又一次新的AES攻击

一次新的、令人印象深刻的攻击俄歇电子能谱刚刚宣布。

在过去的几个月里,有一直 (第二篇关于在这里)新的密码分析论文。报纸上的攻击是不实际的——它们太复杂了,它们是相关的关键攻击,它们反对更大的密钥版本,而不是大多数实现使用的128位版本——但它们仍然是令人印象深刻的工作。

这次新的攻击,亚历克斯·比柳科夫,奥尔·邓克尔曼,内森·凯勒,德米特里·霍夫拉托维奇,Adi Shamir更具破坏性。这是对10轮AES-256的一次完全实用的攻击:

摘要。
AES是最著名和使用最广泛的分组密码。它的三个版本(AES-128,AES-192标准,和aes-256)的密钥大小不同(128位,192位和256位)以及它们的轮数(10,12,14,分别)。对于AES-128,没有比2更快的已知攻击一百二十八详尽搜索的复杂性。然而,AES-192和AES-256最近被证明可以被需要2个一百七十六和2119时间,分别。虽然这些复杂性比详尽的搜索要快得多,它们完全不实用,而且似乎不会对基于AES的系统的安全造成任何真正的威胁。

本文描述了几种可以突破实际复杂度变化的AES-256攻击,其轮数与AES-128相当。我们的一个攻击只使用两个相关密钥和2三十九恢复9轮版AES-256的完整256位密钥的时间(以前对此变体的最佳攻击需要4个相关密钥和2个一百二十时间)另一次攻击可以使10轮版本的aes-256在2四十五时间,但它使用了更强大的相关子键攻击类型(以前对该变体的最佳攻击需要64个相关键和2个一百七十二时间)

它们还描述了对11轮AES-256的攻击,需要2个七十时间——几乎实用。

这些新的成果大大改善了比柳科夫,霍夫拉托维奇,以及上面提到的Nikolic论文,和A2000年我和其他六个人一起写作,在2中,我们描述了针对9轮AES-256(当时称为Rijndael)的相关密钥攻击224个时间。(这再次证明了密码学家的格言:攻击总是会变得更好,他们不会变得更糟。)

根据术语的任何定义,这是一个巨大的结果。

不要惊慌有三个原因:

  • 这种攻击利用了这样一个事实:256位版本的密钥调度非常糟糕——我们在2000年的论文中指出了这一点——但没有扩展到使用128位密钥的AES。
  • 这是一个相关的关键攻击,这就要求密码分析员能够访问以特定方式与多个密钥相关的明文。
  • 这次攻击只击破11发AES-256。完整的AES-256有14发子弹。

那里不太舒服,我同意。但这就是我们所拥有的。

密码学是关于安全裕度的。如果你能打破n一轮密码,你用2设计它n或3n子弹。我们正在学习的是,不良事件的安全裕度比以前所认为的要低得多。虽然没有理由为了另一种算法而放弃AES,NST应增加所有三种AES变体的轮次。在这一点上,我建议使用16发的AES-128,20发的AES-192,以及28发的AES-256。或者更多;我们不想一次又一次地修改标准。

对于新的应用程序,我建议人们不要使用AES-256。AES-128为可预见的未来提供了足够的安全保障。但是如果你已经使用了AES-256,没有理由改变。

我的报纸还是草稿。它正在密码学者之间传播,几天后就可以上线了。我一有链接就发布。

更新添加(8/3):论文公众的.

发表于7月30日,2009年上午9:26•142条评188滚球网站论

188滚球网站评论

俄歇电子能谱7月30日,2009年上午10:16

我建议16发时发射AES-128,20发的AES-192,以及28发的AES-256。

这意味着AES的速度几乎是其速度的两倍,因此,AES-128的运行速度大约为25-30 cpb。我担心的是,用户会开始拒绝该标准,转而选择更快的替代标准。

佩利乌斯7月30日,2009年上午10:20

但我们不是一直以为国家安全局知道这些袭击吗?有点像十年前,我们意识到我们应该用三重DES来代替。不管怎样,AES可能会在很长一段时间内满足普通用户的需求。然而,具有高安全需求的人将/应该继续依赖由各种工具组成的安全模式,而不是单一的安全解决方案,如密码术。

俄歇电子能谱7月30日,2009上午10点22分

我建议16发时发射AES-128,20发的AES-192,以及28发的AES-256。

关键时刻表和s-box(代数性质)是什么呢?如果它们被固定到,以防万一吗?

凯西7月30日,2009上午10点41分

如果出于安全考虑,我们必须增加轮次,我想知道这是否意味着我们需要更严肃地看待蛇。IIRC这被认为是提交给AES的算法中最安全的一个,我认为拒绝的要点是速度(不要引用我的话,我很好我错了。

我不是说我们现在或不久的将来应该更换AES。我只是建议我们可能要有一个备份计划,如果向AES添加更多轮数是唯一的解决方案,也许蛇给了我们一个更好的安全裕度。

道格7月30日,2009上午10时52分

所以如果我读对了(还没看过报纸),由于这种攻击的性质,AES-128实际上比AES-256更难破解?

克里斯7月30日,2009上午11点23分

但我们不是一直以为国家安全局知道这些袭击吗?

DES是由国家安全局内部开发的,在发布之前没有进行过多的分析。虽然国家安全局认为从“关键尺寸”的观点开始是错误的,但它的发展并不是一个公开的讨论。

另一方面,AES是从几十种公开提交的算法发展而来的,任何一方都可以通过分析这些算法来查看它。Rijndael之所以被选中是因为当时它似乎是最好的。但并没有人密谋将Rijndael推为算法,因为人们知道它有缺陷。尽管他们很好,很难假设国家安全局的密码破译师是如此的优秀,以至于他们会找到世界其他地方的密码专家会错过的东西。

鲍比G。7月30日,2009上午11时39分

对我来说,这表明我们永远不能完全相信没有未知的更好的攻击。虽然我们不能假设国家安全局(或类似机构)有更好的专家,我们可以把一些可能让一些人不舒服的东西串在一起。像这样的机构财力雄厚,没有直接把重点放在利润上,而且很可能拥有和其他机构一样优秀或更好的专家。像这样的机构不太可能公开宣布他们的能力。我认为,在法律案件中,如果他们不清楚自己是否具备这种能力,他们就不能真正地运用这种能力。因此,它们可能仅限于秘密使用。

匿名7月30日,2009上午11点50分

布鲁斯公司早在2000年就主张对Rijndael进行更多的谈判(//www.nfpville.com/paper twofish final.188滚球网站pdf)。或者,他们应该选择两条蛇来代替…

K.信号信号7月30日,2009年12:13下午

在我看来,这确实显示aes-256比128弱,但是,只有满足列出的前提条件——也就是说,加密方法的执行次数比标准的少,而攻击者已经有了一些相对较难获得的信息。我想知道一个人怎么知道有多少发子弹在使用,尽管如此,以及攻击者是否知道这个数字很重要。

蓝色月亮7月30日,2009下午12点20分

我认为这一对AES的新攻击可能会使NIST避开基于AES的哈希,即使攻击和散列之间可能没有直接关系。

加布里埃尔·根斯特特7月30日,2009下午12点21分

@ K.信号:一种简单的检查方法是查看正在运行的任何实现的源代码。例如,循环AES实现显然使用了14轮,我猜大多数其他实现也会这样做。

但是,我不确定循环AES使用65个键而不是1对这次攻击有什么影响。

布鲁斯·施奈188滚球网站尔7月30日,下午2009点13分

“这意味着AES的速度几乎是……的两倍。”

不。会慢50%。现在AES-128有10发子弹。

保安不是免费的。

布鲁斯·施奈188滚球网站尔7月30日,下午2009点15分

“但我们难道不认为国安局早就知道这些袭击了吗?”

事实上,美国国家安全局批准使用原子能机构的秘密所以他们要么不知道这次袭击,要么不在乎。或者想让我们都认为他们不能打破它,并且愿意牺牲他们的秘密来保持这种信念。

车轮内的车轮….

布鲁斯·施奈188滚球网站尔7月30日,2009下午1:17

“那么键计划和s-box(代数属性)呢?如果它们被固定到,以防万一吗?”

修复256位密钥调度是很好的,但这是一个更复杂的变化。增加回合是快速和容易的,只需要很少的思考。

布鲁斯·施奈188滚球网站尔7月30日,下午2009点20分

“如果出于安全考虑,我们必须增加轮次数量,我想知道这是否意味着我们需要更认真地看看蛇……我不是说我们现在或不久的将来应该更换AES。我只是建议我们可能要有一个备份计划,如果向AES添加更多轮数是唯一的解决方案,也许蛇给了我们一个更好的安全裕度。”

我们当然可以抛弃伊俄斯人,要么选择蛇,要么选择twofish。但是这些算法都有十多年的历史了,设计用于32位CPU。

我宁愿延长爱依斯的生命,并且让NIST——或者其他人——在完成sha-3之后,为替换算法举行一场新的竞争。

布鲁斯·施奈188滚球网站尔7月30日,2009下午1:22

“所以如果我读对了这篇文章(还没看过报纸),由于这种攻击的性质,AES-128实际上比AES-256更难破解?”

是和不是。两者都不能被打破。没有攻击任何优于暴力的AES变体;所有这些攻击都是针对减少的圆形变种。

也就是说,AES-256的关键计划非常糟糕。我建议人们使用AES-128而不是AES-256。

布鲁斯·施奈188滚球网站尔7月30日,2009下午1:24

“这向我表明,我们永远无法完全相信,没有未知的更好的攻击。”

当然。

关于对称密码的安全性,我们只能说我们不能破坏它,我们认识的其他人都没有承认能够打破它,要么。

布鲁斯·施奈188滚球网站尔7月30日,2009年下午1:28

“我很想知道一个人怎么知道有多少发子弹在使用,尽管如此,无论攻击者是否知道这个数字都很重要。”

轮数是固定的,不是键的一部分。这是公共信息。

在所有的密码分析攻击中,我们假设攻击者知道算法的所有细节。我们假设他们可以拆卸硬件,对芯片进行反向工程,恢复源代码,等等。

杰瑞米7月30日,下午2009点31分

“实际上,美国国家安全局批准使用原子能机构的秘密所以他们要么不知道袭击,要么不在乎。”

如果我记错了,他们批准了AES-192和AES-256作为最高机密。

我注意到你说这次攻击没有扩展到A188滚球网站ES-128,但没有提到AES-192。这与AES-128或AES-256更相似吗?

布鲁斯·施奈188滚球网站尔7月30日,下午2009点33分

“我注意到你说这次攻击没有扩展到A188滚球网站ES-128,但没有提到AES-192。这与AES-128或AES-256更相似吗?

新的攻击没有扩展到AES-192,但是前几个月的一些攻击——仍然是极其不可行的——确实如此。鉴于新的结果仍在迅速而激烈地到来,我还不愿意评论AES-192。188滚球网站

布鲁斯·施奈188滚球网站尔7月30日,2009年下午2:00

“你认为是时候开始做三面鱼了吗?”

作为第二轮沙三的候选人,我希望这项工作已经开始了。

RM7月30日,2009下午2点10分

让我重新思考,记住你的史诗《秘密与谎言》。我知道很多使用AES256的SSL证书提供者,因为数字“高于”128,所以一定是“更好”。

要热爱安全。

埃里克7月30日,2009下午2点16分

“在这一点上,我建议使用16发的AES-128,20发的AES-192,以及28发的AES-256。”

一个可能是“愚蠢”的问题,来自一个非密码学家:为什么你需要更多的子弹和更长的钥匙?你是怎么想出这些看似任意的数字来进行更多的回合的?

Br埃里克

哈尔7月30日,2009年下午2:39

我喜欢增加AES循环的想法。明年英特尔将推出带有AES加速的处理器,他们称之为aes-ni。这有一条实现AES循环的指令。它使AES如此之快,实际上是免费的,其他处理通常占主导地位。

增加AES轮数仍允许使用这些指令,你只不过多放了几个。在新的硬件上,AES仍然会非常快。

另一个要考虑的选择是,实际上将轮次的数量增加一倍,通过标准化单键双AES。(也就是说,c=aes(k,aes(k,p))加密p到c。)这将允许维持对aes硬件加密基础设施的现有投资。你仍然可以在Intel AES-NI上获得很好的速度。

吠陀7月30日,2009年下午2:53

一点点;

随着AES中不断发现漏洞,还有Sha,

我们能更新纸牌吗?

