openPGP в России / Новости / 2009 / Новые бумеранг-атаки по методу связанных ключей на AES

02.07 // Новые бумеранг-атаки по методу связанных ключей на AES

Новая криптоаналитическая атака на AES, которая быстрее простого перебора:

Related-key Cryptanalysis of the Full AES-192 and AES-256
Alex Biryukov и Dmitry Khovratovich.

В аннотации авторы представляют две атаки на связанных ключах на полный алгоритм AES. Для AES-256 показано, что атака на восстановление ключа работает для всех ключей и имеет сложность 2¹¹⁹, что лучше недавнего предыдущего результата атаки Biryukov-Khovratovich-Nikolic, которая к тому же работает только для ограниченного класса слабых ключей.
Вторая атака – первый криптоанализ полного AES-192. Обе атаки являются бумеранг-атаками, основанными на недавней идее нахождения локальных коллизий в блочных шифрах и расширении на основе бумеранг-техники с переключением, чтобы захватить большее число раундов в середине.

В своём письме авторы уточняют, что более тщательный анализ может снизить сложность с 2¹¹⁹ до 2^110.5 по данным и времени.

Эти результаты могут пролить новый свет на разработки ключевого расписания к блочным шифрам, но не представляют никакой реальной угрозы для реально существующих приложений, использующих AES.

Комментарий Брюса Шнайера: "Несмотря на то, что атака лучше простого перебора и некоторые криптографы могут обозначить такой алгоритм как "взломанный" – результаты всё ещё за пределами наших вычислительных возможностей. Атака является и возможно навсегда останется чисто теоретической. Но стоит помнить: атаки всегда становятся только лучше, а не хуже. С другой стороны, продолжает увеличиваться их число. Хотя нет причин для паники или отказа от использования AES, или принятия нового стандарта от НИСТ, это уже представляет проблему для некоторых кандидатов на конкурс SHA-3: для хэш-функций, основанных на AES".

Авторы приводят краткие разъяснения по поводу новых атак на AES:

В.: Это первый результат в криптоанализе полного AES?

О.: Да. Ранее самые успешные атаки работали только против сокращённых версий: 10 раундов (из 12) для AES-192, 10 раундов (из 14 для AES-256).

В.: Эта атака практична?

О.: Нет. Даже после улучшений нам всё ещё нужно более 2¹⁰⁰ шифрований, что находится за пределами вычислительных мощностей человечества. Более того, эта атака работает в модели атак со связанными ключами, которые подразумевают более мощного атакующего, чем в модели с независимыми ключами.

В.: Что из себя представляет модель атаки со связанными ключами?

О.: В этой модели атакующий может наблюдать результаты процесса зашифрования/расшифрования на различных секретных ключах. Атакующий знает (или даже сам способен выбирать) соотношение между различными ключами, но не знает самих ключей. Например, соотношение может быть просто значением XOR с известной константой: K_B = K_A xor C или более сложная связь вида K_B = F( K_A ), где F – произвольная функция, выбранная атакующим. В реальной жизни такие зависимости могут возникнуть при сбоях в аппаратном обеспечении или плохо спроектированных протоколах безопасности.

В.: В вашей работе для конференции CRYPTO вы показали практичную атаку на AES в модели с открытым ключом — что это значит?

O.: Это значит, что AES-256 практически взломан как хэш-функция и поэтому не может использоваться как готовый элемент ("plug-and-play") в различных конструкциях, основанных на доказуемой безопасности.

В.: Стоит ли мне продолжать использовать AES-192 и AES-256?

О.: Да. Наши атаки не представляют никакой существенной угрозы в использовании AES, но следите внимательно за прогрессом в криптоанализе.

В.: Означает ли это, что AES-256 слабее, чем AES-128?

O.: Теоретически – да. Практически – они оба всё ещё обеспечивают комфортный уровень безопасности.

В.: Как это затрагивает AES-128?

О.: Мы не знаем как атаковать полный AES-128 на основании этой идеи. Однако, мы ожидаем прогресс в криптоанализе сокращённых версий AES-128.

В.: Можно ли исправить эту уязвимость?

О.: Эта уязвимость может быть исправлена, только это потребует очень серьёзных изменений в дизайне. В частности та часть шифра, которая называется ключевым расписанием, должна быть переработана. Это также можно исправить увеличением числа раундов для всех версий, но это сделает шифр намного более медленным.

В.: Какой эффект это окажет на конкурс SHA-3 и на заявки на него, в которых содержатся хэш-функции, основанные на AES?

O.: Немного заявок содержат использование AES в явном виде, так что мы не ожидаем, что много функций пострадают от атаки. Однако, основополагающие идеи могут быть использованы в криптоанализе некоторых кандидатов, содержащих элементы похожие на AES.

В.: Как была открыта эта уязвимость? Почему она не была открыта во время конкурса AES и не была открыта в течении последующих десяти лет?

