Рейтинг:1

Crypto

Почему невозможно атаковать AES, создав функцию для моделирования замены, которая происходит в s-блоке?

Ahmed

19.10.2022, 01:54

Я понимаю, что s-боксы могут сделать преобразования, выполняемые в AES, нелинейными. Однако я не уверен, как это делает AES безопасным. Например, если бы у нас не было блока s, то можно было бы вычислить ключ из набора линейных уравнений:

$C^1=Ах+к$

$С^2=АС^1+к$

...

$y=AC^n+k$

Где A — линейное преобразование, k — ключ, C — промежуточные зашифрованные тексты, n — количество раундов шифрования, x — вход и y — конечный результат.Однако, если мы добавим блок S, то нельзя будет представить замену, которую он выполняет, как функцию x, f(x), так что теперь мы имеем:

$C^1=Af(x)+k$

$C^2=Af(C^1)+k$

...

$y=Af(C^n)+k$

Что, как мне кажется, также становится жертвой исключения Гаусса (путем подстановки каждого уравнения в функцию следующего), хотя такую функцию для подстановки, которая происходит в s ячейках, может быть чрезвычайно сложно вывести. Если нам дано несколько значений x, которые подвергаются шифрованию с использованием одного и того же ключа, и что s блоков общеизвестны, мы должны быть в состоянии вычислить ключ. Я понимаю, что на самом деле этого не может произойти, иначе AES вообще не использовался бы, поэтому я был бы очень признателен за любую помощь в определении того, где я ошибся / как S-блоки будут мешать, чтобы предотвратить использование такого метода :)

112

1 + 4

s-блоки

эээ

kelalaka

19.10.2022, 07:21

Вам приходится иметь дело с мономами степени 128 (в среднем 127) и с огромным количеством мономов. Куртуа утверждал, что взломал AES (это означает, что сложность поиска меньше, чем 128-битный поиск), но это было очень спекулятивно. Это уже называется решением SAT. См. [Книгу Барда для образцов] (https://www.amazon.com/Algebraic-Cryptanalysis-Gregory-Bard-ebook/dp/B00FB36BZO/).

Ответить

Fractalice

19.10.2022, 08:35

Решение @kelalaka SAT — это только один из способов решения таких систем. То, что предлагает Ахмед, — это просто линеаризация (которая является основным компонентом более продвинутых методов, основанных на базисе Грёбнера, расширенной линеаризации, ElimLin и т. д.).

Ответить

kelalaka

19.10.2022, 08:48

@Fractalice Я использовал SAT как большой термин (теперь я вижу, что использование решения SAT приводит к неправильному направлению). GB, XL, XLS, RL, EL — все это средства для решения нашей проблемы SAT, особенно в криптографии. Бард уже освещает большинство из них в своей книге. Ответ на этот вопрос - всего лишь несколько статей

Ответить

kelalaka

19.10.2022, 08:50

В 2003 году Мерфи и Робшоу обнаружили альтернативное описание AES, встроив его в более крупный шифр под названием «BES», использующий очень простые операции над одним полем, GF(28). Атака XSL дает более простой набор уравнений, который сломал бы AES с ~ 2 ^ 100 комп., если бы Куртуа и др. все анализы правильные. В 2005 году Сид. и др. показали, что в предложенной форме алгоритм XSL не обеспечивает эффективного метода решения системы уравнений AES; однако Куртуа оспорил их выводы. На FSE 2007 Чу-Ви Лим и Кхунгминг Ху продемонстрировали, что это не может работать так, как представлено.

Ответить

Рейтинг:2

Crypto

Fractalice

19.10.2022, 08:50

Если я правильно понял, вы предлагаете обрабатывать промежуточные значения $C^i$ как переменные.

Проблема в том, что $f(C^i)$ является нелинейным и содержит больше мономов, чем 128 переменных (поскольку нелинейность исходит из S-блока, количество мономов не более $256\раз16$). Следовательно, исключить его с помощью уравнения $С^я = ...$, и $C^i$ больше нигде не используется. Обратите внимание, что если вы добавите больше значений открытого/зашифрованного текста, переменные $C^i$ не совпадают, поэтому вы не можете использовать другую пару, чтобы исключить эти дополнительные мономы. Вместо этого добавляются дополнительные переменные.

Обратите внимание, что S-блок имеет слабость в том, что существуют квадратичный уравнения (над $GF(2)$), связывая его вход и выход (вместо прямых уравнений степени 7 S-блока), что значительно упрощает систему. Тем не менее, до сих пор никому не удалось показать способ решения такой или подобной системы быстрее, чем брутфорс по ключу AES.

Для справки: источником квадратных уравнений является то, что S-блок аффинно эквивалентен $GF(256)$ обратная функция $у=х^{254}$. У нас есть $ух^2=х^{256}=х$ и другие $ух^2-х=0$, который квадратичен по $GF(2)$ (разбивается на 8 уравнений).

0 + 0

Admin

Этот вопрос на других языках:

EN: Why is it not possible to attack an AES by creating a function to model the substitution that occurs in a s-box?

TH: เหตุใดจึงไม่สามารถโจมตี AES โดยสร้างฟังก์ชันเพื่อจำลองการแทนที่ที่เกิดขึ้นใน s-box

RO: De ce nu este posibil să atacăm un AES prin crearea unei funcții pentru a modela substituția care are loc într-o cutie s?

RU: Почему невозможно атаковать AES, создав функцию для моделирования замены, которая происходит в s-блоке?

VI: Tại sao không thể tấn công AES bằng cách tạo một hàm để mô hình hóa sự thay thế xảy ra trong s-box?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.