Score:1

AES-256 ปลอดภัยกว่าหรือปลอดภัยน้อยกว่า AES-128 หรือไม่?

ธง us

ดูเหมือนว่ามีการโจมตีที่ได้ผลกับ AES-256 มากกว่า AES-128 ซึ่งทำให้ปลอดภัยน้อยกว่าในบางกรณี แต่ขนาดคีย์ที่ใหญ่กว่าควรเพิ่มส่วนเผื่อความปลอดภัยในทางกลับกัน เช่น ทำให้มีภูมิคุ้มกันแม้กระทั่งคอมพิวเตอร์ควอนตัม และฉันเคยได้ยินบางคนพูดว่ายิ่งปัดมากเท่าไหร่ก็ยิ่งปลอดภัยน้อยลง และบางคนก็บอกว่ายิ่งปัดมากเท่าไหร่ก็ยิ่งปลอดภัยมากขึ้นเท่านั้น

forest avatar
vn flag
รอบที่มากขึ้นไม่สามารถทำให้ปลอดภัยน้อยลงได้ ปัญหาเกี่ยวกับ AES-256 คือกำหนดการสำคัญ
Score:4
ธง in

ปัญหาคือคุณกำลังพยายามเปรียบเทียบความปลอดภัยทั่วไปกับ AES-128 และ AES-256 ฉันจะเถียงว่าถ้าคุณจะเจาะลึกลงไป - อย่างที่คุณทำอยู่ - ความคิดที่ว่า "ระดับความปลอดภัยทั่วไป" มีข้อบกพร่อง

อย่างที่คุณพูด มีการโจมตีที่สำคัญที่เกี่ยวข้องซึ่งใช้ได้กับ AES-256 เท่านั้น ซึ่งส่วนใหญ่เกี่ยวข้องกับกำหนดการสำคัญ อย่างไรก็ตาม การโจมตีที่สำคัญที่เกี่ยวข้องดังกล่าวเป็นไปได้ในสถานการณ์เฉพาะเจาะจงเท่านั้น เช่น เมื่อ AES-256 จะถูกใช้เป็นพื้นฐานในการสร้างอัลกอริทึมแฮช AES-256 มีการรักษาความปลอดภัย ~99 บิตสำหรับกรณีการใช้งานเฉพาะนี้ ซึ่งต่ำกว่าการรักษาความปลอดภัย ~128 บิตที่คุณคาดหวังสำหรับ AES-128 สิ่งนี้บ่งชี้แล้วว่าเป็น AES-128 บางครั้ง ปลอดภัยกว่า AES-256 แม้ว่าโดยทั่วไป AES-256 ควรถือว่าปลอดภัยกว่า อย่างไรก็ตาม นี่เป็นกรณีการใช้งานเฉพาะ เนื่องจากขนาดบล็อก 128 บิตจะไม่ทำให้ AES เป็นตัวเลือกที่ดีตั้งแต่แรก ฟังก์ชันแฮช Whirlpool (และอื่น ๆ ) เช่น สร้างขึ้นจากฟังก์ชันที่ได้รับ ได้มา จาก AES ไม่ใช่ AES เอง

ตารางสำคัญค่อนข้างเกี่ยวข้องกับจำนวนรอบ แต่โดยทั่วไป การมีรอบมากขึ้นก็ทำให้รหัสมีความปลอดภัยมากขึ้น ไม่น้อยไปกว่ากัน

forest avatar
vn flag
ที่สำคัญ Whirlpool เลิกใช้กำหนดการคีย์ AES โดยสิ้นเชิง
Score:2
ธง in

ในระยะสั้น AES-256 ชนะ AES-128 ใช้ AES-256 ซึ่งเป็นมาตรฐานทองคำ

การเข้ารหัสลับ

การโจมตี AES-256 ไม่ได้ทำให้ไม่ปลอดภัยในทางปฏิบัติ แม้ว่าหลังจากผ่านไป 20 ปี การโจมตีที่ดีที่สุดก็มีความซับซ้อน $2^{254.3}$ สำหรับ AES-256 และ $2^{126.0}$ สำหรับ AES-128

การโจมตีคีย์ที่เกี่ยวข้องซึ่งเป็นที่รู้จักกันดี (ตามที่ Maarten กล่าวถึง) ไม่เกี่ยวข้องกับการเข้ารหัส เป็นสิ่งสำคัญหากคุณเริ่มต้นฟังก์ชันการบีบอัดของ Merkle-Damgard Construction ด้วย AES การโจมตีเหล่านี้สามารถสร้างการปะทะกันภายในที่สามารถใช้ประโยชน์ได้ จริงๆ แล้วเราไม่ต้องการสิ่งนี้ เนื่องจากมีขนาดบล็อกที่เล็กเกินไป

