Salsa20 的安全性如何?
很長一段時間以來,我一直在聽說 Salsa20。它甚至是勒索軟體世界中最受歡迎的密碼。一些勒索軟體使用了這種密碼,可能是因為速度。
我想知道這個密碼與 AES 相比有多安全。密碼分析員對其進行了多少審查?
從Salsa20上的維基百科條目中提取資訊:
eSTREAM 選擇
Salsa20 已被 eSTREAM 項目選為 Profile 1(軟體)的第 3 階段設計,在第 2 階段結束時獲得所有 Profile 1 算法的最高加權投票得分。
$$ 6 $$Salsa20 之前被 eSTREAM 項目選為 Profile 1(軟體)的 Phase 2 Focus 設計和 Profile 2(硬體)的 Phase 2 設計,$$ 7 $$但沒有推進到 Profile 2 的第 3 階段,因為 eSTREAM 認為它可能不是資源極度受限的硬體環境的理想選擇。$$ 8 $$ 密碼分析
截至 2015 年,沒有針對 Salsa20/12 或完整的 Salsa20/20 的公開攻擊;已知最好的攻擊
$$ 3 $$打破 12 或 20 輪中的 8 輪。 2005 年,Paul Crowley 報告了對 Salsa20/5 的攻擊,估計時間複雜度為 2 165,並因“最有趣的 Salsa20 密碼分析”而贏得了伯恩斯坦的 1000 美元獎金。
$$ 9 $$這種攻擊以及所有後續攻擊都基於截斷差分密碼分析。2006 年,Fischer、Meier、Berbain、Biasse 和 Robshaw 報告了對 Salsa20/6 的攻擊,估計時間複雜度為 2 177,以及對 Salsa20/7 的相關密鑰攻擊,估計時間複雜度為 2 217。$$ 10 $$ 2007 年,Tsunoo 等人。宣布了對 Salsa20 的密碼分析,它使用 2 個11.37密鑰流對在 2255 次操作中打破 20 輪中的 8 輪以恢復 256 位密鑰。
$$ 11 $$但是,這種攻擊似乎無法與蠻力攻擊相提並論。 2008 年,Aumasson、Fischer、Khazaei、Meier 和 Rechberger 報告了針對 Salsa20/7 的密碼分析攻擊,時間複雜度為 2 153,他們報告了針對 Salsa20/8 的第一次攻擊,估計時間複雜度為 2 251。這種攻擊利用機率中性密鑰位的新概念來機率檢測截斷的差分。該攻擊可適用於使用 128 位密鑰破解 Salsa20/7。
$$ 3 $$ 2012 年 Aumasson 等人的攻擊。Shi等人改進了。aainst Salsa20/7(128 位密鑰)的時間複雜度為 2 109和 Salsa20/8(256 位密鑰)為 2 250。
$$ 12 $$ 2013 年,Mouha 和 Preneel 發表了一個證明
$$ 13 $$15 輪 Salsa20 對差分密碼分析是 128 位安全的。(具體來說,它沒有比 2 -130更高機率的差分特徵,因此差分密碼分析將比 128 位密鑰耗盡更困難。)
Salsa20 與人們合理要求的一樣安全和分析。它是知識淵博的密碼學家可以輕鬆地建議在現實世界中使用的為數不多的 AES 替代方案之一。