Az AES blokkrejtjelező, amely 128 bites blokkmérettel dolgozik, de a kulcs mérete lehet 128, 192 és 256 bit is. Az AES úgy nevezett "fordulókból" (round) áll, 128 bites kulcs esetén 10-szer, 192 bites kulcs esetén 12-szer, 256 bites kulcs esetén 14-szer végzi el egymás után ugyanazon műveleteket. (E műveletek: byte-ok lecserélése helyettesítéssel /substitution/, byte-ok felcserélése egymással /permutation/, és végül mod2 hozzáadja az eredményhez az adott fordulóhoz generált forduló-kulcsot.) Ez az ábra nagy vonalakban mutatja be az AES lépéseit, ez a flash animáció pedig részletesen szemléltei, hogy mikor mi történik.

Biryukov és Khovratovich támadása 2^119 lépésből "töri" az AES-256-ot (2^256 lépés helyett). A szerzők súlyos gyenge pontot találtak az algoritmuson, de a 2^119 lépés még mindig túl sok, e támadás még nem kivitelezhető. (E cikk emellett az AES-192 ellen is mutat támadást, amely 2^123 lépést igényel.)

Biryukov, Dunkelman, Keller, Khovratovich és Shamir támadása nem a gyakorlatban is használt, teljes AES-256, hanem annak egyszerűsített változatai ellen szól. Az egyszerűsítés annyiból áll, hogy olyan AES-256-variáns ellen működik, amely a teljes AES-256-nál kevesebb fordulóból épül fel. A szerzők támadásokat mutattak
- a 9 fordulóból álló AES-256 ellen 2^39 lépésből (azaz ízekre szedték),
- a 10 fordulóból álló AES-256 ellen 2^45 lépésből (szintén ízekre szedték),
- a 11 fordulóból álló AES-256 ellen 2^70 lépésből (akár még ez is megvalósítható lehet)
(Az igazi AES-256 14 fordulóból áll, a legjobb támadás ellene továbbra is 2^119 lépést igényel.)

Érdekes, hogy pont a leghosszabb, 256 bites kulcsú AES ellen jelentek meg a legsúlyosabb támadások. Állítólag, a 256 bites változat kulcsütemezője (ami a forduló-kulcsokat számítja) a "gyenge", így ezek a támadások nem működnek a 128 bites változat ellen. Így egyes vélekedések szerint a 128 bites AES most épp "erősebb", mint a 256 bites. (Bár ez egy nagyon összetett kérdés, mert ha pl. egy SSL kapcsolatot szeretnénk támadni, nem biztos, hogy teljesülnek a támadásokhoz szükséges feltételek.)

Bár e támadások jelentős eredmények, de az AES-256 továbbra is biztonságosnak tekinthető. (Az előbbi támadás még nem kivitelezhető reális időn belül, a második pedig nem a gyakorlatban is használt, teljes AES ellen irányul.)

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.