(即使有保罗·克劳利所描述的偏见,它看起来仍然很安全,但是需要多少工作才能休息,
与针对AES的攻击相关)

也,
科里·多克托罗密码结婚戒指大赛有没有赢家?

约翰斯顿7月30日,2009下午2点58分

您不能只向AES-128规范添加循环。它的10个回合在许多硅产品中被烘烤成许多硬件实现。

NIST可以指定一些新的SUPA-DUPA-AES-128,但它必须是新算法的新规范。现有的算法在使用它的数百万个产品中根本无法更改。

我知道没有硬件实现具有“更多轮数”寄存器。当你试图通过FIPS时,它只会产生问题。

布鲁斯·施奈188滚球网站尔7月30日,2009下午3点05分

一个可能是“愚蠢”的问题,来自一个非加密者:为什么你需要更多的子弹和更长的钥匙?你是怎么想出这些看似武断的数字来进行更多的回合的?”

好问题,事实上。两者的元答案都是:扩散。当分组密码被破坏时,它们总是由于扩散失败而损坏。更多的子弹给你的是更多的扩散。

AES-256需要更多的轮次,原因有两个。一,钥匙的长度是原来的两倍,所以需要更多的回合来获得密钥的完全扩散。AES-256密钥调度在这方面特别糟糕,所以需要更多的子弹。14发还不够。

二,没有人比暴力更关心攻击。因为AES-256更难暴力使用,它需要抵抗比AES-128更复杂的攻击。

关于第二个问题,选择密码的轮数是经验和猜测的结合。AES 10轮,12,14个是武断的,但代表了设计师对什么是安全的最佳猜测。在我2000年的论文中,我建议大幅度增加子弹数量,基于当时我的最佳猜测。

我上面给出的建议——16,20,28——旨在恢复AES的安全缓冲。它们在我的头顶上,当然不是这个话题的最后一句话。我相信这第三篇文章并不是关于这些攻击的最后一句话——在接下来的几个月里会有进一步的改进——需要进一步的讨论。

布鲁斯·施奈188滚球网站尔7月30日,2009下午3点07分

“您不能只向AES-128规范添加循环。它的10个回合在许多硅产品中被烘焙成许多硬件实现。”

同意。我们必须缓慢而小心地迁移规范。但是,尽管给原子能发射系统增加弹药是很困难的,用一个全新的算法替换AES将更加困难。

布鲁斯·施奈188滚球网站尔7月30日,2009下午3点09分

“另一个需要考虑的选择是,实际上将轮次的数量增加一倍,通过标准化单键双AES。”

这是个聪明的主意。速度减半,但标准化要容易得多。

俄歇电子能谱7月30日,2009下午3点18分

>>“要考虑的另一个选择是将有效的轮数增加一倍,通过标准化单键双AES。”

这是个聪明的主意。速度减半,但标准化要容易得多。

但它安全吗?两个des可以在中间的攻击中被打破。至于有三个aes,我想这是慢下来的方法。

布鲁斯·施奈188滚球网站尔7月30日,2009年下午3:20

“但是它安全吗?双DES可以在中间的攻击中被击破。”

单键双AES。中间相遇攻击打破了2个关键变种。

鲍比G。7月30日,2009下午3点48分

我很好奇这些攻击通常采取什么形式。它们远远超出了我的数学能力,但它们通常是以数学证明的形式出现的吗?或者他们通常会提出一个如何实施攻击的算法?我希望他们不会真正演示攻击,因为即使有大量的CPU资源,这也需要很长的时间。还是我错了?

哈尔7月30日,2009年下午3:51

双DES的原因是使密钥更长。常规DES只有56位密钥。将其加倍,目的是提供2*56或112位强度。在中间相遇攻击击败这个目标,两键双DES的密钥强度仍然只有56位左右。

将AES加倍将有一个不同的目标:不增加密钥大小,但要使密码在密码分析中更强大,实际上要给它更多的回合。中间的会议不适用。

但我突然想到香草双色用同一把钥匙,与发射次数是发射次数的两倍的AES不同,因为关键时刻表是不同的。您可以通过使第二个AES实例的密钥基于第一个实例的最后一个循环密钥来近似双循环AES的效果。但这很困难,因为硬件实现不会吐出最后一轮的密钥。

这一点当然需要更多的思考。

丹尼尔7月30日,2009下午4点12分

“密码学是关于安全裕度的。他说:“这是一个很好的选择。”

在AES竞赛中,一些团队主张使用安全边际——例如:轮数除以最佳攻击轮数——作为选择标准,可能会受到青睐,例如在日月潭上空的蛇。NIST没有遵循这一想法。

布鲁斯事后诸葛亮,随着sha-3的出现:计算出的安全裕度是一个有用的选择标准吗?

兰德尔7月30日,2009下午4点34分

@Bruce:既然攻击是针对aes密钥计划的,也许我们应该考虑关键的时间表改进,而不是原始增加的轮数。

Whirlpool使用的“w”密码,例如,在键计划中使用Round函数本身。其中一位作者是AES设计师,它已经发表了一段时间了。

仅仅调整密钥调度就可以在使用单个密钥加密大量数据的应用程序中保持速度,而且,这似乎是对未来关键时刻表攻击的更多保险,而不是轮数的增加。

也许我们应该要求NIST对AES-2提出建议,AES的增量强化(但不是完全重新设计)?

兰德尔7月30日,2009下午5点03分

巴洛克风格,但是有点向后兼容的选项:咀嚼原始密钥,这样攻击者就无法控制进入弱密钥调度的内容。我说的是将其转化为改进的AES的定义,不是协议级别更改。

哈希函数可以是aes-ctr,Sha-2/3,减少(?)回合,或者一些特殊用途的东西。它只需要足够强大,攻击者肯定无法将系统差异输入到AES密钥计划中,而且需要快速、简单,并且可以轻松地放到所有使用AES的环境中。

MTGAP7月30日,2009下午5点14分

国家安全局使用192位和256位AES作为最高机密信息,然而128位比256位更安全。隐马尔可夫模型。


根据2000人(http://www.cryptosystem.net/aes/),国家安全局已经可以打破不良事件。所以也许我们应该停止使用它。:p

作记号7月30日,2009下午5点31分

@chris:“DES是由国家安全局内部开发的,在发布之前没有进行过多的分析。”

事实上,DES由IBM设计,作为对Lucifer密码的修改。国家安全局审查了它,并建议修改S盒,将密钥大小从80位减少到56位。所以国家安全局参与了这个结果,但这本身并不是国家安全局的设计。(见http://en.wikipedia.org/wiki/data_encryption_标准,例如)

7月30日,下午2009点6分25分

事情会发生的。这既让我害怕,又让我觉得更安全。一方面,数十亿人依靠它来保护银行数据,SSNsDMV数据库,等。

另一方面,它需要测试。我们需要这样的人,这样我们就不会被引诱到错误的安全感中。更多的是出于偏执狂,我使用三重加密(truecrypt):aes,screen,twofish。如果我对法律专业人员笔记本电脑上的软件选择有完全的自由裁量权,我会努力的。

系统加密将仅为AES(出于速度原因)。但是里面所有的加密容器都是三重的。

西方异教徒7月30日,下午2009点33分33分

@brad conte:当我选择aes twofish作为我的truecrypt分区时,他们说我疯了。

如果我错了,有人纠正我:

如果我理解这一点,因为这是一个相关的关键攻击,它对于像TrueCrypt卷那样攻击单个加密文本没有用处。为了使攻击有效,攻击者需要访问许多对明文和相应的密文,这些密文用与目标密钥数学上相关的密钥加密。

用TrueCrypt音量,攻击者通常只能访问密文,并且没有明显的方法来生成任何相关的键。

我认为主要的危险是网络系统,自动生成大量密钥,在那里可以自动获取大量的明文/密文对。

斯科特康蒂尼7月30日,下午2009点26分26分

也许可以考虑根据轮数或关键时刻表对AES-192或AES-256进行更改,但是那些建议放弃整个算法的人反应过度了。

几天前我把这个贴在sci.crypt上,我认为值得在这里转载:

当Rijndael被选为AES时,人们对该算法有三个担忧:

1。关键时刻表看起来很危险。例如,见论文“改进”
《Rijndael的密码分析》,弗格森等或者L.May等人

2。192位和256位版本的密码的轮次数。我记得沙米尔在一次会议上说,他担心超过128位密钥大小的子弹数量,他预计在将来会有一次对AES-192或AES-256的理论攻击,这在实践中不会威胁到它,但会引起不良的宣传。他建议AES-192有15发子弹
和AES-256有20发子弹(如果我没记错的话)。沙米尔的预测是100%正确的。

三。代数攻击。我认为关于这个话题的第一篇论文是“一个简单的
“Rijndael的代数表示”,由Ferguson等人,但后来,考特瓦和皮普兹克的论文发表了,还有墨菲和罗布肖。

决定不改变原提议。但事实证明,根据上述第1或第2条所做的改变是一个好主意,或许可以抵御目前的袭击。

(两篇弗格森等人的论文都让施耐尔成为合著者之一)188滚球网站

斯科特康蒂尼7月30日,2009下午10点01分

我听到很多关于“安全边际”的讨论。我只是提醒大家,沙一号的安全系数非常大,直到王等终于知道如何攻击它,然后设计很快就失败了。在这种情况下,困难在于弄清楚如何分析该死的东西,因此,明显的安全边际给人一种虚假的力量感。安全利润率很高,但不能完全依靠它们。理想情况下,我们需要的设计不仅具有良好的安全性,但也有其他一些值得信赖的理由。例如,Rijndael对差分和线性密码分析的良好抵抗是一个很好的理由(糟糕的是,这种设计理念没有延续到关键的时间表上)。

布拉德·孔特7月30日,2009年11:02 PM

@西方异教徒
>如果我理解这一点,因为这是一个相关的关键攻击,它对于像TrueCrypt卷那样攻击单个加密文本没有用处。为了使攻击有效,攻击者需要访问许多对明文和相应的密文,这些密文用与目标密钥数学上相关的密钥加密。

这有点似是而非。如果TrueCrypt在生成密钥时有缺陷,我连续创作了多卷,攻击者能够访问可能应用的几个卷的内容(比如我离开了装载的卷并离开了房间)。

但你的观点是正确的,TrueCrypt卷不是这里感兴趣的主题。然而,我的意图是幽默,不要宣扬爱依斯和托菲什分层的优越性。;-)

戴维瓦格纳7月31日,2009上午12时37分

我想我不同意增加原子弹发射次数的建议。AES仍然很好,只要你使用得当。这些攻击仅适用于相关的关键威胁模型。但对于大多数AES应用(例如,对于加密,只要正确使用AES,相关的关键攻击是不可能的。这需要设计您的协议,以避免引入相关密钥攻击的机会,但这是最近解决的问题。

如果你想把它放在理论密码学上:作为一个伪随机排列(prp)。爱依斯仍然很好。坚持那些只依靠AES作为prp的协议,你会没事的。如果您以某种方式使用AES,那么整个系统的安全性只能通过假设AES是所谓的“理想密码”(基本上,随机Oracle模型的分组密码等价物)。然后是的,你可能有麻烦了——但在我看来,不管怎样,这从来都不是什么好主意,给出了AES密钥计划的早期结果。

关于可能受到影响的AES的唯一主要用法(就我现在所见)是在某些哈希操作模式中使用AES(例如,戴维斯·迈耶。但在大多数系统中,可能不太需要以这种方式使用AES,假定存在为此目的设计的专用哈希函数。

所以,底线:伟大的研究,但我不相信我们需要改变标准。

克莱夫·罗宾逊7月31日,2009年2:58 AM

@布鲁斯·施耐尔188滚球网站,

“实际上,美国国家安全局批准使用原子能机构的秘密所以他们要么不知道这次袭击,要么不在乎。或者想让我们都认为他们不能打破它,并且愿意牺牲自己的秘密来延续这种信念。”

从历史的角度来看,

众所周知,美国投入使用的一些密码系统与“周密钥”有关。

在这一部分的关键空间是非常星期和它的一部分强大和其他之间的部分。

关于为什么最令人信服的是,这些设备会落入爱慕之手,要么被他们使用,要么被他们复制和使用,有各种各样的建议。因此,“我们知道避免的关键,但他们不知道”

人们还知道,加密公司在系统设计方面得到了国家安全局的“建议”,可以去其他国家。

这种“重用”的思想使它达到了顶点,最终的系统是适度强大的,但即使是微小的变化也会显著地削弱它。

因此,正如我们在英国所说的,当涉及到周关键系统时,“以前的”。

克莱夫·罗宾逊7月31日,2009凌晨3点33分

在历史模式下,一个问题不会再次引起人们的注意,

“NIST什么时候醒来闻咖啡的味道?”

