我一直在寻找256位AES加密的无线键盘,但显然不存在。谁能从密码学角度解释为什么?

为什么他们不选择采用最高加密标准,而不是争取第二名呢?工业生产者可能决定使用AES-128代替AES-256的任何加密(或密切相关)原因吗?

评论

评论不作进一步讨论;此对话已移至聊天。请使用聊天室进行进一步的讨论...
相关:security.stackexchange.com/questions/14068/…
使用有线键盘,无需在意。 ;)

#1 楼

在任何实际意义上,AES-256都不比AES-128“更好”。无论如何,破解AES-128几乎肯定会导致AES-256崩溃,并且128位密钥和256位密钥之间没有实际区别-没有人会在人类未来的物种中破解128位密钥。 br />
另一方面,对于此硬件,AES-256可能比AES-128需要更多的功耗。在安全性方面毫无意义的区别上,我将花费额外的一小时的电池寿命。天哪,我要多花五分钟的电池时间。

评论

$ \ begingroup $
评论不能用于扩展讨论(超过20条评论!);此对话已移至聊天。请使用聊天进行进一步的讨论…
$ \ endgroup $
– e-sushi
17/09/15在11:17


#2 楼

我相信答案实际上是0.5美分。每$ mm ^ 2 $模具花费约0.05美元。如果AES-128适合于某个应用程序,则没有令人信服的商业理由使用AES-256,因为这会增加成本。此外,由于您正在使用硬件,因此AES-256有点麻烦,因为在制造IC时必须填写武器出口表格。

几乎所有的IC和规格都在最低可行的VLSI实现。在这种情况下,有人在IC销售额1亿美元的基础上又赚了50万美元。

评论

$ \ begingroup $
您是否有该法规的指针,该法规使AES-256比AES-128更难导出?我真的很感兴趣另外:如果AES在键盘上的硬件中,我会感到惊讶。在软件中,AES-128和AES-256之间的成本差异是不存在的。
$ \ endgroup $
–fgrieu♦
17/09/14在15:47


$ \ begingroup $
@fgrieu我知道的大多数蓝牙IC在硬件中都支持AES。高通公司的一个例子:qualcomm.com/documents/csr1010-data-sheet(在我的键盘上)。关于出口控制,这很疯狂,但这是美国的简短清单:首先我们有ITAR,但是对于加密,您需要遵循:bis.doc.gov/index.php/forms-documents/doc_view/320-76-fr -1059之后,我需要ECCN号。我的128位工作是3E001和3A001,而256位工作是3E991和3A991。在我拿回IC之前,晶圆厂执行文书工作。
$ \ endgroup $
–b degnan
17年9月14日23:35


$ \ begingroup $
对不起,是肛门,但是0.05美元是5美分,而不是0.5美分。
$ \ endgroup $
–user45623
17年9月15日在19:12
$ \ begingroup $
@ user45623我对45nm所需的区域进行了估计,以通过H(x)变换和2x移位寄存器将大小从128增加到256。这就是0.5美分的来源。我没有解释。从理论上讲,制作256位密钥并不需要太多,但是由于节点的复杂性,它使较低节点的内容大得令人惊讶。
$ \ endgroup $
–b degnan
17年9月15日在20:38
$ \ begingroup $
天哪!我应该以为更多。
$ \ endgroup $
–user45623
17年9月15日在20:42

#3 楼

这是关于平衡安全性和可用性。

AES-128的安全性足以保护您的数据,并且比AES-256快得多。当缺点将是键盘的响应时间较差时,为什么他们会选择无用的安全余量呢?

我敢打赌,比起疯狂的安全性,更多的人会抱怨响应时间较差保证金。

评论

$ \ begingroup $
如果您可以注意到AES-128和AES-256之间的键盘响应能力有所不同,则键盘内的任何设备都必须使用令人难以置信的慢速AES实现,就好像它是故意设计的很差。什么是同态加密AES电路?
$ \ endgroup $
–吱吱作响的s骨
17年9月13日在19:51
$ \ begingroup $
更重要的是,它需要更多的动力。
$ \ endgroup $
–斯蒂芬·托瑟(Stephen Touset)
17年9月13日在20:06
$ \ begingroup $
@SqueamishOssifrage,无线键盘中CPU的优先级是1)便宜和2)低功耗。我发现这是一个以1 MHz运行的8位微控制器,我不会感到惊讶。
$ \ endgroup $
–马克
17年9月13日在22:46

#4 楼

已经有几条评论提到AES-128在任何实际意义上都不逊于AES-256。

在键盘中,这是双重事实。首先,您的威胁模型是某人可以拦截,窃听和/或操纵您的键盘输入。哪个转瞬即逝。因此,您的攻击者要么倾听并记录很多东西,要么正好在适当时候攻击您。这两种方法都不可能给他提供最高级别的超高级国家机密,即使在理论上也可以发挥作用,从而可以防范攻击。

考虑到威胁,即使是较弱的加密也绝对可以。但是,目前AES-128实际上比大多数人认为的更接近AES-256,因为对AES-256和AES-192的攻击使它们的有效密钥长度分别减小到大约176和119。此攻击不会影响AES-128。 (请参阅例如Schneiers的帖子。)

在任何可预见的时间内,对这些密钥长度进行实际攻击都是不可行的,即使对于国家行为者也是如此。

威胁模型,并且即使成本高出一分钱,也根本没有理由在键盘上使用AES-256。

评论

$ \ begingroup $
更好的攻击媒介是针对键盘的针孔照相机,以记录手指的运动。
$ \ endgroup $
–通配符
17年9月15日在23:57

#5 楼

AES-128并非不安全,它不如AES-256安全,只是因为后者使用更多位。当前尚不存在已知的攻击媒介,它可以破解甚至接近破解。

如果必须选择一种安全方法,则还需要考虑一个强大的加密算法相对于时间的重要性。要计算它。键盘的CPU能力有限,所传输的数据通常价值较低,而且非常易变。低CPU功率使人们希望使用更快的算法,而低风险和高波动性使AES-128完全可以满足要求。时间和足够的CPU能力可用。不需要特定的快速算法,因此应选择更安全的算法,即AES-256。