密鑰破解:喜歡許多小文本而不是一個大文本?
如果攻擊者著手破解例如 AES-CTR 的對稱密鑰,他們更願意訪問許多小的密文還是一個大密文?即攻擊者看到許多 IV 的密碼文本比單個 IV 的密碼文本更有趣嗎?
如果破解者也可以使用明文(許多小的,可能相似的明文或一個大的),答案是否會改變?
每個(批准的)加密算法和模式的答案是否不同?
我假設完美的實現、IV 等,但對明文的屬性一無所知,除非攻擊者無法選擇它。
如果這些問題太多,需要太長的答案,請專注於第一個。
假設完美的實現和良好的分組密碼,這並不重要(對於您的任何問題)。
只要底層的分組密碼是好的並且有足夠長的分組長度(例如,128 位,就像所有版本的 AES 一樣),任何好的操作模式都有一個安全定理,可以保證對選擇的明文攻擊的安全性,總共大約 $ 2^{b/2} $ 數據塊,其中 $ b $ 是塊長度。為了 $ b=128 $ , 那是 $ 2^{64} $ 塊,這是任何人都無法有時間生成或加密(或儲存)的。
所有這些都適用於 CPA 安全性,這是一種比抗密鑰破解更強大的特性。
簡短的回答是破解(黑盒)AES 的密鑰非常困難。如果您引入側通道洩漏,那麼情況就完全不同了,但這可能不是您感興趣的。
讓我們完全忽略操作模式,假設允許攻擊者直接查詢兩者 $ \mathcal{E}_k(\cdot) $ 和 $ \mathcal{D}_k(\cdot) $ 任何他喜歡的資訊(顯然他不知道 $ k $ )。假設他可以自適應地選擇這些消息(即,他不必決定 $ i^{th} $ 查詢將一直持續到他根據查詢結果進行了一些計算 $ 1 $ 到 $ i-1 $ ).
他的目的是告訴我們是否
$$ \mathcal{E}_k(m) = \mathrm{AES}_k(m) \qquad\text{and} \qquad\mathcal{D}_k(m) = \mathrm{AES}_k(m) $$ 或者如果 $$ \mathcal{E}_k(m) = \pi(m) \qquad\text{and} \qquad\mathcal{D}_k(m) = \pi(m) $$ 對於一些 $ \pi $ 從所有排列的集合中均勻採樣 $ 2^{128} $ 元素。 即使在這種(幾乎可以肯定更強)的情況下,我們目前認為攻擊者即使在模糊的實際資源(時間、金錢、精力等)內也無法贏得比賽。如果有一種方法可以有效地恢復密鑰,那麼攻擊者可以使用這種技術來攻擊 $ \mathcal{E}_k(\cdot) $ 猜一個關鍵 $ \bar{k} $ ,然後檢查是否 $ \mathcal{E}k(m)=\mathrm{AES}\bar{k}(m) $ 幾條消息 $ m $ .