DES有一个问题,那就是它是一个“一刀切”的解决方案。早在涉及政府加密的DES之前,它就被认为是一个严重的“工程”问题。当加密成为更标准工程的一部分时,它很快就变得清晰起来。

NIST至少对AES中的规模问题口头表示了支持,但这是错误的做法,这就是为什么我们有这个和以前的线程。

早在AES之前就知道,它不仅是一个“大小”问题,也是一个“风格”问题。

也就是说,有些系统只需要一点点安全措施,而其他系统则需要很多安全措施。

同样的,一些系统必须是非常廉价的,而其他一些系统则几乎不受欢迎。

例如,运输支付卡和其他低值支付卡需要非常便宜,才能有效推出。他们不需要在100年内保持安全。

同样,“消费者”产品设计遵循查尔斯·摩尔定律,设计最多在四年内过时。

AES几乎没有对低值支付卡做任何操作,这是在它们中使用这种垃圾加密的原因之一,我们了解到它们是如何被破坏的。

这也是一个众所周知的问题。

你只需看看Sky和卡克隆器之间的战斗,就可以看到这一点应用于“消费者级加密”。

NIST需要阻止这种“冠军冠军”式的竞争,这种竞争可能会对工业造成危害,事实上,所有人都会继续他们应该做的事情,这是有助于避免阻碍的。

我已经说过很长一段时间了,也许NIST应该为工业做的最重要的事情是为加密和其他安全开发一个“框架”,其中“大小”,“风格”和“过时”应清楚地被视为需要解决的主要问题。

然后,他们可以重新开始为行业现在和未来所需的框架结构中的不同插槽进行“加密竞争”。

在人们说“这不实际”之前,我会提前告诉你“醒来闻咖啡”

在欧洲,我们看到的系统间操作的经验比你在美国的经验要丰富,这也是为什么你有如广告所说的那样工作的GSM电话,当行业认为这些功能会产生收入时,也会增加这些功能。

克莱夫·罗宾逊7月31日,2009点4:15

@ Brad Conte,西方异教徒,

“当我为我的TrueCrypt分区选择aes twofish时,他们说我疯了。”

硬盘加密实际上是一个非常困难的问题,它与加密模式的关系比单独的加密类型(如des)大得多。俄歇电子能谱,TWFISH等。

例如,你有两个共同的问题,

1,块的访问速度
2,深入攻击。

历史上,解决第一个问题的方法是使用某种具有偏移能力的流密码。

然而,地球上最后一个使用流密码的地方是可能进行深度攻击的地方。

同样,历史上,您将用于第二个问题的解决方案是链接模式中的块密码。

但是对于快速访问,这是您在硬盘上或在硬盘上做的最后一件事。

一种可能的解决方案是使用一组模式,如基于另一种模式(如ctr)使用iv链接单个块。但这反过来又有它自己的问题。

所以“西方异教徒”的问题,

“如果我理解这一点,因为这是一个相关的关键攻击,它对于像TrueCrypt卷那样攻击单个加密文本没有用处。为了使攻击有效,攻击者需要访问许多对明文和相应的密文,这些密文用与目标密钥数学上相关的密钥加密。”

在一个加密容器(尤其是快照)中,根据HD加密设计器执行任务的模式和方式以及业务驱动程序的位置,这些条件中的大多数都可能是真的。

记住,和WEP一样,设计师可能是Endevor领域的专家,但不是密码领域的专家,正如苹果最近在3GS iPhone上展示的那样(像布鲁斯,我想看到更多关于该攻击的内容)。

这让我们想到网络和硬盘之间的“西方异教徒”差异,

“我认为主要的危险在于网络系统,自动生成大量密钥,在那里可以自动获取大量的明文/密文对。”

这也适用于存储阵列等非常大的卷上的HD加密。

正是由于这一点和许多其他问题,存储加密是一个非常困难的问题,可能比“数据库”更重要,因为“数据库”表面上有HD加密问题的一个子集。但你应该听到那个小声音在问“嘿,他们不是储存在硬盘里的吗?”)

关键是,所有的问题或解决方案都不能孤立地考虑,而你在设计阶段就陷入了令人愉快的N^2/2问题中……

正如Brad所指出的,

“TrueCrypt卷不是这里感兴趣的主题。”

一般来说,高清加密也不是,这是一个主题,需要很多线索,金宝搏博彩公司书籍等(而且已经这样做了)。

BF剥皮机7月31日,2009点5分31分

@peleus“,但我们不认为国家安全局一直都知道这些袭击吗?”

国家安全局拒绝调查结果的动机在哪里?我有没有听说错误的AES已经被清除为最高机密加密?我知道秘密使用。

@clive“crypto ag收到了国家安全局的“建议”

对于AG来说可以说是真的,我听过这个故事,听起来对我来说是对的。但是,破坏其他人的交流和自己的交流是有区别的。虽然美国国家安全局可能有权在海外阅读美国邮件(他们不会说),但AES是所有政府加密(假定不在军事通信范围内)的强制性标准。如果他们不停地给我们提供信息,如果妥协,将对美国造成极其严重的损害,使其受到车轮内车轮以外的弱密码的保护。很可能是犯罪或叛国。

克莱夫·罗宾逊7月31日,2009时5:46

@布鲁斯,

你可以说这是一个等待国民健康保险制度缓慢的一天…

关于你的快速评论,188滚球网站

“增加回合既快又容易,只需要很少的思考。”

我听起来很挑剔,但我必须不同意你们在这里说的话。

它应该是“只需要很少的资源”

如图所示,2-des对小“思想”产生了新的攻击。

真正的问题是密码,它的协议是Endevor的一个非常专业的领域,在许多方面与量子物理学很相似。

使用这两个领域产品的人是其他科学家和工程师。

科学家有深度(但很少呼吸),工程师有呼吸(有时也有深度)。

总的来说,工程师们将加密和量子的产品视为“现成的”构件。

这是一种“资源”,他们把这种资源视为“做它在包上所说的事情”。

在大多数情况下,他们给出的任何想法都是如何有效地将其应用到他们目前正在设计的任何东西中。他们一般不会质疑这是基本行为,除非出现问题,或是相关的活动,比如起草“用户/测试用例”,集中在它上面。

我知道这是错的,但在一天结束的时候,你只有24小时,其中“男人”付你八块钱,即使你已经工作了12年,只是为了满足“男人”的要求,保住你的工作。

克莱夫·罗宾逊7月31日,2009点6:10

“密码学是关于安全裕度的。”

虽然它确实隐藏了许多棘手的问题。

首先,故意(而不是偶然)的保证金意味着设计师知道它是必需的。

因此,他们也有理由相信自己知道“为什么”。

第一个问题是“为什么”是已知的攻击和可能的攻击。未知或不了解的攻击。

第二个问题是正如布鲁斯在过去用hash所观察到的那样。对一种攻击进行强化有对其他攻击进行削弱的习惯。

也就是说,不仅在速度和效率上存在“权衡”,而且在加密算法的强度方面也存在“权衡”。

也许(尽管我不能立即看到一个有效的论点),当以不同的方式检查“扩散”时,从增加的回合中增加感知的“扩散”量可能会产生相反的效果。

加密设计师在选择利润率和多少的时候需要记住所有这些。

相当于在黑暗中用未知的设备在未知的地面上与未知的对手进行未知的游戏。

正如中国人所说,“愿你生活在有趣的时代”。

马克R7月31日,2009年上午6:29

西方异教徒说:

“我认为主要的危险在于网络系统,自动生成大量密钥,在那里可以自动获取大量的明文/密文对。”

我是否认为运行ssl/tls的Web服务器完全符合此描述?

克莱夫·罗宾逊7月31日,2009年7:03 AM

@bf斯金纳,

“但是,破坏其他人的交流渠道和自己的沟通渠道是有区别的。”

啊哈,我没有说清楚。

拥有一个系统,其中20%的关键空间是非常强大的,20%的系统是非常脆弱的,这就是“如果你知道”你坚持在“非常强大”组的关键。您只需设计系统,使20%的键空间能够满足您可能的需求。

但是,如果您的位置不知道,那么它们将以随机方式使用来自整个键空间的键。因此,有时他们会使用非常强的密钥,但就像他们使用一样多的非常弱的密钥(5条消息中的1条)。

国家安全局的优势不仅仅在于能够通过非常弱的密钥访问20%的信息。这些消息中的所有信息使您能够开发出“信号知识”,这将在打破用强密钥加密的60%消息方面提供重要帮助。

你可能不知道(我也没有提到)的一个重要事实是,美国政府使用的所有键盘都来自于国家安全局,直接或间接地通过他们开发的系统。因此,这将确保美国政府只使用非常有力的钥匙。

所以不,他们不会让自己面临叛国罪的指控。

正如我所说,不幸的拱顶石系统采用了密码设计,正如许多观察家所说,这是非常脆弱的。也就是说,当加密算法的各个组成部分按照国家安全局将它们组合在一起的方式使用时,它就很强大。但是,即使是非常小的、非常微小的变化,也会极大地削弱结果。

我觉得很难相信,国家安全局是偶然达到这样一个设计的。

叶子“opps”在阳光下闻起来像一条红鲱鱼。对那些有责任把它放进去的人毫不缺乏尊重,但这有点太明显了。这就是为什么人们很快就发现了“四处走动”的原因。对国家安全局的好处是,它给了大多数人一种错误的安全感,如果使用它,不会妨碍他们的活动。

我怀疑,当检查时,您会发现在密钥空间中也存在可利用的问题,在同等程度上,密钥非常强和弱,而大量密钥则很强。

在(开放)实践中,目前只有三种切实可行的方法来攻击正在使用的加密系统,

1,关键空间攻击
2,旁道攻击
三,深度攻击。

最后一个是众所周知的,对于高级通信来说,通过各种密码模式可以大大减轻。除了“消费者”级通信和其他“消费者”使用加密技术之外,它不是一个利克利攻击途径(参见我对高清加密的评论)。188滚球网站

第二个是一个实现问题,尽管在AES(循环展开/cache/etc)期间忽略了众所周知的AES的prio。因此,对正在使用的“消费者级”AES系统存在非常实际的攻击。然而,这些攻击不可能仅仅因为它们是众所周知的(emsec/tempest)而对政府级系统起任何作用。

这使得“关键空间攻击”成为国家安全局和全球通信总部等机构在二级政府及其加密系统方面将要涉足的领域之一。

正如我所指出的,“国家安全局在这一领域有过先例”,尽管它并不广为人知。

现在,在你把我说成“阴谋疯子”之前,试着把自己放在国家安全局的位置上。它们有两个相互冲突的主要目的“保护我们”通信“中断非美国”通信。

早在国家安全局存在之前就已经知道,你的系统是“为社会所知的”,即使在现代,人们也会出于纯粹的“人类”原因将信息传递给社会所。

问自己“我如何完成这两项任务,我知道我的系统是已知的。”

然后想想Nicley的“关键空间”攻击如何解决问题…

哦,如果你能想出一个更好的方法,让它自由发言,因为“开放加密”社区会感谢你。尤其是因为它将为他们提供一个新的研究领域;)

戴维7月31日,2009年上午8:23

我不理解布鲁斯关于AES-256比AES-128更难暴188滚球网站力的评论。

强制使用128位密钥需要,平均来说,大约4 x 10^36次尝试。如果我们假设攻击仅限于100亿年,大约需要3 x 10^17秒来攻击它。这意味着有必要尝试每秒10^19个密钥,以获得平均每100亿年中断一个128位密钥。如果一台机器能在纳秒内尝试一把钥匙,这意味着我们需要100亿台机器,我们必须有办法在太阳死后给它们供电。如果我们想在十年内强行实施,这是100亿台机器。

我认为这实际上是不可能的。说一把256位的钥匙更难蛮力,就像说在太平洋上游泳比在大西洋上难一样。

萨姆·特伦霍尔姆7月31日,上午2009时45分45分

布鲁斯

我记得几年前你对“低功耗计算机不会消失”的影响发表了评论,188滚球网站但最终会在其他地方结束”;例如,8位处理器最终出现在汽车的控制系统中。

的确,虽然现代计算机大体上有64位处理器,许多上网本CPU没有这种支持,大多数手机使用的ARM处理器也不是。此外,64位软件仍然不是很常见,对于试图使用64位操作系统的人来说,软件支持存在问题;现在大多数Windows安装仍然是32位的。

