Рейтинг:0

Режим AES XEX: продемонстрированы кэш-атаки?

флаг az

Предположим, что AES работает в режиме XEX, поэтому мы шифруем открытый текст. $х$ как $E_K[x \oplus k_1] \oplus k_2$ куда $E_K$ это обычный блочный шифр AES (предположим $х$ имеет размер блока).

Предположим, что реализация AES уязвима для атак на канал на стороне кэша. Были ли продемонстрированы какие-либо атаки против этого режима XEX AES? Мне кажется, это довольно сложно, потому что злоумышленник не знает ни входа, ни выхода в $E_K$.

Рейтинг:2
флаг my

Предположим, что реализация AES уязвима для атак на канал на стороне кэша. Были ли продемонстрированы какие-либо атаки против этого режима XEX AES?

На самом деле, XEX не сильно усложняет атаку по побочному каналу.

AES использует первый подраздел как операцию XOR к открытому тексту; он использует последний подраздел в качестве окончательного XOR для генерации зашифрованного текста. Следовательно, AES-XEX можно рассматривать как обычный AES, за исключением того, что для первого и последнего подразделов заданы произвольные значения.

Это означает, например, что ваша атака по побочному каналу позволяет восстановить первый подключа для AES-128, который не дает вам сразу весь ключ. Тем не менее, вы все равно можете логически отделить внутренние операции AES, пока не доберетесь до второго AddRoundKey и не атакуете его (используя ту же атаку по побочному каналу); получив это, вы получите (для AES-128) все...

kelalaka avatar
флаг in
Пончо, насколько я знаю, атаки кеша концентрируются на ключе первого раунда. Знаете ли вы такой, который не использует ключ первого раунда?
poncho avatar
флаг my
@kelalaka: на самом деле, в этом случае вы всегда атакуете «ключ первого раунда»; однако то, что первый раунд меняется. Во-первых, вы атакуете логический «ключ первого раунда» (который на самом деле является ключом первого раунда AES, подвергнутым xor'ированию с начальным xor XEX). После того, как вы восстановите это, вы обрабатываете шифр как цикл AES 9/11/13 с некоторыми общедоступными операциями впереди (начальный xor XEX и первый раунд) и атакуете ключ первого раунда этого закороченного AES (который является ключ второго раунда настоящего AES)
kelalaka avatar
флаг in
Да, это правда, однако моя истинная точка зрения такова; насколько реально атаковать второй раунд, ведь нужно ловить переключение контекста на процессоре...
poncho avatar
флаг my
@kelalaka: «нужно поймать переключение контекста на ЦП» - я полагаю, вы неправильно понимаете атаку кеша, когда вы разрешаете шифрование всего блока, а затем определяете (по тому, что находится в кеше), к каким областям был доступ) - регионы, затронутые вторым раундом, будут в кеше так же, как регионы, затронутые первым раундом
kelalaka avatar
флаг in
Это то, что я знаю, проблема заключается в том, как можно быть уверенным, какой раунд происходит при шифровании в реалистичной модели, а не в идеальной модели, где противник может менять кэш за раунд. Хорошо, я должен вернуться и прочитать некоторые статьи...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.