О.: Уязвимость была открыта, когда мы стали рассматривать AES как хэш-функцию и стали пытаться искать уязвимости, характерные для хэш-функций. Мы думаем, что большинство криптографов использовали только техники, ориентированные на блочные шифры, против которых AES был хорошо защищён разработчиками. Другая причина в том, что AES-256 вероятно получил меньше внимания со стороны криптоаналитиков, чем AES-128, хотя по иронии именно AES-256 предназначен для защиты более чувствительной информации, чем AES-128.

В.: Можете ли вы кратко описать какие свойства шифра привели к такой уязвимости?

O.: Ключ AES многократно используется в ходе шифрования после того как он развёрнут в ходе процесса, называемого ключевым расписанием. Мы установили, что малые изменения ключа вызывают малые изменения в процессе шифрования и могут быть нейтрализованы с высокой вероятностью, что даёт атакующему контроль над распространением дифференциальных изменений. Мы называем такую нейтрализацию локальной коллизией (понятие из криптоанализа хэш-функций). Некоторые последовательные локальные коллизии могут склеиваться друг с другом вместе в длинные 7-раундовые разности образцов прохождения (также называемые дифференциальными характеристиками или дифференциальными путями), которые имеют очень высокие вероятности — такие о которых ни один криптоаналитик не мог раньше и мечтать. Мы называем их волшебными путями AES-256.

Вскоре, Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich и Adi Shamir опубликовали новую работу, в которой понизили уровень сложности предыдущих атак на AES-256 с 2¹²⁶ и 2¹¹⁹ по времени до всего 2³⁹ затрат по времени на двух связанных ключах, но только для 9 раундов из 14-ти. Предыдущая атака требовала 4 связанных ключа и 2¹²⁰ шагов по времени выполнения.

Эту атаку можно развить и до 10 раундов (2¹⁷² шагов), но только при неполной модели связанных ключей (так называемых связанных подключей).

Источник: Schneier on Security

Комментарии [скрыть комментарии/форму]

—	SATtva (02/07/2009 15:37) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Уязвимость была открыта, когда мы стали рассматривать AES как хэш-функцию и стали пытаться искать уязвимости, характерные для хэш-функций. Мы думаем, что большинство криптографов использовали только техники, ориентированные на блочные шифры, против которых AES был хорошо защищён разработчиками.

Вот так вот. Всего-то взгляд на прежнюю проблему под иным углом.

—	unknown (02/07/2009 15:56, исправлен 02/07/2009 15:59) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Это ещё и следствие бурного развития методологии так называемой "доказуемой безопасности" – если шифр – идеальная зависящая от ключа перестановка, значит в рамках "доказуемого стойкого" преобразования такой перестановки он должен "доказуемо стойко" превращаться в "доказуемо стойкий" хэш. А он взял и не превратился. Ну и ещё спасибо конкурсу на новый стандарт хэширования SHA-3, где также мучают всех кандидатов этой "доказуемой безопасностью" в рамках всё более изощрённых формальных моделей. Что видимо и навело авторов на идею.

—	SATtva (02/07/2009 16:24) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

А он взял и ...

...превратился в элегантные шорты. :-)

—	DDRTL (03/07/2009 15:46) профиль/связь <#> комментариев: 212 документов: 27 редакций: 20

смотришь и другие криптоалгоритмы также рассмотрят под разными углами)

—	unknown (03/07/2009 16:39) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Алгоритмы взламываются, наука развивается, гранты выделяются, конференции проводятся, статьи публикуются, новости обсуждаются.
Все заняты увлекательными делами, всем весело и интересно :)

Вот к замечаниям к ключевому расписанию Twofish на конкурсе AES высказывались тоже сомнения, как раз, что оно вроде как неплохое, но вот если Twofish кто-нибудь когда-нибудь будет использовать в качестве хэш-функции, то оно может оказаться и не совсем идеальным. Так что идея не нова, но долго была неактуальна. Тогда всем хватало md5 и sha-1, а после того как Rijndael стал AES-финалистом стало престижно пробовать все атаки на нём, вот и в режимах хэширования его поизучали .

—	*Гость* (12/08/2009 19:47) <#>

Два в какой степени общепризнанно считается практичной атакой (и сколько это стоит)?

—	*Гость* (12/08/2009 19:48) <#>

... на данный момент

—	unknown (13/08/2009 09:55, исправлен 13/08/2009 10:02) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

http://www.distributed.net/rc5/

RC-5-72 пока не взломан, правда после прекращения спонсорства RSA (правда тоже чисто символического) и интерес к конкурсу упал. Про успешный брутфорс за 2⁷² операций пока не слышно.

По не новым данным
http://www.copacobana.org/faq.html,
http://stats.distributed.net/rc5-64/

2⁶⁴ — это точно практично.