记住这一点,我有点失望,因为还没有做更多的努力来制作一个真正的32位版本的3efish/skein。Skein论文指出这是可能的。从第5.4节:

“所有版本的skein都用64位字指定。字大小可以看作是一个可调参数;我们可以用32位单词定义skein变量。这种变体在32位CPU上运行得更快,但在64位CPU上速度明显较慢。”

我想看到的一件事是更好地支持传统的32位处理器。这是我喜欢凯卡而不是斯金的原因之一,因为他们的论文确实描述了如何生成32位版本的哈希。

兰德尔7月31日,2009下午1:36

@sam:今天32位代码的skein可以得到20 cpb。如果它是平行的,你可以得到10 cpb多一点。这是因为所有32位桌面处理器(甚至一些ARM芯片)都有指令可以对64位数字进行数学运算。

我认为斯金队做出了一个合理的决定。对于低端硬件,skein没有任何真正的交易断路器——没有64位乘法或8x64s-box等。使用64位加法在NIST的64位参考平台上是一个巨大的速度增益。希望它们默认为树模式,但你不能拥有一切。

兰德尔7月31日,2009年下午1:43

呃,我说“所有32位桌面处理器”都有这些指令,但我的意思是所有最新的x86处理器,台式机和移动设备(Intel Atom,等等)。可能有一些嵌入式处理器还没有。SSE2中的64位指令在2001年首次出现在奔腾4中。

怀疑7月31日,2009下午5点22分

以下是TrueCrypt论坛的主题。那边有个叫“hiu”的家伙,他真的把布鲁斯关于这个话题的报道写进去了。因为我不是专家,我想看到两个阵营之间的一些争论。一个非专家真的不能得到任何有意义的理解,如果你有一方在这里和另一方在另一个论坛上交谈。

http://forums.truecrypt.org/viewtopic.php?t=16870

乔C7月31日,下午2009点14分14分

在Slashdot上阅读有关此的有趣评论188滚球网站。我想复制粘贴在这里。布鲁斯我相信你在一次黑帽/德福康会谈中提到过这一点,他说有理由相信国家安全局可能有更好的方法来提前计算安全边际。

报价:

“对DES最好的攻击比蛮力高出16发15发。然而,在整个16轮比赛中,对DES最好的攻击是蛮力。同样地,对skipjack的最佳攻击是32发中的31发。在这两种情况下,国家安全局都相当参与算法的开发,而它们恰好没有“安全边际”。或许这意味着国家安全局对学术部门发展的方法(如不可能的差异密码分析)一无所知。或许这意味着国家安全局愿意在确保政府通信安全方面迅速而宽松地发挥作用。或者,也许,这意味着国家安全局确切地知道这些算法有多强大,不需要依赖“安全边际”等特殊措施。我不知道,但是,AES-192/256被指定为最高机密,而AES-128被指定为机密,这一事实使我怀疑,国家安全局对AES的实际安全级别所了解的远比密钥大小所显示的要多。”

来源:http://tech.slashdot.org/188滚球网站comments.pl?sid=1322099&cid=28904549

7月31日,下午2009点24分

我只对作为最终用户/系统实现者的密码技术感兴趣,不是设计师,所以下面的文章就是从这个角度出发的。

很长一段时间(在AES之前)每当我需要加密时,我用过河豚。在出现aes之后,出于惰性,我仍然使用河豚,而且最近才开始使用aes而不是河豚。

我感兴趣的是-为什么会有河豚,至少根据http://en.wikipedia.org/wiki/Blowfish_u28cipher%291993年设计的似乎比现在的AES更安全?我已经读到它的更糟糕的特性是复杂(长)的密钥调度和64位的块大小,但显然密钥调度是保持安全的重要部分,实际上使用64位块大小有多糟糕?

怀疑7月31日,2009年7:55 PM

@鲍勃

我本来打算写同样的东西,但没有用。然而,我要说的是相反的。我敢打赌,在20年多的时间里,整14发子弹都是安全的(尽管不一定是完整的)。

这是我所有这些的问题。这个线索是不必要的危言耸听。布鲁斯总是批评人们,因为他在这里所做的事情完全一样。11发子弹被不切实际的攻击击破(尽管目前仍然安全)。12,13,还有14发未破。

所以,TrueCrypt实现AES的方式仍然需要彻底的暴力攻击来破坏它。

我通常是这个网站的粉丝,但是,全轮AES没有损坏。

然而,认识TrueCrypt的人,他们很可能会将客户关系降级为遗产,即使除了危言耸听之外没有理由这样做。

道格库尔特7月31日,2009晚上8点33分

除非国家安全局在我和他们和国防部合作的那一天就完全失去了它,像“这足够保密,或者“绝密”不是怎么做到的,因为我看不到的好理由改变了很多。这是很久以前的事了,明白。

有些安全需要长寿(可能是永远的),有些安全可以容忍短暂的生命。例如,战斗机飞行员或油轮之间的通信可能只需要比任务长一点的时间,或者最多是冲突,有些事情需要“永远”保密。在我知道的情况下,为一个移动平台提供了一个超级安全级别,只是(当时)使用了太多的计算能力。不管怎样,如果有人能在几周内可靠地把它弄碎,这似乎无关紧要——那时它们已经被蒸发了。到那时,对手可能得到的任何信息都是纯粹的学术或历史利益。

另一方面,有些事情,像方法一样,网络中某些人的姓名,还有其他你希望安全的事情,防止有兴趣的人集中攻击密码,使敌人拥有国家的资源。

所以当时(70年代和80年代)使用的度量标准更像是“对抗协同攻击能持续多长时间”,“我们想要保护的东西有多秘密”,这是不可能的。作战安全当然非常重要,但手术后没什么关系,所以可以使用一个可以破解的代码,但这需要足够的时间来打破,以免对行动造成影响。

艾伯特7月31日,下午2009时28分28分

当我在RSA工作时,回到AES比赛进行的时候;我和相当多的密码学家谈过了,他们都相当有信心Rijndael会赢。我投了蛇的票。但我曾发表评论说,因为我们对日惹广188滚球网站场的结构不像我们之前所说的那样熟悉,基于Feistel的结构,可能会在8到10年内出现,我们可能在看三重aes,就像我们用三重DES做的那样。

我认为随着这次新的袭击,时间到了…

克莱夫·罗宾逊8月1日,2009点20分

@ Doug Coulter,

“除非国家安全局在我与他们和国防部合作的那一天就完全失去了它,像“这足够保密,或者“绝密”不是怎么做到的,因为我看不到的好理由改变了很多。”

我所知道的其他地方也没有改变(尽管像你一样,已经有好几年了)。

一个曾经是“公认标准”的安全参数是“如果我们不能打破它,我们就不使用它”。这是因为它的“力量是未知的”,而这正是你所说的原因引起关注的主要原因。

噢,不方便,因为他们一直都是国家安全局和其他人仍然打印出各种形式的大数量的OTP。

其他人也意识到OTP仍然是一个很好的方法。我最近看到了一个USB设备的原型,它是一个OTP系统。

这个设计很“可爱”,我很惊讶它是如何设计的,很多想法都进入了它。它既保守又创新。它所拥有的键盘数量惊人地大(不,它没有使用闪存来存储键盘),对于一个非常繁忙的MS办公室来说,这将足以让人在短途旅行中使用。

它的唯一问题是“真正可爱”是当前的emsec(EMC风格)保护,但我不认为这是一个不可能解决的问题;)

克莱夫·罗宾逊8月1日,2009年3:23 AM

@怀疑,

“这是我的问题。这个线索是不必要的危言耸听。布鲁斯总是批评人们,因为他在这里做的事情完全一样。”

有些帖子可能是,但我不认为布鲁斯是。事实上,他可能实际上是出于自愿。

你需要记住布鲁斯在这一特定话题上的目标受众是谁。这不是普通的博客读者,而是那些有着更深刻见解的人。

与任何足够复杂的主题一样,它也有自己的语言,单词和短语都有特定的含义,不同于它们更正常的日常意义。在一个开放的博客上,这总是一个小问题,特别是鼓励非专家和专家平等参与。

关于布鲁斯,他所说的是AES有效安全性下降的速度。

实质上,他用最新的结果更新了他头脑中的图表上的一条线,并且发现它比以前更快地穿过了轴。这是重要的,不是它的自我,而是作为未来可能发生的事情的指示器(看看Feal的历史为什么)。

虽然目前没有“乔-公众”的实际关切,但如果一个新的攻击类出来的工作,它可能很快就会成为一个。但是,当它影响到目前正在进行中的新设计时,“Endevor领域”的那些人对此表示关注。

所以你需要对照个人的需要来看待它。

现在有些人几乎不需要安全边际,他们的数据或应用程序的使用寿命只有几年。

其他人需要更长时间的数据保护,比如25年(比如抵押贷款的期限)。

有些土地需要99年(一些土地的租期)。

当然,也会有一些时间到“宇宙的尽头”有点太短。

正如布鲁斯过去所说,那些在加密领域工作的人对于什么是公开的,什么不是公开的有不同的看法。

如果你回头看,你会发现这个定义是攻击小于“蛮力”。

这是一个很好的简单定义,但时间尺度独立,这对大多数人来说是个问题。

现在,其他条件相同,“蛮力”攻击的时间加倍,每个附加位的密钥长度也加倍。因此,与128位系统相比,256bit系统的“中断”将是2^128(3.4e+38)倍的困难,并且需要花费更多的时间。

然而,并非所有事物都是相等的,有时不同的攻击可以很快地被精炼或组合,那么工作的密钥大小的差异实际上可能是线性的而不是指数的。这是一个256位大小只有2^7(128)倍强。

然后还有摩尔定律和其他许多因素需要考虑,才能得到一个“实时线”的数字,“乔公众”将有一个概念上的感觉。

布鲁斯很谨慎,他说AES似乎比设计师们想象的更快地吸收新的攻击。

这是那些围绕AES或AES结构设计新的加密原语(即目前的哈希)的人所关心的。

他没有说Joe Public需要担心使用AES来实现它的设计目的。

克莱夫·罗宾逊8月1日,2009点凌晨4点

@怀疑,

“那边有一个叫”hiu“的家伙,他真的把布鲁斯关于这个话题的报道放进去了。”

我很快看了看“hiu's”的评论,他和布鲁斯似乎从不同的角度讨论这个问题。188滚球网站

布鲁斯说,“由于256bit aes中的按键调度问题,应该增加轮次,或者人们应该坚持使用128位的不同/更好的按键调度。

你好,似乎认为布鲁斯只是在争论回合中的弱点…

所以他反对布鲁斯说的话,不是布鲁斯说的。

嗯,基于观点上的差异,你会有一个既没有意义又可能无穷无尽的论点。

罗杰8月1日,2009点6:40

我想说一些和道格的话非常相似的话。这可能解释为什么国家安全局会批准AES-192和AES-256作为绝密,即使对某些类型的攻击,aes-256似乎比aes-128弱。(另一种解释,当然,是他们不知道这些攻击。)

如果对128位密钥的强力攻击是最好的方法,那么就目前而言,密码是完全不可破解的。就这点而言,96位键也是如此。

然而,在遥远未来的某个时刻,计算技术的进步(例如量子计算,有效地将对称密钥的长度减半)可能会使该密码易受密钥搜索的攻击。因此,如果信息必须在未来几十年内保持安全,使用至少是您认为合适的两倍的密钥长度似乎是明智的。

还有其他攻击,这可能比暴力搜索要快。即使目前不可行,我们可能想知道,对于必须长时间保持安全的消息来说,这是否是一个问题。答案是不,它们可能不是问题。很好,所有这些攻击都需要大量具有特殊性质的CT/PT对,相关键,或者其他与系统的交互。只有非常弱的密码才容易受到比暴力攻击更好的攻击,而暴力攻击只需要少量的CT,无铂还有1把钥匙。所以,如果你现在和你的关键管理层一起练习好习惯,那么这些攻击可能永远不会成为威胁,即使它们在计算上可行,因为攻击者无法回到过去并让您为他加密一些选定的pts。

