Рейтинг:2

Восстановление ключа AES-192 из последнего раундового ключа

флаг cn

Предположим, мы знаем ключ последнего раунда AES.

Для AES-128 весь ключ может быть восстановлен с использованием ключа последнего раунда, поскольку каждое СЛОВО в расписании ключа основано на предыдущей 128-битной записи.

Для AES-256 его нельзя реконструировать, так как мы знаем только 128 бит. Однако реконструкция 4 СЛОВ забрала бы нас $2^{128}$ шаги (брутфорс).

Теперь возникает вопрос для AES-192, так как мы не знаем ни 64, ни 96 бит (от 2 до 3 СЛОВ), можем ли мы все же выполнить его брутфорс?

fgrieu avatar
флаг ng
Подсказка: изучите ключ [расписание](https://en.wikipedia.org/wiki/AES_key_schedule#The_key_schedule). Определите, что вы знаете и чего вам не хватает, чтобы иметь возможность реконструировать все раундовые подключа.Ответ последует.
флаг cn
@fgrieu Я уже сделал это, в AES192 вы можете реконструировать 3 из 6 СЛОВ, мой вопрос: достаточно ли его перебора и получения ключа? Является ли брутфорс 2^96 проблемой? В худшем случае это может быть брутфорс 2^64, так как первое СЛОВО обрабатывается со значением, которое мы уже знаем из ключа последнего раунда.
fgrieu avatar
флаг ng
О сложности брутфорса $2^{96}$ см. [это] (https://crypto.stackexchange.com/a/13305/555). Возвращаясь к вашему вопросу: предлагаю вам еще раз взглянуть на [расписание ключей AES](https://en.wikipedia.org/wiki/AES_key_schedule#The_key_schedule) и спросить себя: что именно $W_i$ становится известно, когда добрая фея рассказывает последний круглый ключ? Сколько других $W_i$ (выбранных вами) должна рассказать добрая фея, прежде чем вы сможете систематически реконструировать все $W_i$?
флаг cn
@fgrieu Для ключа AES192 фея сказала нам W48-51. Нам нужен W42-47, чтобы восстановить ключ. Из последнего ключа мы легко можем получить W43, W44 и W45. W46 никак не связан с последним круглым ключом, тогда как известный нам W48 связан с W42 и W47, так как является результатом: W48 = W42 xor g(W47). Вопрос в том, облегчает ли последнее уравнение отказ от поиска 2^96, поскольку мы могли бы искать обе эти информации параллельно? Так как если мы находим правильный W42, то автоматически находим правильный W47 и наоборот
fgrieu avatar
флаг ng
Да фея говорит нам W48-51. Нет, нам не нужны все W42-47. Подсказка: предположим, что фея дала W46-51, напишите уравнения для них и выведите больше Wi.
флаг cn
@fgrieu, поскольку мы знаем W46-51, мы знаем 5/6 круглого ключа forelast. Мы можем вычислить W43-W45 из W48-W51. Зная W47 и W48, мы можем легко вычислить W42, поскольку W42=W48 xor g(W47). Поэтому мы пересчитываем весь ключ forelast и можем инвертировать расписание ключей, чтобы вычислить все предыдущие ключи. Так что я немного запутался сейчас, так как это более простое предположение о том, как восстановить ключ AES192, зная даже больше, чем только последний круглый ключ
fgrieu avatar
флаг ng
Не путайте. Вы только что показали, что если у вас есть ключ последнего раунда и 64 других бита (W46-47) о ключе, то вы можете вычислить все ключи раунда, таким образом, можете вычислить AES с полным ключом. Только с ключом последнего раунда и парой открытый текст/зашифрованный текст (стандартное предположение) вы можете очень выборочно проверить предположение об этих других 64-битах. Это все, что вам нужно для грубой атаки.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.