Регистрация Войти
Рейтинг:3
avatar Crypto

Correlation Power Analysis на AES — возможные модели атак

флаг br
user100099

Насколько я знаю, можно извлечь ключ или части ключа с помощью анализа мощности побочного канала на AES, но для этого нам нужна мощная модель злоумышленника. Первая известная мне атака — это атака на первый раунд AES, сравнение первого результата SBOX, где нам нужно знать открытый текст наших трассировок, чтобы выполнить эту атаку. Вторая атака не требует знания открытого текста, а только зашифрованного текста, который является более слабой моделью злоумышленника, поскольку мы можем прослушивать зашифрованный текст. Это атакует только последний раунд AES и восстанавливает последний круглый ключ AES, что, насколько мне известно, может привести только к полному восстановлению ключа для AES128 и 192, но не для AES256. Злоумышленнику также приходится выполнять больше вычислений из-за операции сдвига строк между подбайтами и зашифрованным текстом.

Знаете ли вы какие-либо другие CPA или еще более мощные атаки на AES? Я знаю DPA, но разве это не более слабая версия CPA, и вообще, если мы можем выполнять CPA, то зачем нам делать DPA?

Можно ли выполнить CPA, не зная ни открытого текста, ни шифротекста?

90
0 + 0
fgrieu avatar
флаг ng
fgrieu
Обратите внимание, что если вы восстановили полный подключ последнего раунда AES-256, зная выходные данные последнего раунда (зашифрованный текст), теперь вы можете вычислить выходные данные предыдущего раунда, поэтому, возможно, вы можете атаковать этот предыдущий раунд тем же методом и восстановить его ключ раунда. ; и так далее вверх.
0
Ответить
флаг br
user100099
@fgrieu, что такое последний раунд вывода? afaik, восстановление ключа AES256 из последнего круглого ключа потребует сложности 128 бит
0
Ответить
fgrieu avatar
флаг ng
fgrieu
Извините, я не носитель английского языка. Под «последним раундом» я имел в виду раунд перед последним раундом (предпоследний раунд). Я прямо отредактировал свой комментарий. Метод, который я описываю, когда это возможно, дает подключа предпоследнего раунда с работой, сравнимой с восстановлением 128-битного подключа последнего раунда, и это дает больше информации о ключе, не требуя исчерпывающего поиска.
0
Ответить
Рейтинг:1
fgrieu avatar Crypto
флаг ng
fgrieu

Вопрос и этот ответ предполагают, что Correlation Power Analysis может найти ключ последнего раунда AES-256 при атаке с известным зашифрованным текстом. Это поиск 128-битного ввода ключа AddRoundKey в раунде 14, зная его вывод.

Как только это будет сделано, из известного зашифрованного текста и этого 128-битного ключа можно вычислить вывод AddRoundKey в раунде 13 для каждого известного зашифрованного текста (мы начинаем с известного зашифрованного текста и инвертируем AddRoundKey, ShiftRows, SubBytes, как в расшифровка).

Таким образом, те же условия, которые разрешали CPA в 14-м раунде, теперь применимы к 13-му раунду. И затем, выполнив эту атаку на более раннем этапе выполнения, кажется возможным найти ввод 128-битного ключа AddRoundKey в 13-м раунде. Примечание: есть однако существенная разница: в раунде 13 есть MixColumns между ShiftRows и AddRoundKey, когда этого нет в раунде 14.

Когда и если этот второй CPA будет выполнен, у нас будет достаточно информации, чтобы найти полный 256-битный ключ AES.

0 + 0
флаг br
user100099
знание последнего раундового ключа и зашифрованного текста означает, что я могу вычислить последний раунд в обратном порядке и получить входные данные для последней операции с суббайтами. Перед этим идет фаза добавления ключа 13-го раунда, где 14-й подключ сопоставляется с выводом mixcolumn предыдущего раунда. как нам определить значение 14-го подраздела, если мы знаем только вывод операции mixcolumns Xor?
0
Ответить
fgrieu avatar
флаг ng
fgrieu
@ user100099: Вы правы в том, что в 14-м и 13-м раундах есть значительная разница, и ответ теперь подтверждает это. Извините, я не буду вдаваться в подробности реальной CPA-атаки. Я надеюсь, что общая картина моей точки зрения остается в силе: как только 14-й раунд был успешно атакован, у нас есть выходные данные 13-го раунда, почти такие же, как и для 14-го раунда при атаке по известному шифрованному тексту, и мы можем надеяться установить (правда, другой) CPA-атака на 13 раунде.
0
Ответить
kelalaka avatar
флаг in
kelalaka
Здесь есть одна важная проблема; обычно вы не ожидаете, что кто-то будет расшифровывать зашифрованный текст снова и снова. В обычной операции у вас есть один шанс. Чтобы заставить пользователя/систему снова расшифровать, может потребоваться дополнительная атака с ошибкой или какой-либо другой механизм в протоколе...
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.