因此,对于短期机密,我们可能关心更聪明的攻击,但攻击者只能使用当前的计算能力。在这方面,所有3个版本的AES似乎都是正常的。对于长期的秘密,攻击者使用的非常好,难以想象的计算能力,但他不太可能发动比质量控制蛮力更有效的攻击。在这方面,AES-192和AES-256是正常的,AES-128不是。

罗杰8月1日,2009点8:00

疑惑:
>以下是TrueCrypt论坛的主题。那边有个叫“hiu”的家伙,他真的把布鲁斯关于这个话题的报道写进去了。因为我不是专家,我想看到两个阵营之间的一些争论。

我也一样,但是我不能在没有提供付费电子邮件地址的情况下注册到那里——FTS。

不管怎样,很好,hiu说的话要么夸张,误导,误传,或者歪曲布鲁斯的话。更不用说纯粹的无礼。实例:
1。他写道:“施耐尔应该听从188滚球网站他的建议,停止写那些耸人听闻的文章。他说:“这是一个很好的选择。”

在布鲁斯写了诸如“攻击……“不实际”和“不惊慌有三个原因”

2。hiu写道:“-目前没有对完整的aes-128或完整的aes-256(比暴力更快)的攻击。”

这是错误的,我希望hiu不参与TrueCrypt的开发,如果他愿意在不了解研究的情况下提出如此强烈的意见。事实上,上个月由Biryukov和Khovratovich发布的对AES-256的相关关键攻击确实比暴力破解*完整*的AES-256更快——事实上,比对AES-128的强力还要快。

这种攻击实际上是在上面的主要博客文章中明确提到的,让我们得出一个不可避免的结论,即在发泄脾脏之前,hiu不必费心去读东西。

您可能想知道,当对完整版本进行现有攻击时,为什么我们关心对简化的圆形版本的新攻击?很简单,新的攻击几乎贯穿了所有的回合,同时只削减了2^49的工作因素。如果——这纯粹是猜测——最后三轮可能会以与前11轮相同的指数增长率被淘汰,我们可能会看到复杂度为2^89的完整攻击。或者,一个月就快了10亿倍。哎哟。

三。他写道:“因为从一开始,10发AES128中有9发断裂。是的,“当被问到来源时,回答:
这篇论文是由包括施耐尔在内的twofish团队在2000年撰写的。188滚球网站见第5页:
http://csrc.nist.gov/archive/aes/round2/188滚球网站comments/20000515-b188滚球网站schneier.pdf他说:“这是一个很好的选择。”
事实上,本文第5页没有这样的要求!Rijndael(它还没有被称为aes)实际上在那个页面上甚至没有提到!

可能是指第4页,其中,表中指出Rijndael的安全系数为1.11。然而,hiu似乎认为——在没有阅读本文原稿的情况下——这意味着rijndael-128。如果他更仔细地阅读第3页上的文字,或者,天哪,不准,读一读它引用的实际论文(布鲁斯合著的一篇论文,可以在这个网站上找到),他会意识到攻击实际上是针对9轮的Rijndael-256。现在被称为AES-256。目前正受到批评的密码。因此,如果他真的明白自己的意思,实际上是从他自己的脚下吹出地面。

我可以继续,但生命短暂,还有很多更像是hiu在互联网上…

混淆完成8月1日,2009点8:41

我错过什么了吗?为什么单键双AES比双键双AES更安全?

用同一把钥匙,在中间相遇更容易,不是吗?最初的攻击需要存储所有密钥对纯文本加密的所有结果,然后将其与所有密钥的解密进行比较。对于256个密钥位,这种存储不太可能可行,所以我认为在中间相遇攻击是不可能的双键双aes。

然而,如果你知道两个步骤的键是相同的,您不需要存储所有中间(“中间”)结果:您可以尝试每个键,加密纯文本和解密加密文本,直接比较:如果结果相等,你找到了正确的钥匙,只有O(1)空间而不是O(2^n),同样的时间:比单次原子发射多2倍。

舍伍德·博茨福德8月1日,2009上午9点04分

软件制造商应将密码单元模块化。

假设明天有人想出了一个方案,在足够短的时间内打破所有形式的AES,使其发挥作用。

世界上每一个依赖于AES的系统都不再安全。

然而,不太可能同时破坏所有的密码系统。

假设在任何给定的时间,使用密码学的软件包都有3-6个不同的模块。如果AES中断,不管你是谁,您的软件供应商,或者安全连接的另一端将AES标记为断开,你的软件使用了两个fish。当两条鱼分开时,你用红鱼,然后是蓝色的鱼。

在经济学中,你的投资组合多样化。当瓦尔迪兹号触礁时,你不想把所有的钱都放在埃克森。

生态学上,随着物种数量的增加,种群动态更加稳定。在北极,当旅鼠种群崩溃时,猫头鹰种群也会崩溃。在阿尔伯塔,当兔子患上图拉拉米亚症崩溃时,郊狼吃更多的老鼠。(还有羔羊…)

爱尔兰马铃薯饥荒的部分原因是各地使用相同的品种。土豆的基因是相同的。现在,当他们种植高密度的柳树作为生物燃料时,他们建议使用至少5种不同的不相关菌株:一种对一种菌株有严重影响的害虫只能消耗20%的供应量。

温哥华种了一种樱桃树作为行道树。一个又一个街区种植着这棵树。当他们得到一些真菌,它像野火一样蔓延。现在,他们种植的品种不超过2块,然后留下一个缓冲区。

多个计算机操作系统的优点之一是提高了恢复能力。破坏Windows的攻击不会破坏我的Linux系统。颠覆我Linux系统的根工具包在我妻子的Mac上不起作用。bind 9的漏洞不适用于djndns或maradns。

在密码学中也是如此:您需要多个密码就位并准备好使用。当伟大的次优思想加密竞赛结束时,我希望NIST建议将5作为标准来接受——并且他们要求一个模块化框架,这样就可以将它们放在适当的位置并进行验证。

***

另一个概念是使用虚拟有效载荷。考虑以下事项:

我想向国家安全局保密。我的来源和目的地经常交换消息,全部加密。大多数明文是/dev/random或其他噪声发生器的输出。首先,这使得很难判断您是否成功地解密了消息。其次,只要加密比破解快,你可以浪费他们比你更多的时间。第三,如果典型的裂纹系统在消息的前n个块上工作,试图确定它是否有趣,然后有一个真正的消息和一个y块前导码/dev/random意味着要么他们必须提高赌注并选择一个新的n>y,否则他们会错过真正的信息。

虚拟有效载荷也有助于击败交通分析。例如。如果你能用洋葱路由器访问一些机器,并且可以确定机器A和B上活动的高度相关性,然后你知道一个链接。另一方面,如果网络设置为在流量允许时交换虚拟有效负载,或者在任意单元对之间产生高峰流量,然后流量分析就变得不那么有用了,除非你能从虚拟数据包中分辨出真实的数据包。

***

蜜罐交易的使用可以帮助进行安全审计。例子:

作为一家大银行,我要求员工在家用电脑上安装X包。X与银行计算机交换交易,但使用虚构的账户。银行计算机监视着访问这些帐户的尝试。所有访问帐户虚构121的尝试都应来自x121。从其他地方访问帐户的成功尝试表明系统已损坏。

皮尔斯湿8月1日,2009上午11点10分

如果密钥调度是问题,并且攻击只与相关密钥一起工作,如果你先把原来的钥匙给sha-256怎么办?这将使创建相关键变得非常困难。

怀疑8月1日,2009下午3点43分

@罗杰
这是假的,我希望hiu不参与TrueCrypt的开发,如果他愿意在不了解研究的情况下提出如此强烈的意见。事实上,上个月由Biryukov和Khovratovich发布的对AES-256的相关关键攻击确实比暴力破解*完整*的AES-256更快——事实上,比对AES-128的强力还要快。

这不只是在将aes用作哈希时才适用吗?我认为这不适用于它在现实生活中的使用方式(例如TrueCrypt公司,PGP)所以我认为hiu是正确的。

也,我不相信这种攻击适用于现实生活中的使用。我的理解是,即使TrueCrypt使用了11轮AES(而不是14轮)。这种攻击不适用。所以,我得问个问题,如果没有人以易受攻击的方式使用AES,11轮AES是否会被破坏?

所以,我的问题是,你如何定义破碎?它不应该应用于现实世界的使用,而不需要在现实生活中实际无法获得的数据吗?

怀疑8月1日,2009下午4点06分

让我澄清一下我上面说的话。这是我的理解(非专家视角):

TrueCrypt使用14轮AES的方式仍然需要彻底的暴力攻击,这样它就不会断裂。我认为上个月发生的攻击都不适用于TrueCrypt和其他OTFE软件使用AES-256的方式。

如果TrueCrypt使用11轮AES,但保持所有其他实现相同,我相信这仍然需要彻底的暴力攻击,因此,对于此应用程序,它不会损坏。我对这种新攻击的理解是,它需要在现实生活中无法获得的信息。

如果以上正确,那11发子弹真的坏了吗?

谢谢

克莱夫·罗宾逊8月1日,2009年下午5:05

@皮尔斯湿润剂,

“如果密钥调度是问题所在,并且攻击只与相关密钥一起工作,如果你先把原来的钥匙给sha-256怎么办?这将使创建相关键变得非常困难。”

简单的答案是“是”。

这是分组密码若干“生成器”模式的基础。

也许最简单的理解是ctr模式,在输入端有一个简单的二进制计数器,在随机选择的密钥下进行加密。

其他模式包括将输出反馈给输入和加密。

某些模式与某些类型的密码有问题。如果我记得正确的des在反馈模式下对所有尺寸都不起作用(你需要查找它们)。

这就是简单问题的简单答案的难点,它们往往是一般性的,而不是具体的,一些细节有例外,而另一些则不是或不同…8(

这是工程师(包括我自己)需要谨慎对待密码块的原因之一,因为他们设计的系统可能满足他们所能想到的测试用例,同时严重失败了一个领域专家所知道的其他测试(遗憾的是,这些测试还不够用,这真的是一个不知道你认识谁的情况)。

有趣的是,一些相关领域的科学家在观看或参与一场即兴的加密讨论时表示,这就像是一场血腥的运动(他们不会但也不会俘虏囚犯;)

威特克·巴鲁克8月1日,2009点6:11

我一直认为高速硬件解决方案使用圆形流水线,在任何情况下,轮数都不会影响性能(它只会增加门的线性数量,因为循环是展开的)。ENC/DEC带宽相同(仅延迟和功耗增加)。


但是软件实现和非常受限的硬件实现(如智能卡,每个门都很重要,会有问题的(但另一方面,这里越来越多的符文比较简单)。


所以考虑到这一点,为什么有人会选择少量的子弹。为什么他们不选32号呢?只是为了安全吗?由于采用了流水线技术,专用硬件的实现仍然很快,对于智能卡来说,它不是真正的metter,他们每秒只处理几个包,Mayby软件的实现速度仅为2倍。这让NIST和NSA再次陷入困境。

罗杰8月1日,2009年下午6:36

疑惑:
>这是否只适用于将aes用作哈希的情况?