Атаки же на связаных ключах (часть из которых даже не на полнораундовую версию или не на "чистые" связаные ключи) в большинстве простых протоколов сами по себе действительно никак не помогут взломать зашифрованный текст или сообщение.

Разбирающимся в физике цитата из вики про невозможность взлома 128-битного ключа на вычислительных системах, построенных на обычных физических принципах:
http://en.wikipedia.org/wiki/Brute_force_attack

Cледовательно, невозможно провести и 2¹²⁸ вычислительных операций на чём-бы то ни было из известного.

Позволю себе перевод, может кто-то найдёт неточность в расчётах или предпосылках:

Существует физический аргумент насчёт того, что 128-битный симметричный ключ безопасен против атаки простого перебора. Так называемый предел Фон-Неймана-Ландау устанавливает нижний физический предел потребления энергии, необходимой для проведения вычислений в виде ln(2) kT на каждый бит, используемый в вычислении, где T — температура вычислительного устройства в кельвинах, k — константа Больцмана и натуральный логарифм 2 примерно равный 0.693. Никакое устройство односторонних вычислений не может использовать меньше этой энергии, даже впринципе.

Таким образом, в порядке упрощения прохождением устройством всех возможных значений 128-битного симметричного ключа (исключая проведение всех необходимых вычислений для его проверки) потребуется 2¹²⁸ – 1 битовых переключений. Если мы подразумеваем, что вычисления проводятся при комнатной температуре (300 K) мы можем путём наложения предела Фон-Неймана-Ландау оценить количество потребляемой энергии как ~ 10¹⁸ Джоулей, что эквивалентно потреблению 30 Гигаватт энергии в год (30 x 10⁹W x 365 x 24 x 3600s = 9.46 x 10¹⁷ Дж). Полное количество вычислений и проверок каждого ключа очевидно будет во много раз больше и потребует гораздо большего потребления энергии.

Этот аргумент правда подразумевает, что значения регистров изменяются с использованием традиционных операций, неизбежно генерирующих энтропию. Было показано, что теоретически можно создать вычислительное оборудование на обратимых вычислениях, не подверженное таким теоретическим ограничениям, но ничего не известно о конструировании компьютеров такого рода.

Время взлома 128-битного ключа также устрашающе. Необходимо проверить 2¹²⁸ (340,282,366,920,938,463,463,374,607,431,768,211,456) возможных значений. Устройству, которое могло бы проверять миллиард миллиардов ключей (10¹⁸) в секунду, всё ещё потребовалось бы около 10¹³ лет для проверки значений из пространства ключей. Это в тысячу раз больше возраста вселенной, который оценивается в 13,000,000,000 (1.3 x 10 ¹⁰ лет).

AES допускает использование 256-битных ключей. Взлом простым перебором симметричного 256-битного ключа потребует в 2¹²⁸ раз больше вычислительных ресурсов, чем 128-битного. Устройство, которое могло бы проверять миллиард миллиардов (10¹⁸) ключей в минуту потребовало бы 3 x 10⁵¹ лет для полного перебора 256-битного ключевого пространства

—	SATtva (13/08/2009 11:52, исправлен 13/08/2009 11:53) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Устройство, которое могло бы проверять миллиард миллиардов (10¹⁸) ключей в минуту потребовало бы 3 x 10⁵¹ лет для полного перебора 256-битного ключевого пространства

Источники энергии во Вселенной закончатся значительно раньше, так что, видимо, можно заключить, что брутфорс такого ключа принципиально невозможен.

—	*Гость* (13/08/2009 14:41) <#>

А это ничего, что КК эффективно понижает длину криптостойкого ключа в 2 раза? Т.е. 128-мибитный ключ, например, будет взломать столь же трудно как сейчас на обычном компьютере 64хбитный. 64битный AES ещё не взламывается брутфорсом?

2^64 — это точно практично.

—	SATtva (13/08/2009 14:46) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Что-нибудь известно о КК более чем с тремя вентилями?

256-битовый AES создавался именно в расчёте на такую угрозу. Но ситуация складывается так, что до её появления он в нынешнем видя вряд ли доживёт.

—	*Гость* (13/08/2009 14:51) <#>

Что-нибудь известно о КК более чем с тремя вентилями?

Ну всё ж таки КК это чуть более реально чем абстрактная фраза типа

Было показано, что теоретически можно создать вычислительное оборудование на обратимых вычислениях, не подверженное таким теоретическим ограничениям, но ничего не известно о конструировании компьютеров такого рода.

Звучит как будто есть одна работа которая, де, якобы показала "возможность", но никто не уверен, хотя на самом деле КК – развитая тема, над которой сейчас работают тысячи людей по всему миру.

—	unknown (13/08/2009 15:47) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Может намекалось на нечто более абстрактное, чем даже KK?

Ваша оценка документа [показать результаты]