Рейтинг:2

Существует ли блочный шифр, безопасный для n раундов, но не безопасный при увеличении количества раундов?

флаг in

Общеизвестно, что увеличение количества раундов блочного шифра может сделать его более безопасным. Это вполне справедливо, если рассматривать линейную и дифференциальную атаки.

Крошечный алгоритм шифрования поддерживает эту теорию. У него простой раунд, и он становится безопасным после 32 раундов. Даже Шнайер и др. у всех есть поддержка этой теории в их ДваРыба Бумага.

Однако при наличии достаточного количества раундов даже плохие функции раундов можно сделать безопасными.

Даже некоторые из кандидатов AES последнего раунда хотел более высокий раунд (32 раунда) [Rijndael].

Все это (и многое другое) поддерживает эту теорию:

$$\text{Чем больше раундов, тем безопаснее.}$$

  • Есть ли какие-либо доказательства этого утверждения? или же
  • Создал ли кто-нибудь контрпример блочного шифра, безопасный для $n$ раундов, но не безопасных для $n+m$ раунды?
Paul Uszak avatar
флаг cn
Наверняка неофициальные свидетельства доказывают это? Практически все шифровальные атаки выполняются постепенно в зависимости от количества раундов.Вы можете математически обобщить лавинный эффект примитива (таким образом доказать), но я думаю, что вам будет трудно обобщить криптографическую атаку против неопределенных конструкций.
Paul Uszak avatar
флаг cn
Возможно, вы сможете создать хитрый график работы клавиш, который аннулирует себя при повторении.
kelalaka avatar
флаг in
@PaulUszak Да, это все мысли, а не доказательства. Рассмотрение против известных атак также не является доказательством. Ищу работу по этому поводу..
флаг so
Можно ли создать такой шифр? Да, просто сделайте так, чтобы раунды отражали более ранние раунды после точки поворота, поэтому 16 раундов работают нормально, следующие 16 являются обратными первым 16. Таким образом, 17 раундов будут эквивалентны 15 раундам, 32 раундам — 0 раундам и т. д. Как заметил другой комментатор намеренно плохое расписание клавиш было бы одним из способов сделать это.
SAI Peregrinus avatar
флаг si
Я бы полностью оспаривал идею «чем больше раундов, тем безопаснее». Это лучше (отсутствие странных циклов самоотрицания) для частей CIA Конфиденциальности и (в AEAD) Целостности, но это замедляет работу системы и, таким образом, снижает Доступность. Таким образом, как только C и I становятся «достаточно хорошими», любые дополнительные раунды снижают общую безопасность, увеличивая уязвимость к отказу в обслуживании из-за чрезмерного использования ресурсов. Или они вообще отговаривают людей от использования шифра. «Медленность» TLS была серьезной проблемой при его развертывании на протяжении десятилетий.
kelalaka avatar
флаг in
@SAIPeregrinus, не является ли основной причиной медленной работы TLS вычислительная мощность и арифметические алгоритмы? В AES люди хотели быть консервативными, так как опасались, что у Rijndael меньше круглых, чем у обычных, и с годами мы можем атаковать больше.Они настаивали на этом, так как были уверены в своем дизайне, и кажется, что они правы.
kelalaka avatar
флаг in
@ Брайан, у тебя где-нибудь есть такой дизайн?
SAI Peregrinus avatar
флаг si
Да, TLS был медленным, потому что разрешенные алгоритмы были медленными. Отчасти это было связано с тем, что в ранних версиях (включая SSL) были доступны только более медленные алгоритмы (до ChaCha20), отчасти из-за отсутствия аппаратного ускорения для более медленных алгоритмов (AES, DES и т. д.). В наши дни обычно используется либо быстрый программный алгоритм (ChaCha), либо алгоритм с аппаратным ускорением (AES). В сочетании с улучшениями протокола, такими как возобновление сеанса 0RTT, TLS 1.3 на самом деле иногда работает быстрее, чем чистый HTTP. Но это недавно, и когда он всегда был медленнее и было меньше накладных расходов, это приводило к тому, что люди не использовали его, что снижало безопасность.
Рейтинг:6
флаг sa

В то время как большее количество раундов обычно увеличивает сопротивление атакам (по крайней мере, известным), Бихам и Чен показали, что SHA-0 с 82 раундами на самом деле слабее, чем SHA-0 с 80 раундами. [PDF].

(Прочитайте «слабее» как означающее «легче находить коллизии». И хотя вы спрашивали о блочных шифрах, мы часто рассматриваем хеш-функции как вместилище внутренних блочных шифров, поэтому я подумал, что это все еще подходящий пример.)

fgrieu avatar
флаг ng
Cпасибо за ссылку. Как отмечали другие, легко создавать шифры или хэши, где предположение о том, что большее количество раундов помогает, ложно в произвольной степени; но другое дело видеть, как это происходит в чем-то, что раньше рекламировалось как стандарт.
kelalaka avatar
флаг in
@fgrieu это то, что мне было интересно. Спасибо Джастину за это. Мы узнали, что это возможно даже для стандартных и безопасных систем.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.