绝对不行;这是一个相关的关键攻击,和这个一样。它是对块密码本身的密钥恢复攻击。这里有两种可能让你困惑的方法。首先,攻击采用“修正干扰”法,它最初是为攻击哈希函数而发明的。然而,在这里,这个基本方法已经被巧妙地修改,作为对密码的攻击。

其次,相关的关键攻击通常被认为是不切实际的,因为它们可以被一个好的密钥管理系统阻止。然而,在某些结构中,它们变得具有破坏性的区域是将密码变成散列的。在那种情况下,在实践中,对底层密码的相关密钥攻击*被用于查找哈希上的冲突(例如:请参见Microsoft的X-Box的破解)。

这并不意味着,然而,只有当…用作哈希。作为散列使用只是攻击者可以轻松获得所需的相关密钥条件的一种模式,防守者无法阻止。但是如果你的钥匙管理不够好,攻击*可能仍然适用于其他情况。

>我认为这不适用于它在现实生活中的使用方式(例如TrueCrypt公司,PGP)

你应该非常小心地说“它在现实生活中的使用方式(例如TrueCrypt公司,“AES现在是世界上部署最广泛的密码之一,用于数千种产品。我们不知道其中有多少人可能或可能不易受到相关的关键攻击。其中大部分都是由软件工程师(或在某些情况下,硬件工程师)对密码技术只有基本的了解。当密码被加密社区认证时,他们希望将其视为一个需要两个输入并释放安全性的魔法黑盒。事实上,在某些情况下,它可能被纳入标准中,使实现者有义务这样对待它!所以当你开始添加诸如“哦,XXX版本不能在YYY适用的地方使用“,你有问题。

特别地,硬件设备通常只能容纳一个加密原语,所以它可以被重复使用很多东西。对于某些块密码哈希结构,密钥大小是块大小的两倍,是完美的。因此,如果我是一个赌徒,我敢打赌有一些应用程序使用AES-256作为散列值。

>所以我认为hiu是正确的。

HIU没有写“仅适用于此特定应用程序的攻击”,他写道:“目前对完整的AES-128或完整的AES-256(比蛮力更快)没有任何攻击。”(强调补充道。)这是不正确的。这种攻击是众所周知的,一个月前就在相关社区广为宣传。Hiu的声明是胡扯,因为他很容易了解,这表明他把嘴从(或键盘)上射下来,实际上)关于他没有仔细研究过的事情。

>此外,我不相信这种攻击适用于现实生活中的使用。

塔达!你完全正确。但我必须指出,这正是其他人都在说的:攻击目前并不实际。

这里的问题是,目前还没有针对任何AES变体的攻击,包括AES-128。让我强调一点:AES-128不仅对那些秘密并不重要的小家伙来说是安全的;AES-128是一种强大的密码,适用于保护国家机密,以防那些准备花费数十亿美元攻击国家机密的极有能力的对手。那么,如果aes-128实际上是不可破解的,那么aes-256到底是什么意思呢?好,AES-256有两种用途:

a)说“哦,它有一把更大的钥匙,我必须用那个!”
如果选项A。适用于你,继续使用AES-256;不会出现任何问题(只要您使用良好的密钥管理,别在散列中使用它!)

b)关注未来几十年先进国家情报机构攻击能力的超高安全应用,使用计算机技术,我们今天几乎无法想象。
但如果选择B。应用,你有问题。你不知道你假设的未来敌人有多强大,所以你选择了一个惊人的,不可思议的巨大额外安全边际。现在证明在某些情况下,在假设的超级强大未来敌人的攻击下,你一点安全感都没有。实际上,你在使用AES-128的时候会过得更好。这是个问题。在选择AES-256而不是AES-128之前,它开始看起来好像您真的需要很好地处理您所抵抗的攻击模型。

>TrueCrypt使用14轮AES的方式仍然需要彻底的暴力攻击,这样它就不会断裂。我认为上个月发生的攻击都不适用于TrueCrypt和其他OTFE软件使用AES-256的方式。

针对11轮AES-256的攻击,布鲁斯在上面宣布(但尚未公布)。上个月公布的对所有14发子弹的攻击,都是相关的关键攻击。如果TrueCrypt不易受到相关的关键攻击,那就好了。我见过TrueCrypt的批量加密模式,它们似乎对相关的关键攻击免疫。我没有细细地看那些小巧玲珑的小细节;一个完全理解这个概念的人需要详细地检查它们,以确保它们是好的,但我想他们可能是。

我绝对不能断言这对所有的OTFE软件都是正确的。

>如果TrueCrypt使用11轮AES,但保持所有其他实现相同,我相信这仍然需要彻底的暴力攻击,因此,对于此应用程序,它不会损坏。

可能是对的,但是,在您保证之前,需要由专家进行详尽的代码审计。

>我对这种新攻击的理解是,它需要在现实生活中无法获得的信息。

对于TrueCrypt的具体情况,这可能是正确的。几乎可以肯定的是,有些实现是*非*真的。

>如果上述内容正确,那11发子弹真的坏了吗?

当然。如果有人用11发的AES-256——但没有,所以我们在这里讨论的是纯粹的假设——那么其中一些实现很可能容易受到相关的关键攻击。针对11轮版本的攻击可能已经在计算上对一些对手是可行的,在不到十年的时间里,它将对分布式社区工作(如distributed.net)是可行的。在这个假设的并行世界中,人们部署了11轮AES-256应用程序,我们会听到克拉克森的声音,开始代码审计,发布解决方案,一般建议每个人*立即*切换到AES-128。

回到现实世界,11轮AES-256纯粹是学术性的构造,我们担心的真正原因是,它表明AES-256的工作进展如此之快,人们开始担心非学术性的工作,实际的突破出现得比C早得多。10年的修改时间,实施和部署新标准。

怀疑8月1日,2009下午6点44分

冒着过账的风险,有人能告诉我一个相关的密钥如何在现实生活中应用于分组密码的世界吗?

把大麻扔掉,因为aes不是用来散列的,但是一个分组密码。相关的关键攻击是否适用于现实世界?因为我去过的每一个论坛都认为这些攻击是无关紧要的。

相关的密钥攻击是否需要在软件中进行一些错误的实现?

怀疑8月1日,2009年7:09 PM

@罗杰
>当然。如果有人用11发的AES-256——但没有,所以我们在这里讨论的是纯粹的假设——那么其中一些实现很可能容易受到相关的关键攻击。针对11轮版本的攻击可能已经在计算上对一些对手是可行的,在不到十年的时间里,它将对分布式社区工作(如distributed.net)是可行的。在这个假设的并行世界中,人们部署了11轮AES-256应用程序,我们会听到克拉克森的声音,开始代码审计,发布解决方案,一般建议每个人*立即*切换到AES-128。

在这个平行的世界里,验证你的软件对相关的关键攻击免疫不是很容易吗?您已经说过,如果AES-256得到了正确的实现,就像TrueCrypt的情况一样,这样软件就可以对相关的关键攻击免疫。你是说这样做是一项艰巨的任务,切换到AES-128会更好。

如果AES-128优于AES-256,我们不能只用双鱼或蛇吗?在我看来,这两个比AES-128更好,因为它们的256位密钥,而且它们都接受了大量的审查(尽管不如AES那么多)。

>回到现实世界中,11轮AES-256纯粹是学术结构,我们担心的真正原因是,它表明AES-256的工作进展如此之快,人们开始担心非学术性的工作,实际的突破出现得比C早得多。10年的修改时间,实施和部署新标准。

你确定担心是因为进展很快吗?完全巧合的是,在一个月内,双方发布了两份与相关关键攻击有关的文件,后者比前者好得多。我们完全有可能在没有更好的攻击的情况下持续数年。Rijndael发布供公众审查已经十多年了。最近的一系列活动完全可能是巧合。我认为这两次攻击的时机可能和其他任何事件一样重要。

布鲁塞尔8月1日,2009年10:44 PM

你肯定是个傻瓜,看看他在TrueCrypt论坛上说的废话:

>单轮AES256的强度与单轮AES128相同。

我猜他不懂钥匙扩散。

使我不想再考虑TrueCrypt,如果它有这样一个无知的工作,它的代码。

怀疑8月1日,2009年11:07 PM

@Brucefan公司
>如果TrueCrypt有这么一个无知的人在处理它的代码,我就不想考虑它了。

我不认为他和特鲁克利特有关系。他只是个会员(有点刻薄)。据我所知。我同意他和人说话的方式留下了一些需要的东西。如果你没做错的话,这种风格是可以的。但是,如果你犯了一个小错误,你就要让自己大发雷霆了。

布鲁斯·施奈188滚球网站尔8月2日,2009年1:50 AM

“由于攻击违反了AES密钥计划,也许我们应该考虑关键的时间表改进,而不是原始增加的轮数。”

增加回合是快速和容易的。任何更复杂的变化都需要实际的密码分析,而且要花更长的时间。如果我们要做那么多的工作,我们不妨利用另外十年的密码研究,选择一种新的算法。

布鲁斯·施奈188滚球网站尔8月2日,2009年1:51 AM

“如果我理解这一点,因为这是一个相关的关键攻击,它对于像TrueCrypt卷那样攻击单个加密文本没有用处。”

对的。而且攻击对14发AES-256无效,或者是对AES-128的攻击。

布鲁斯·施奈188滚球网站尔8月2日,2009年1:53 AM

“说一把256位的钥匙更难使用暴力,就像说在太平洋上游泳比在大西洋上难一样。”

同意,但是密码学者总是比较完全不切实际的攻击。(有一个学派同意你的观点,虽然)

布鲁斯·施奈188滚球网站尔8月2日,2009年2:01 AM

“这是TrueCrypt论坛的一个主题。那边有一个叫“hiu”的家伙,他真的在布鲁斯的报道中提到了这个话题。

他似乎歪曲了我上面写的很多东西。我写这篇文章是为了防止恐慌,不要煽动它。

布鲁斯·施奈188滚球网站尔8月2日,2009凌晨2点03分

“这条线索是不必要的危言耸听。布鲁斯总是批评人们,因为他在这里所做的事情完全一样。11发子弹被不切实际的攻击击破(尽管目前仍然安全)。12,13,还有14发子弹还没破。”

我当然希望不是。我不是在危言耸听。

我们密码学家喜欢缓慢而刻意地改变事情,在出现警报之前。那样好多了。

布鲁斯·施奈188滚球网站尔8月2日,2009年2:05 AM

“我想我不同意增加原子弹发射次数的建议。AES仍然很好,只要你使用得当。这些攻击仅适用于相关的关键威胁模型。但对于大多数AES应用(例如,对于加密,只要正确使用AES,相关的关键攻击是不可能的。这需要设计您的协议,以避免引入相关密钥攻击的机会,但这是最近解决的问题。”

我同意你的分析,但认为简单的改变是明智的。把它想象成类似于从sha到sha-1的变化:对潜在的未来弱点做出的快速变化。最好在需要之前做那个改变。

俄歇电子能谱8月2日,2009年3:04 AM

>>将其视为类似于从sha到sha-1的变化:对潜在未来弱点做出的快速变化。

从sha-0到sha-1的变化很快,但是它需要对算法的结构本身进行彻底的干预,不仅仅是增加天然气储量。回合的在你之前的评论中,你反对的正是这一点。188滚球网站

布鲁斯·施奈188滚球网站尔8月2日,2009年上午9:14

“从sha-0到sha-1的变化很快,但是它需要对算法的结构本身进行彻底的干预,不仅仅是增加天然气储量。回合的你在之前的评论中反对的正是这一点。”188滚球网站

确切地。这太多了,比这容易多了。

布鲁斯·施奈188滚球网站尔8月2日,2009上午9点16分

“你确定担心是因为进展很快吗?完全巧合的是,在一个月内,双方发布了两份与相关关键攻击有关的文件,后者比前者好得多。我们完全有可能在没有更好的攻击的情况下持续数年。Rijndael发布供公众审查已经十多年了。最近的一系列活动完全可能是巧合。我认为这两次攻击的时机可能与其他任何事件一样重要。”

好,这是同一个团队——基本上——在三篇论文后面,所以这不是巧合。我们看到的是一种新的攻击手段正在被利用。我认为我们还没有达到这种新攻击手段的潜力。

布鲁斯·施奈188滚球网站尔8月2日,2009点9:20

“如果AES-128优于AES-256,我们不能只用双鱼或蛇吗?在我看来,这两个比AES-128更好……”

拥有和使用一个标准有很多好处。我认为我们不应该为了其他算法而放弃AES。

怀疑8月2日,2009上午11时36分

@ Bruce188滚球网站 Schneier
>拥有和使用单一标准有很多好处。我认为我们不应该为了其他算法而放弃AES。

我比我更了解密码术,我认为让人们接受AES-128将是一个非常困难的买卖。对很多人来说,这就像是降级,即使他们不真正理解背后的科学。如果决定完全基于消费者需求,我会很惊讶地看到,这几乎是一个普遍采用。我不是为TrueCrypt开发人员说话,但我很难相信他们会把AES-128作为一个密码(即不是级联的一部分)。他们可能决定放弃AES-256(或者不放弃——我不知道),只将其作为遗产提供。但是,如果他们那样做,我的猜测是,他们只会坚持使用twofish和screen。

我之所以这么说是因为在TrueCrypt论坛上有一些密码学知识(但不是专家知识)的人会看到他们以前使用过256位密钥。128位的密钥对很多人来说是不可接受的。

也,我希望每个人都不要在不同的论坛上讨论,采取完全不同的观点。辩论真的能帮助像我这样的人更好地理解这一点。因为我不是专家,我会发布一些JustinTroutman(密码专家)在Wilders Security上说的话:

>这些相关的关键攻击,简而言之,假设对手可以访问不同加密的明文,相关的,钥匙,可以排除的是,如果你做的对。从现在看来,如果将aes用作哈希函数,则会应用这些攻击,在戴维斯-迈耶模式下,例如,它本质上是MD5的结构,SHA-1,沙二号。然而,我们不需要这样使用AES,因为我们已经有了专用的散列函数,这些散列函数满足了AES从未打算使用的安全性要求。

我们将AES用于消息加密和消息身份验证等目的,模式在哪里,如ctr(即,保密加密)和CMAC(即完整性认证)假设aes是prp;这还可以。另一方面,如果我们期望AES表现得像一个理想的分组密码,正如在Davies-Meyer模式中假设的那样,那我们就有问题了。所以,TrueCrypt和PGP不易受影响。此外,我想不出任何应用程序。

俄歇电子能谱8月2日,2009年12:48下午

>确切地说。这太多了,比这容易多了。

不,不,我是说当你争论的时候,关键时间表的改变是激进的:
“修复256位密钥调度是很好的,但这是一个更复杂的变化。”

如果国家安全局敢于改变sha-0的结构,为什么我们不应该更改AES-192和AES-256的密钥调度?
如果国家安全局只是增加了轮数(不增加轮班)沙河一号可能比现在弱得多。如果我没记错的话,比哈姆和陈在2004年展示了沙阿-0和更大的号码。轮数比默认值弱,80发。

克莱夫·罗宾逊8月2日,2009下午2时45分

@布鲁斯,

到目前为止,其中一个问题是,大多数问题和答案都是以“Joe Public”不熟悉的方式进行的,而且也是以一种不连贯的方式进行的。

所以,如果你能为“Joe Public”做一个快速的常见问题解答类型的问答,这可能需要很多的风从争论等。

正如我所看到的,下面的“Joe Public”问题已经或将被问到,但由于各种原因,答案没有给出或没有得到明确的回答。

所以我试着问一些问题,

“Joe Public”的第一个问题是,

“它坏了吗?”

