Тайминг-атака полностью раскрывает ключ AES.
Профессор D.J.Bernstein опубликовал методику полного раскрытия AES ключа в OpenSSL сервере.
http://cr.yp.to/papers.html#cachetiming
Хотя Bernstein давний противник AES и сторонник шифров без S-блоков и возможно он не совсем объективен, нет оснований полагать, что результаты и экспериментальные данные в его работе не могут быть воспроизведены на практике.
Хотелось бы более подробный комментарий на русском. Например относится ли описанная уязвимость именно к алгоритму или всё-таки к его реализации. Очевидно рассматривалась атака на открытом тексте? И атакующий имеет возможность инициировать многократные (порядка тысячи и более?) попытки "прогона" алгоритма с ключом который он пытается определить?
Так ведь такое уже кажется было...?
К реализации, точне ко всем "скоростным реализациям" в принципе, но Bernstein делает вывод, что алгоритм изначально уязвим к тайминг атакам, а "constant time" реализации будут слишком медленными. И в очередной раз проталкивает идею алгоритмов без S-блоков (большинство с ним не согласны – не стоит рисковать чисто аналитической криптостойкостью ради стойкости к тайминг атакам).
Да, именно так. Он еще должен находится как можно ближе к серверу.
И будет еще не раз.