РегистрацияДемонстрация новых возможностей взлома AES
//Демонстрация новых возможностей взлома AES
http://www.cryptosystem.net/aes/
http://ntcourtois.free.fr/quovadis4/
http://security.computerworld.pl/news/91316.html
26 мая 2006 года (незадолго до EUROCRYPT 2006) на конференции Quo Vadis IV
Николя Тадеуш Куртуа (польский криптограф, живущий во Франции) представит практическое доказательство существования алгебраических атак, оптимизированных против шифра AES-RIJNDAEL. За полтора часа на своём ноутбуке он осуществит демовзлом всего лишь по нескольким шифртекстам близкого аналога RIJNDAEL. Хотя это будет модельный шифр, он будет таким же стойким, в нём не будет добавлено существенных слабостей, он будет иметь такие же хорошие диффузионные характеристики и устойчивость ко всем известным до этого видам криптоанализа. Единственным отличием будут изменённые в рамках модели алгебраических атак параметры S-блоков и уменьшенное для наглядности число раундов. Однако этого достаточно, чтобы убедить скептиков в реальности алгебраических атак.
Предыстория вопроса такова.
В своей первой работе, написанной ещё в 2001 году
!!(green) Nicolas T. Courtois и Josef Pieprzyk "Cryptanalysis of Block Ciphers with Overdefined System of Equations" !!
показали принципиально новый метод взлома шифров на основе решения систем уравнений в конечном поле. Главной мишенью послужили шифры SERPENT (из-за малого размера S-блоков) и AES-RIJNDAEL из-за его своебразной алгебраической структуры. Шифр RIJNDAEL может быть представлен в виде простой замкнутой алгебраической функции на полем GF(256), что было рассмотрено в работе
!!(green)
Ferguson N., Schroeppel R. and Whiting D. "A simple algebraic representation of Rijndael"
!!
Выводом из этой работы и работ Николя Куртуа служит то, что стойкость AES-RIJNDAEL опирается только на невозможность на данный момент решить систему уравнений, описывающую алгебраическую структуру шифра. Если такое решение будет найдено, то это будет серьёзным прорывом в криптоанализе, так как такие атаки не используют малозначительные вероятностные отклонения в гигантских объёмах исходных данных (как дифференциальный или линейный криптоанализ) и для их работы будет достаточно небольшого количества пар открытых/шифртекстов.
Сначала XSL-атаки считались невозможными, а работы по ним – ошибочными. Тем не менее авторам удалось частично применить их к модельным шифрам, а против некоторых поточных шифров достичь и практических результатов и получить таким образом признание. Теперь новые шифры стараются проектировать устойчивыми и к алгебраическим атакам.
Однако алгебраические атаки всё ещё считались непрактичными, сложными, эвристически-негарантированными по результату, связанными с большим объёмом вычислений, возможно превосходящим атаки грубой силой на AES.
Как говорил один из создателей шифра RIJNDAEL в частной переписке – "XSL – это не атака, это всего лишь мечта". "Это мечта, способная стать кошмаром" – отвечал Николя Куртуа.
В любом случае это всё пока лишь интересные события в мире теоретической криптографии. Полный взлома шифра и снятие его со стандарта может состоятся не ранее чем через десять-тридцать лет, как оптимистично (со своей позиции давнего противника RIJNDAEL) заявляет Куртуа. Хотя кто может достоверно предсказать будущее? Кто может гарантировать, что AES-RIJNDAEL, SERPENT, CAMELLIA, считающиеся уязвимыми к (несуществующим официально пока) алгебраичесим атакам тайно не взломаны уже сейчас? Хотя это и представляется маловероятным.
комментариев: 9796 документов: 488 редакций: 5664
надо переделать на
!!(blue)
"не используют малозначительные вероятностные отклонения на выходе алгоритма шифрования после прохождение через него гигантских объёмов исходных данных (как дифференциальный или линейный криптоанализ)"
!!
В исходные данные-то как раз вносят самые разнообразные и всеьма значительные "отклонения".
И ещё одна неточность формулировки: XSL – это частный случай (способ решения, алгоритм), позволяющий проводить алгебраические атаки. Само понятие "алгебраические атаки", введённое Куртуа – более общее. Не буду всё вспоминать и перечислять все аналоги XSL и лезть в дебри математических описаний, это излишне, но точность в новости соблюсти надо.
комментариев: 510 документов: 110 редакций: 75
комментариев: 9796 документов: 488 редакций: 5664
Например, я набрал для Вашего ключа gpg --edit-key [номер-ключа}
затем комманду showpref и увидел первым шифром AES-256.
Насчёт длины ключей других шифров в реализации gpg не уверен, кажется только 128. Почему тогда есть AES-128, AES-192 и AES-256?
Можете изменить в своём ключе предпочитаемый шифр, набрав gpg --edit-key [номер-ключа], а затем setpref.
Непосредственно CAST5 должен быть малоподвержен теоретической угрозе алгебраических атак, так как использует большие S-блоки на бент-функциях и нерегулярные операции в разных раундах.
К сожалению его вариант с увеличенным размером блока и числом раундов – CAST6 имеет неопределенный патентый статус.
BLOWFISH или TWOFISH также должны быть надёжны в этом плане. Но менять алгоритм пока рано. Хотя от работ Доббертина по теории md5 до практического взлома прошло почти 10 лет.
Собственно, вот ссылка на работу-анонс новых модельных алгебраических атак.
http://eprint.iacr.org/2006/168
Автор утверждает, что к его удивлению алгебраические атаки настолько легко осуществимы, (а его работы основаны ещё на забытом за 50 лет утверждении Шеннона, что любой шифр может быть представлен как система уравнений. Намёк – что эти атаки кто-то мог знать раньше?) что в ближайшее время он не будет публиковать подробностей, так как это может привести к катастрофическим результатам, если AES и его аналоги будут взломаны. Обещает только публичную демонстрацию.
Немного странная позиция. Много громких заявлений про возможность исторических прорывов в криптоанализе, никаких серьёзных доказательств, криптографы-консерваторы сочтут это всё саморекламой или провокацией и опять будут говорить о неосуществимости атак, хотя Куртуа – уважаемый криптограф. Что бы он не говорил, на это стоит обратить внимание.