Đảm bảo độ cứng cho AES

Nhiều hệ thống mật mã khóa công khai có một số loại bảo mật có thể chứng minh được. Ví dụ, hệ thống mật mã Rabin có thể chứng minh là khó như bao thanh toán.

Tôi tự hỏi liệu loại bảo mật có thể chứng minh như vậy có tồn tại đối với các hệ thống mật mã khóa bí mật, chẳng hạn như AES. Nếu không, bằng chứng nào cho thấy việc phá vỡ các hệ thống mật mã như vậy là khó? (ngoài khả năng chống lại các cuộc tấn công thử và sai)

Lưu ý: Tôi quen thuộc với các hoạt động AES (AddRoundKey, SubBytes, ShiftRows và MixColumn). Dường như độ cứng của AES bắt nguồn từ hoạt động MixColumn, do đó phải thừa hưởng khó khăn của nó từ một số vấn đề khó khăn đối với Trường Galois (và do đó, đại số). Trên thực tế, tôi có thể đặt lại câu hỏi của mình là: " Vấn đề đại số cứng nào đảm bảo tính bảo mật của AES?"

MIXCOLUMNS ngăn chặn các cuộc tấn công chỉ tập trung vào một vài hộp S, vì việc trộn các cột yêu cầu tất cả các hộp S phải tham gia mã hóa. (Các nhà thiết kế của Rijndael gọi đây là "chiến lược đường rộng.") Việc phân tích lý do của hộp chữ S khó là do sử dụng thao tác đảo ngược trường hữu hạn. Việc đảo ngược "làm mịn" các bảng phân phối của các mục trong hộp S, do đó các mục xuất hiện (gần như) thống nhất, không thể phân biệt với phân phối ngẫu nhiên mà không có khóa. Đó là sự kết hợp của hai tính năng giúp Rijndael có thể an toàn trước các cuộc tấn công đã biết.

Bên cạnh đó, cuốn sách The Design of Rijndael là một cuốn sách rất hay, và thảo luận về lý thuyết và triết lý của mật mã học.

Như David đã nói, chúng tôi không có mức giảm như vậy đối với AES. Tuy nhiên, điều này không có nghĩa là hệ thống mật mã Rabin hoặc RSA an toàn hơn AES. Trên thực tế, tôi tin tưởng vào tính bảo mật (ít nhất là một chiều, cũng có thể là giả ngẫu nhiên) của các thuật toán mã khối như AES / DES, v.v. (có lẽ với một số vòng nhiều hơn so với tiêu chuẩn được sử dụng) nhiều hơn so với giả định rằng bao thanh toán rất khó, chính xác là do không có cấu trúc đại số và vì vậy khó có thể tưởng tượng rằng sẽ có một loại thuật toán đột phá nào đó.

Người ta có thể xây dựng các mật mã khối trực tiếp từ các hàm một chiều, đây là một giả định tối thiểu cho phần lớn của crpyotgraphy, nhưng kết quả xây dựng sẽ không hiệu quả khủng khiếp và do đó không được sử dụng.

Vì người ta có thể chuyển đổi bất kỳ lược đồ mã hóa khóa công khai nào thành lược đồ khóa bí mật theo cách chung, bạn có thể có được các lược đồ khóa bí mật với các đảm bảo bảo mật có thể chứng minh tương tự.

Nhưng câu trả lời đó là phạm vi: đối với các mật mã được triển khai điển hình, chúng tôi không có phân tích bảo mật có thể chứng minh được theo nghĩa giảm vấn đề tính toán. Đã có những đề xuất cho các chuỗi khối với việc giảm bảo mật, nhưng hành lý tính toán cần thiết để tạo điều kiện cho việc giảm khiến chúng không bị cạnh tranh với các sơ đồ hiệu quả hơn như thuật toán AES.

Thật thú vị, cộng đồng bảo mật có thể chứng minh nói chung đã đồng ý rằng việc lấy bảo mật mã hóa (hoán vị giả) là một giả định, và sau đó giảm xuống khi phân tích các giao thức cấp cao hơn sử dụng mã hóa khối làm thành phần. Đó là, không giống như một số thách thức khác trong thiết kế giao thức bảo mật, dường như đủ để tin vào trực giác của các nhà phân tích mật mã về bảo mật khi nói đến blockciphers.