หากคุณดูที่การโจมตีด้านบน AES-128 มีความปลอดภัยน้อยกว่าเมื่อเปรียบเทียบกัน การสูญเสีย 2 บิตใน 128 เทียบกับการสูญเสีย 2 บิตใน 256

การเข้ารหัสแบบ 128 บิตมีความปลอดภัยน้อยกว่าในรูปแบบต่างๆ

  • การโจมตีหลายเป้าหมาย ซึ่งผู้โจมตีได้รับคู่ข้อความธรรมดา-ciphertext ด้วยคีย์ที่แตกต่างกัน ในกรณีนี้ พวกเขาสามารถค้นหาคีย์บางคีย์ได้เร็วกว่าการใช้กำลังดุร้าย สำหรับ $t$ กำหนดเป้าหมายค่าใช้จ่ายในการค้นหาคีย์คือ $2^{128}/t$. หากผู้โจมตีมีเป้าหมายเป็นพันล้าน พวกเขาก็จะสามารถค้นหาคีย์แรกที่ต่ำกว่าการรักษาความปลอดภัยแบบ 128 บิตได้ ค่าใช้จ่ายจะต่ำกว่า $2^{100}$ และเวลาจะอยู่ด้านล่าง $2^{70}$. การโจมตีนี้ไม่เพียงแต่ใช้กับ AES เท่านั้น แต่ยังรวมถึงรหัสบล็อกทั้งหมดด้วย

    การโจมตีนี้ดำเนินการกับ รุ่นคู่ขนาน ของ ตารางสายรุ้งของ Oechslinหรืออ่านในของเรา ถาม/ตอบแบบบัญญัติ.

  • การโจมตีด้วยควอนตัม: อัลกอริทึมการค้นหาของ Grover ที่สามารถมีความเร็วกำลังสองจะทำให้การเข้ารหัสบล็อก 128 บิตไม่ปลอดภัย $\ประมาณ 2^{64}$-เวลา. การคำนวณคร่าวๆ นี้ไม่ได้ระบุรายละเอียดที่สำคัญ

    การโจมตีของ Grover สำหรับ AES-128 นั้นต้องการประมาณ $2^{64}$ การประเมิน AES อย่างต่อเนื่อง ไม่ชัดเจนว่าเราจะบรรลุสิ่งนี้ได้อย่างไร แม้ว่าเราจะถือว่าหนึ่งวินาทีต่อการประเมินหนึ่งครั้ง แต่เวลาก็จะยาวนานมาก - 5.846Ã10^11 ปีเกรกอเรียนเฉลี่ยเป็นจำนวนที่สูงมากและด้วยข้อโต้แย้งที่คล้ายกัน เราสามารถพูดได้ว่า AES-192 และ AES-256 ไม่สามารถทำได้อย่างแน่นอน

    นอกจากนี้ โปรดทราบว่าอัลกอริทึมของ Grover ยังสามารถขนานกันได้ $k$ อัลกอริทึมของ Grover แบบขนานสามารถให้ได้เท่านั้น $\sqrt{k}$ การปรับปรุง. ไม่ใช่กำไรก้อนโต!.

ลืม AES-128 ไปเลย ใช้การเข้ารหัส 256 บิตเป็นมาตรฐานทองคำ ไม่ต้องกลัว

  • การเข้ารหัสลับ
  • การโจมตีหลายเป้าหมายหรือ
  • การโจมตีด้วยควอนตัม

ใช้ AES-256-GCM (ใช้ได้กับ SIV ด้วย) หรือ ChaCha20-Poly1305 (ใช้ xChaCha20-Poly1305 ดีกว่าเพื่อความปลอดภัย nonce 192 บิตที่ดีกว่า)

รอบที่มากขึ้นทำให้ปลอดภัยมากขึ้น

แม้แต่รอบธรรมดาของ อัลกอริทึมการเข้ารหัสขนาดเล็ก ปลอดภัยหลังจากผ่านไป 32 รอบ งานนี้แสดงให้เราเห็นว่าเราสามารถรักษาความปลอดภัยได้แม้กระทั่งรอบง่ายๆหลังจากผ่านไปหลายรอบ Twofish: รหัสบล็อก 128 บิต Schneier et al., 1998;

อย่างไรก็ตาม เมื่อมีรอบเพียงพอ ฟังก์ชันรอบที่ไม่ดีก็สามารถทำให้ปลอดภัยได้

มีช่วงหนึ่งในการประชุม AES ครั้งที่ 3 ที่โรส แอนเดอร์สัน (น่าจะเป็นไปได้สูง) ปรารถนา 32 รอบ Rijndael. ยิ่งรอบยิ่งปลอดภัยและนี่คือความรู้ทั่วไป

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา