AES 相關密鑰攻擊後的更多輪次?
在他的部落格中, Schneier 討論了針對 10 輪 AES-256 的新的相關密鑰攻擊“另一種攻擊可以在 245 時間內破解 AES-256 的 10 輪版本,但它使用了更強類型的相關子密鑰攻擊”。
我的問題是他們還需要使用多少輪才能在 AES 上保持這個安全裕度(除了向 AES 256 密鑰計劃添加散列)?NIST 真的會再次將標準更改為更安全的東西,例如 Serpent 嗎?
考慮安全邊際的總輪數中的輪數。
我的問題是他們還需要使用多少輪才能在 AES 上保持這個安全裕度(除了向 AES 256 密鑰計劃添加散列)?
當 AES 標準化時,就破壞輪數而言,最著名的攻擊(pdf,第 19 頁)是一種相關的密鑰攻擊,它破壞了 9/14 輪 AES-256。對 AES-128 的最佳攻擊打破了 7/10 輪。
目前,最好的 攻擊(pdf、付費牆)實際上是全輪變體。只是那些攻擊只比蠻力好一點點。如果您假設這些攻擊不適用於增加輪次的變體,那麼通過將 AES-128 定義為 13 輪,將 AES-256 定義為 19 輪,或者為更好的數字定義 14 和 20 以防萬一,您將獲得相同的不間斷輪安全邊際目前的攻擊可以打破額外的一輪。
然而,“破發”是一個相當粗略的衡量標準。標準化時最好的實際攻擊(就計算成本而言)是針對所有變體進行六輪攻擊。現在,在 10/14 輪 AES-256 上至少有實際複雜的相關密鑰攻擊。
無論哪種方式,如果標準被修改,像 AES-128/256 的 14/20 輪可能是一個合理的數字,但攻擊仍然遠非實用。
NIST 真的會再次將標準更改為更安全的東西,例如 Serpent 嗎?
我懷疑他們只會將其更改為另一個現有的密碼。Serpent 可能有更多的安全邊際,但它在這一點上也看到了較少的密碼分析。更有可能是“AES-2”的另一場比賽,就像 SHA-3 的比賽一樣。當然,可能會送出現有密碼,但也會考慮新密碼。