Рейтинг:2

Сколько информации требуется для определения нового варианта AES, помимо длины ключа и количества раундов?

флаг cn

Были стандартизированы три разные версии расширенного стандарта шифрования (AES), в которых используются ключи длиной 128, 192 и 256 бит соответственно. Они также используют разное количество раундов: 10, 12 и 14 раундов соответственно. Но я так понимаю, что в остальном три версии AES очень похожи.

  1. Сколько дополнительной информации потребуется указать, чтобы создать новую версию AES с другой длиной ключа? Длина ключа и количество раундов в значительной степени определяют весь алгоритм достаточно подробно, чтобы вы могли просто сказать: «Хорошо, моя новая версия AES имеет длину ключа 64 бита, а вы используете 8 раундов», и очевидно, как заполнить в остальных деталях? Или нужно много работать? (Я знаю, что Rijndael также допускает размеры ключей 160 и 224 бита, но мне интересно выйти за эти пределы.)
  2. Потребует ли такая новая версия AES обширного нового криптоанализа или будет достаточно просто подставить новую длину бита и количество раундов в уже известные формулы, чтобы оценить сложность дешифрования?

Я знаю, что помимо длины бит и количества раундов существуют и другие детали, относящиеся к конкретной версии, такие как расписание ключей, но я не знаком с этими деталями.

kelalaka avatar
флаг in
NIST изначально просили 128,160,192,224 и 256-битный ключ и размер блока, позже они изменили то, что у нас есть в AES, так как в этом нет необходимости!. Они очень похожи, так как имеют размер одного и того же блока. **Ответ на ваш вопрос основан на мнении**. Rijndael проектировался не сразу, сначала проектировал SHARK, потом Square потом BKSQ. Это годы понимания и опыта чтения. Вы можете увидеть из книги T_he Design of Rijndael. Расширенный стандарт шифрования (AES) Второе издание_
Fractalice avatar
флаг in
Я согласен с @kelalaja, хотя, конечно, в настоящее время усилий было бы гораздо меньше из-за большого количества накопленных знаний. Не говоря уже о том, что речь идет о *варианте* AES.
флаг cn
@kelalaka Я думаю, что мой вопрос, возможно, был сформулирован слишком широко; Я отредактировал его, чтобы (надеюсь) уточнить, к чему я клоню. Мне просто интересно, легко ли обобщить общий шаблон AES на другие размеры ключей и количество раундов; Я не прошу фактическую оценку «объема работы».
kelalaka avatar
флаг in
Прочитайте _The Design of Rijndael The Advanced Encryption Standard (AES) Second Edition_ Там вы можете найти подсказки...
флаг cn
@kelalaka Судя по тому факту, что вы не говорите «Да, адаптировать AES к другим размерам ключей и количеству раундов тривиально», я предполагаю, что ответ на мой вопрос: «Довольно много информации».
kelalaka avatar
флаг in
Просто для увеличения размера ключа раунд идет 10, 12, 14 не означает, что 512 будет иметь 19 раундов. Проанализировали, и время показало, что вместо 14 должно быть 15.
флаг cn
@kelalaka Я думал, что в принципе размер ключа и количество раундов можно задать независимо? Возможно, я все еще не ясно формулирую свой вопрос: я просто говорю об *определении* нового варианта AES, а не анализе его безопасности. Числа, которые я дал в своем вопросе, были просто совершенно случайным примером (кроме того, что они не являются ни одним из существующих битовых размеров Rijndael).
SAI Peregrinus avatar
флаг si
Еще одна вещь, которую следует учитывать, это то, что AES является стандартом NIST в FIPS 197. Таким образом, предстоит ТОННА работы, чтобы убедить NIST выпустить новую версию FIPS 197. Они сделали бы это только в том случае, если бы была очень веская причина, такая как как перерыв в текущем AES. И поскольку перерыв в AES вряд ли можно устранить простым расширением AES, они, скорее всего, полностью заменят его. Таким образом, чтобы ответить на вопрос заголовка, работа, необходимая для расширения AES, вероятно, начинается с взлома AES, что чрезвычайно сложно, и этот взлом должен быть смягчен путем увеличения размера ключа/количества циклов (еще сложнее).
SAI Peregrinus avatar
флаг si
Rijndael, с другой стороны, довольно легко расширить до большего количества раундов и размеров ключей. Добавление раундов тривиально, изменить расписание клавиш, не создавая небезопасности или не делая его слишком медленным, сложнее. 128-битный размер блока делает большие размеры ключей, чем нынешние 256-битные, довольно бесполезными, не говоря уже о том, что базовая термодинамика гарантирует, что 256-битные ключи будут защищены даже от квантовых компьютеров размером с целые планеты в течение миллионов лет.
флаг cn
@SAIPeregrinus Спасибо, это очень полезные комментарии. Меня просто интересовала чисто техническая сложность разработки нового стандарта, а не «человеческие» факторы, такие как сложность убедить NIST что-то сделать. Думаю, мне, вероятно, следовало сформулировать свой вопрос с точки зрения Rijndael, а не AES.Почему 128-битный размер блока делает ключи размером более 256 бит «довольно бесполезными»? Можно ли это легко изменить, просто увеличив размер блока, или это будет сложно (на чисто алгоритмическом, а не на практическом уровне)?
Maarten Bodewes avatar
флаг in
Честно говоря, я думаю, что то, о чем вы просите, слишком общее. От изменений, которые вы вносите, зависит, какую часть криптоанализа нужно изменить, если вообще нужно.Добавление размеров ключей не имеет особого смысла, поскольку AES-128 защищен от любых атак с обычными компьютерами. Для защиты от многоцелевых и квантовых компьютеров можно использовать AES-256. Любые другие атаки зависят от других, неизвестных векторов атак. Оглядываясь назад, я думаю, что AES-192 уже был ошибкой.
kelalaka avatar
флаг in
[После 20 лет существования AES, какие ретроспективные изменения следовало внести?] (https://crypto.stackexchange.com/q/87604/18298)
флаг cn
@kelalaka Этот вопрос интересен, но, при всем уважении, он имеет мало общего с моим вопросом здесь. Я отредактировал свой вопрос, чтобы обсудить возможность использования меньшего, а не большего размера ключа, чтобы (надеюсь) уточнить, что мой вопрос не имеет ничего общего с повышением безопасности или полезности AES.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.