为什么我们使用256位密钥来加密最高机密。但是最新的针对AES的实际攻击表明,强行执行的AES-256需要进行$ 2 ^ {100} $的操作。 />
#1 楼
Biclique密码分析是当前最著名的AES攻击。它将AES-256的安全性从$ 2 ^ {256} $降低到$ 2 ^ {254.4} $。相关的密钥攻击不是实际的攻击,因为它们绝不应在野外发生。它们是实施不佳的征兆,与AES的推荐使用背道而驰。最著名的理论攻击是Grover的量子搜索算法。如您所指出的,这使我们可以在$ \ sqrt {n} $操作中搜索$ n $条目的未排序数据库。因此,AES-256在中期抵抗量子攻击是安全的,但是AES-128可能会被破坏,而AES-192看起来并不那么好。
计算能力(每18个月翻一番)以及量子计算机的发展,没有确定的密钥大小是无限期安全的。使用Grover只是巨大的飞跃之一。
,只要最著名的攻击仍然是穷举搜索键空间的某种形式,我仍然会将AES归类为量子抗性。
关于您使用不同攻击的问题:合并攻击很少起作用,因为您需要所有攻击来揭示密钥的专有位。鉴于对AES的最佳攻击甚至无法揭示2,您将很难进行这样的合理攻击。
评论
$ \ begingroup $
“没有设置的密钥大小会无限期安全”是的,有些密钥大小是可以的。我看不到有人会在不久的将来建造出比木星大的量子计算机或比宇宙大的古典计算机。
$ \ endgroup $
–马特·诺德霍夫(Matt Nordhoff)
15年3月16日在5:06
$ \ begingroup $
同样,我看不到有人在建造能够存储和使用密钥的计算机,而这种密钥将需要大型计算机很快破解。
$ \ endgroup $
–理查德
15年4月3日在8:38
$ \ begingroup $
我指的是256位密钥,尽管我也使用了全部WAG,但我却遗漏了这个问题:问题更多是可用于计算的能量,而不是物理大小。
$ \ endgroup $
–马特·诺德霍夫(Matt Nordhoff)
2015年4月3日,9:02
$ \ begingroup $
让AES-256降低到可能发生暴力破解的水平,例如假设我们可以破坏$ 2 ^ {80} $强度键。那么我们只有1724057483474124965653140405544097831571081512456552448个月才能等到我们有足够的计算机功能。到那时青年的源泉也将被摧毁。
$ \ endgroup $
–马腾·博德威斯♦
18年2月28日在12:00
$ \ begingroup $
@Richard:640位对称密钥毫无意义,但完全实用。量子宇宙大小的量子计算机将无法通过任何已知方法从明文/密文对中找到它。没有加密算法的中断。
$ \ endgroup $
–fgrieu♦
20 Jan 20 '13:30
评论
将对AES的相关密钥攻击称为“实用”并不是真的。 AES的使用方式应该是随机密钥。因此,不能针对任何“常规” AES使用来进行这种攻击。@CodesInChaos攻击声明是可行的。因为我们在现实生活中只使用随机密钥,所以如果某些攻击不会破坏随机密钥,那么我们就不能称其为攻击。
当您以常规方式将AES与随机密钥一起使用时,链接的攻击无效。如果您只需要AES作为伪随机置换(PRP),则根本没有任何攻击。 AES最初是作为PRP设计的,对相关密钥攻击的抵抗只是次要目标(如果根本不是目标)。仅当您以异常方式使用AES且攻击者可以控制密钥时,这才是攻击。例如,如果您尝试从AES构建哈希函数,则此攻击可能会成为问题。
请注意,这种“实际攻击”不应归类为蛮力……因为它(在适用的情况下)比蛮力(简单键搜索)要好。
$ 2 ^ {64} $与$ 2 ^ {128} $的速度不会快两倍。 $ 2 ^ {128} = 2 ^ {64} \ times 2 ^ {64} $