破译后的存在在“正常的实际人”中,意味着密码学家使用的不是更专业的意义。

你的回答有点长,188滚球网站但在埃森斯,

1.a)因为这种攻击是基于扩展密钥的aes256部分,而在aes256中,它与aes128有显著不同,AES128是目前已知的,完全不受这次攻击的影响。

1.b)此外,在正常意义上,AES256也未被破坏,因为这种攻击只部分地扩展了以前的攻击,并且仍然有一个合理的安全范围有待用尽。

由此引出“Joe Public”的第2个问题,

“多久它就会被打破?”

答案是,

2.a)对于大多数使用AES256的情况,此攻击目前不会导致中断。

2.b)也不太可能在不久的将来,除了一些特殊用途的AES。这非常依赖于攻击是否可以扩展到所有当前回合(可疑),然后只有在相关键下选择文本。

这就引出了乔的第三个公共问题,

“选定的文本有多少,键是如何关联的?”

这是到目前为止还没有以乔·普洛斯容易理解的方式回答的问题。那么,答案是否可以用一种可以的方式表达?

3)????

Joe Public注意到,很多人都说“相关钥匙”问题已经解决,但没有进一步的信息。所以乔公开了第四个问题,

“停止使用相关密钥的方法是什么?”

4.)?你说什么?

问题5,

“假设攻击可以扩展到所有回合,那么攻击在正常意义上是否实际可用?”

5)????

约翰8月2日,下午2009点6分25分

好,我们使用一个程序,它使用三种不同的加密方法,每个加密方法有三个不同的密码短语,用下一个方法再次加密每个加密块。我不是加密专家,但用这种方式对数据进行多重加密似乎是个好主意。多亏了这次讨论,我把方法从2fish/aes/rc6改为2fish/aes/screen。

BW8月3日,2009年4:45 AM

也许国家安全局想看政府的其他文件;它被采纳了,毕竟,布什时期的9/11事件后。如果国家安全局能让布什接受批准的无保证窃听,你不认为他们能让他允许使用一个坏了的加密算法,只要它能让我们阅读其他人的资料吗?逻辑是如此混乱以至于它可能发生。

布鲁斯·施奈188滚球网站尔8月3日,下午2009点44分44分

“如果NSA敢于改变SHA-0的结构,为什么我们不应该更改AES-192和AES-256的关键计划呢?”

据推测,国家安全局在做出这一改变之前有一个大型的内部审查程序。对于我们在学术和公共领域的人来说,这样的审查过程将是困难的。增加子弹的数量更容易,也同样有效。

URI8月17日,2009年上午11:28

AES的问题是由它的加密弱密钥调度引起的。imho正确的解决方案(尽管此时不可行)是使用一个键调度算法,它模糊了圆形子键的位之间的关系。

这一点早在1990年的关系中就已经讨论过了——参见wiki上的关键时间表。


URI8月17日,2009上午11时37分

想要添加-Cihper设计师面临一个两难境地:良好的关键灵活性与。详细但安全的钥匙表。他们总是选择更快更简单的密钥调度,而不是更慢但更安全的备选方案。

贾斯汀·威尔斯8月21日,2009年上午11:42

国家安全局不建议在GCM模式下使用AES吗?我不是专家,所以需要有人澄清,但是GCM不是那种只使用AES作为随机发生器的模式吗?所以不容易受到攻击?

我想最大的问题是,对于我们这些喜欢我们所认为的由aes256提供的安全边际而不是aes128的人来说,现在显然已经不见了,我们如何才能收回我们的安全边际?

up-thread有人建议在将密钥与AES一起使用之前对其执行sha256哈希可以解决问题。是真的吗?

如果我坚持使用GCM模式下的AES256,并且在将密钥传递给密码之前,我会将它保存256,我能从这次袭击中安全吗?

戴夫10月11日,2009年凌晨3:15

换言之,AES256仍然适合使用单个密钥(如TrueCrypt)进行磁盘加密,对于流密码(如在OpenSSH中实现的密码)来说,AES128更好。
“使用CBC会降低这些攻击的有效性吗?”在openssh中,使用cbc是一个坏主意。[google:openssh cbc exploit]ctr(counter mode)是openssh的首选模式,我不知道它是否用于其他应用程序,我知道在磁盘加密中不使用ESSIV的CBC很容易受到诸如水印之类的攻击。
因此,openssh的最佳模式是:密码aes128 ctr;macs hmac-ripemd-160(由于sha1断裂,您的其他选项是MD5,甚至是“更破碎”的算法。

最大萨拉10月19日,2009年1:43 AM

@约翰8月2日,2009年下午6:25
“嗯,我们使用一个程序,它使用三种不同的加密方法,每个加密方法有三个不同的密码短语,用下一个方法再次加密每个加密块。我不是加密专家,但用这种方式对数据进行多重加密似乎是个好主意。多亏了这次讨论,我把方法从2fish/aes/rc6改为2fish/aes/screen。”

蛇和艾斯非常相似,事实上他们是
两个基于翻译的密码
限制定义[1]。如果艾斯从水槽里下去,蛇(和现在的)很可能会跟随。然而,我认为AES没有受到任何实际攻击的威胁,不是现在,也不是不久的将来。

马克斯
[1]->ARXIV:0806.4135(出现在AAECC中)

连续波1月5日,2010时7:52

不幸的是,额外的回合需要额外的轮键,并且,根据规范中的圆形常量维数,可以从种子键扩展的圆形键的数量是有限制的。

如果尝试将舍入数扩展到建议的舍入数,则说明会中断,因为没有足够的舍入常量来完成此操作。

连续波1月5日,2010年下午7:38

基于密钥扩展方法和round常量的aes的max rounds似乎是

((KeySizeInBits/128)*11)-1

迈克2月24日,下午2010点43分

这里的问题是时间和计算能力。这就使得密钥的崩溃掌握在具有合理计算能力的私人团体手中——不再是可能只有政府的领域。这是一个比建议的更大的问题,不能忽视。

桑迪·哈里斯4月17日,2010年上午6:43

此攻击针对的是AES-256,而不是AES-128,因为正如布鲁斯所说的,AES-256的密钥调度“相当糟糕”。

这是个解决方案吗?给出256位密钥?设置AES-128,用128个密钥位运行其密钥调度。使用另一个128初始化计数器。用AES-128加密该计数器以生成一组圆键。将这些用于AES-256加密。

这可能太贵了,当然。也,最后你会发现圆键是相关的,但对于任何关键时刻表来说都是如此。

http://eprint.iacr.org/2008/473另一种从AES-128中派生更强大的256位密码的方法。

克莱夫·罗宾逊4月17日,2010下午11点22分

@ Sandy Harris,

“这可能太贵了,当然。也,最后你会发现圆键是相关的,但对于任何关键的时间表来说都是如此。”

嗯,在什么程度上…

像喝茶一样使用分组密码,AES或DES,并放弃回合的密钥扩展(它在DES中效率很低,但在AES256中却被破坏;)。

将其替换为流密码,如arc,在这里,您将弧sarray的一部分映射到块密码中,扩展的密钥将进入其中。

然后使用bbs生成器为更新arc update函数中的jptr添加额外的值。

我在95年前后遇到过这种奇怪的安排,当时我正在寻找一种改进现有设计的方法,我用真正的随机数生成器(trng)生成了许多键。最初的想法是使用一种与arc4不太相似的卡片洗牌算法,将trng的熵分布到一个1字节的状态数组中。ARC4算法早在94年底就被释放出来了,由于它受到了各种加密专家的“祝福”,我决定使用它。我通过将trng输出作为j ptr的附加偏移量来修改它。arc4状态数组的一部分被传递给一个修改过的des块密码,该密码已经被编写成单独进行密钥扩展(并作为一个指针传递给一个保存des循环的扩展密钥的数组)。我在98年底再次修改了设计,使用BBS生成器而不是TRNG来制作“仅软件版本”。

据我所知,当时ARC4+BBS发电机的输出通过了所有标准测试。

弗兰克7月8日,2010下午4点21分

布鲁斯

你能对这篇文章发188滚球网站表评论吗?——http://eprint.iacr.org/2009/531

或者更好的问题是,它是否以任何方式改变了您对使用AES-128而不是AES-256的看法?

请原谅我,我不在密码学领域,只是想做出一个明智的决定,最好的密码使用。

抢劫8月6日,2010点:29

实际攻击与非实际攻击,恐慌还是不恐慌……好吧,你的现实……


您的驾驶执照号码将在8年内到期。您的信用卡号码将在4年内更改。你的社会保障号码对我们希望在120年左右有用。慷慨大方……


因此,我需要保护这些类型的项目的任何数据都必须具有这些时间框架的保质期。

很少有人比这更需要。

就国家而言,几乎没有什么“秘密”需要被保护一辈子以上。


方程的另一面。


这是理论方面。有声望的地方……其中保护数据的数据或算法都不重要。写算法的人的名字,或者攻击是重要的…

这就是加密必须比太阳系结束的既定时间线长的地方…最好是银河系…

那么哪个是对的?两者…….

正如实践科学需要理论家一样,我们这里也有同样的问题。

只是我的想法……

蓝精灵约翰逊8月11日,2010点凌晨2点

@Bruce S188滚球网站chneier 8月2日,2009点9:20
“拥有和使用一个标准有很多好处。我认为我们不应该为了其他算法而放弃AES。”

这是一场伟大的辩论。我很想听听为什么我们仍然应该坚持使用AES的原因,尽管我们担心它在未来的几个月/几年会被破解。我不是专家,但是,对于我来说,选择蛇或者twofish而不是aes似乎是一件很简单的事情,1)不必担心任何这种糟糕的圆形实现材料,2)检查“aes坏了吗?”每月的博客页面。对我来说,生活似乎太短了,无法坚持AES的建议,继续担心即将到来的转折点。

另一方面。。。选择一个标准(比如AES)可能是最好的,因为它会得到更多的关注,并且缺陷很可能会很快被发现。但出于同样的原因,这似乎是使用其他东西的一个很好的理由。如果非标准化的AES最终候选人对他们的密码分析关注较少,而且已经被专家们认为有更多的保证金,为什么不直接用它们来代替呢?通过坚持这种“使用标准”模式,我的AES加密文件似乎不再安全。

对我来说,似乎如果发生了一场“密码中断”时间竞赛,AES可能会在twofish或蛇形密码之前断开。如果这是真的,为什么坚持忠实地坚持一个标准?

我真诚地问,因为我不是专家,这个问题在过去一两个月里一直困扰着我。

谢谢你的阅读,我希望听到答复。

克莱夫·罗宾逊8月11日,2010点46分

约翰逊,

“对我来说,似乎如果发生了一场“密码中断”时间竞赛,AES可能会在twofish或蛇形密码之前断开。如果这是真的,为什么坚持忠实地坚持一个标准?”

有人告诉我,

每场比赛都有两名优胜者,第一个进来的人,还有卖票的那个。正如我们所知道的,总会有人打败下一次或之后第一次进来的人,但卖票的人每次都赢…

简单的事实是,艾斯赢得了五项全能冠军,但在每一项训练中都被击败了,这是一个全能选手,而不是最快的短跑选手。历史告诉我们,在某种程度上,它将无法成为最好的全能者,失去它的头衔,最终退休。

这可能会让一些支持者感到不安,但生活就是这样。

但记住第二个他不在乎的人,只要人们想买,他就会继续卖票。

这就是为什么我说像NIST这样的人应该把他们的比赛从把所有的重量都放在胜利者的后面提高到“拥有体育场”的原因。或者放置一个带有插件模块的标准框架。

因此,如果AES出于任何不适合的原因,您可以只使用一个不同的插件来使用另一个选项。

更重要的是,如果发现您正在使用的AES插件由于某种原因(如“定时攻击”所发生的情况)存在缺陷,您可以将其换成不存在缺陷的插件。

软件的问题在于在小型和嵌入式系统中的“内置”思想,例如“效用表”,它们的使用寿命可以是25年或更长,并且只值安装成本的一小部分。

因此,公用网络的安全取决于最薄弱的环节,如果对手由于旧仪表中的实现故障而能够找到AES密钥,只要实现故障仍在使用中,网络就在这一点上进行编译。

然而,如果一个框架的适当标准已经到位,那么电表制造商将按照标准工作,否则他们将大大限制其市场潜力。

因此,获得一个好的框架比获得一个好的算法更重要。

彼埃尔11月6日,2010年上午8:08

“密码学是关于安全裕度的”

它解释了为什么每个人都在讲(愚蠢的)关于如何用几棵树来隐藏森林的故事。

密码学应该更关注香农的“完美安全”。

我不敢相信那些一生致力于这个主题的人,看不到单一性原则如何转化为比一次性PAD更可行的方法。

如果世界上的安全概念是由默默无闻爱上的,这只能是愉快地练习肩上冲浪。

这只是悲哀。

把你的事实弄对11月7日,2010年8:59 PM

“信息资源管理局无线电节目分部
(IRM/OPS/ITI/LWS/RPB)提供所有海外任务双向无线电
配备数字加密标准(DES)或高级加密
标准(AES)。这些加密算法提供有限的保护
从未经授权的语音通信拦截
批准传输国务院敏感信息,但
非保密(SBU)和仅供官方使用的国防部(FOUO)
通信。在任何情况下都不应配备DES或AES
无线电用于传输机密信息,定义如下:
行政命令12958。”

网址:http://www.state.gov/documents/organization/89272.pdf

阿兰·泰勒11月9日,下午2010点23分

据了解,国家安全局已将AES 256分类,用于最高机密流量。这仅适用于NSA事先批准的申请,密码操作模式。国家安全局通常会提供批准的密码,对于“增强”的AES256,这包括增强的密钥调度和管理。NSA提供的AES 256增强算法不适用于商业部门。

大多数美国国务院设备笔记本电脑,收音机,卫星链路等应该有国家安全局批准的嵌入式加密技术。这项技术是基于硬件而不是基于软件的。这采用了NSA批准的芯片组的形式。

NSA批准的芯片组由NSA批准的制造商和供应商制造和供应。NSA密码芯片组最著名的供应商之一是Harris RF Communications 1680 University Avenue,罗切斯特纽约。

Harris Sierra II芯片组配有NSA A套件A,和B组密码算法。Sierra II芯片组可以嵌入各种通信设备和终端。(见附件PDF)

此外,哈里斯还为旅行外交官提供经国家安全局批准的secnet无线接口模块。根据使用/部署和应用情况,芯片组可以使用附加的NSA分类密码算法进行编程。

Cryptome的数据看起来有点过时。我怀疑一些设备不符合NSA密码要求。

关于您对AES安全性的意见。188滚球网站我不会推测这一点。然而,众所周知,在选择过程中,从绝对安全性的角度来看,蛇32圆形分组密码的评级高于AES。然而,埃斯获胜,因为它被认为更快,更容易集成到智能卡应用程序中。

阿兰·泰勒
PGP板管理员
伦敦,英格兰

戴维11月29日,2010凌晨4点07分

所以这似乎引起了一些注意:

http://eprint.iacr.org/2010/594

“在本文中,我们分析了AES的情况,并提出了一种能够几乎实时地恢复AES-128的全密钥的攻击,只需要观察到非常有限数量的加密。与大多数其他攻击不同,我们也不需要知道密文,它也不需要知道任何关于纯文本的信息(比如它的分布,等等)。此外,我们还首次展示了如何在不访问密文的情况下恢复明文。此外,我们的间谍进程可以在非特权用户帐户下运行。”

是时候回到ROT-13了?

克莱夫·罗宾逊11月29日,2010点6:25

@david of thedal,

“在本文中,我们分析了AES的情况,并提出了一种能够在几乎实时的情况下恢复AES-128的全密钥的攻击…”

AES易受侧通道缓存攻击这一事实在获得认证之前就已经知道了(这就是为什么我更喜欢另一个欧洲候选)。

这种特殊的攻击是好的(在某些方面非常好)。尊敬的)正如布鲁斯在过去指出的那样,攻击只能随着时间的推移而变得更好。

说到“过去的事情”,我已经说了很长一段时间了,现在两大攻击领域将是,

1,旁道攻击。
2,已知的明文攻击。

针对(1)侧通道攻击的唯一真正解决方案是60多年来众所周知的“不要在线使用密码系统”。

由于上述声明在过去给博客上的读者带来了问题,我会说,“在线”是指以某种方式耦合到外部可监控点的机器,无论是在使用密码时,还是在以后某个时间点(如间谍软件),以便“监控”CIP使用时获得的任何信息。她被泄露了。

实际上,这意味着在完全隔离(ofline)上使用两台机器,该机器仅用于加密/解密,并且仅将密文文件复制到“在线”系统中进行发送/接收。

对于(2)已知的明文攻击可以与大量“静止数据”一起使用,例如加密硬盘驱动器,在这些硬盘驱动器中,糟糕的设计允许“深入攻击”,或者系统有效地“ecb”,或者将其他一些弱系统(如具有密钥重用的流密码)限制在一起。

郊狼3月3日,2011年7:34 AM

非常感谢这篇论文,非常有趣。
现在只是个问题,现在对AES的攻击有什么看法?还是和2009年一样?您仍然建议使用AES 128吗?

厕所8月4日,2011年1:27 AM

我想知道在twofish和aes之间没有攻击的情况下,哪种算法是最好的安全算法,那么在这些结果中,是否可以使用河豚进行分析呢?

安迪8月4日,2011年2:57 AM

安=角

buf[0+an]=a[0]
buf[4+an]=t[0]
buf[1+an]=a[1]
buf[5+an]=t[1]
…16
buf[0+an]=a[0]
buf[4+an]=t[0]
buf[1+an]=a[1]
buf[5+an]=t[1]
…32
buf[0+an]=a[0]
buf[4+an]=t[0]
buf[1+an]=a[1]
buf[5+an]=t[1]
…64
buf[0+an]=a[0]
buf[4+an]=t[0]
buf[1+an]=a[1]
buf[5+an]=t[1]
…128…向上说4 bil,最大限制

[0][1][2][3][4][5]
[0][1][2]
1和1=0
0和1=1,

链路,非链路

安迪8月4日,2011凌晨3点02分

用锡箔纸做的帽子,也可以预测未来。你不需要知道vars的值,有多少个变量,做一次野蛮的奔跑,如果您将其中一个值从0更改为1(星期一),如果星期一下雨,vars就是星期一的价值…12点钟,把另一个换成零或者什么都不换,在树的底部是还是不是

诺布10月16日,2011上午9点31分

大家好,我一直在读所有的帖子,这让我很困惑。这可能是一个愚蠢的问题,但我目前使用的TrueCrypt密码为20个字符。那能防裂吗?如果我把它增加到50个字符,那有什么区别吗?不过,要记住这一点会很困难:(如果有人能回答,谢谢)

克莱夫·罗宾逊10月16日,2011下午12点32分

@诺布,

“……”密码为20个字符。那能防裂吗?如果增加到50个字符怎么办?

这个问题很简单,但答案很难。

通常的论点是密码破解是由“野蛮变形”完成的,它从A-B、AA-BB……开始。逐步通过每一个大写字母组合,小写,数字和有效的标点符号,直到找到密码或短语。

如果是这样的话,你需要输入70^20个密码,这会给你一个合理的安全水平。

然而,人脑是脆弱的,大多数人很难记住一个超过7个数字或5或6个字母字符的纯随机字符串。

因此,人们使用一些“聪明”的方法,使一个长句难忘。问题在于,它可以极大地降低每个字符的熵值,因此,不是每个字符的熵都在6.3位左右,而是让20个字符的传递短语的熵大约在126位左右,它将熵减少到每字符1.4位,只给您28位的熵。

因此,这里重要的是“可以减少”,也就是说,如果你的潜在敌人知道你如何记住你的密码,他们可以使用这种方法相应地减少搜索空间。

所以我的建议是要么找到你自己的方法来记住一个20个字符的密码,要么是随机的,要么显然是随机的,或者按照布鲁斯的标准建议把它写在你钱包里的一张纸上。最好还是找些方法把这两种方法结合在一起,用一些“你独有”的方法。

阿兰·泰勒2月4日,2012年8:36 AM

这是一条信息丰富的线索。关于国家安全局将AES用于“绝密”通信。请注意,国家安全局对国家安全局事先批准的申请使用了增强版的AES,密码操作模式。国家安全局通常会提供批准的密码,对于“增强”的AES256,这包括增强的密钥调度和管理。NSA提供的AES 256增强算法不适用于商业部门。

见:http://www.pgpboard.com/viewtopic.php?F=2和t=206和P=346

当做

艺术1月4日,2015凌晨4点14分

有趣的是,现在是2015年。最初的博客是在2009年。6年后,AES的安全性并没有6年前那么差。

目前还没有已知的实际攻击可以破坏AES,人们普遍认为AES256更强大。

克莱夫·罗宾逊1月4日,2015年上午10:18

@艺术,

目前还没有已知的实际攻击可以破坏AES。

唔,这句话说得不好,虽然没有公开的针对AES算法的实际攻击,对于实际的实现来说,情况并非如此。至于各IC机构可能额外知道的情况,你的猜测和其他大多数人一样好。

艺术1月5日,2015点45分

@克莱夫·罗宾逊

集成电路机构并不比整个人类智能和学术世界的总和更聪明。鉴于学术界还没有针对AES的实际攻击,可以假设IC机构也没有。与整个学术世界的总和相比,IC机构并不是头脑不同的外星人。

最初的2009年博客是危言耸听。相关的关键攻击与正确实现的软件无关。早在2009年,许多人在不同的公告板上发表声明说,施耐尔说128个AES比256个AES好。188滚球网站

事实上,我现在写的是2015年,六年后,而且在显示AES在任何地方甚至接近崩溃方面都没有任何进展。

6年来取得了哪些实际进展,从而削弱了AES?没有什么。零。好,除了需要2^88位数据(38万亿兆兆兆兆字节)的双液相攻击,并将AES 128削弱到仍然不实用的2^126,即使是攻击ISM给出了所需的数据量,在实践中可能比暴力要慢。

所以从这篇博文开始就没有任何进展。

“攻击总是越来越强”,但很明显,有时它们会被卡住


诺曼·马特尔5月9日,2015晚上8点33分

我真的很喜欢保持相同的算法,但是增加了轮数。我已经在mplab和ionincreasing中编写了AES,只需要做一些小的更改,并为rcon添加一些返回。aes/rijndael已经非常快了,我真诚地同意增加回合是一个非常可行的折衷方案,考虑到aes可能达到接近蛇形和twofish的鲁棒性水平。

艺术11月3日,2015下午8点23分


Normand Martel错了,伙计。忽略施耐尔的这篇危言耸听的6年博客文章。188滚球网站没有一点证据表明aes 256比aes 128弱。相关的密钥攻击是无关的,因为正确设计的软件不使用相关的密钥。

顺便说一句,没有理由相信14轮AES 256在接下来的几百年中会有损坏的危险,如果有的话。

发表评论188滚球网站

允许的HTML:

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.