我們對沒有人破解 128 位密鑰的信心有多大?
在涉及像 AES-128 這樣的分組密碼的上下文中,不包括量子電腦、AES 上的密碼分析突破和實施攻擊(糟糕的 TRNG、DPA..)和扳手,我們對密鑰搜尋的信心有多大,“沒有人會破解一個128 位密鑰“直到 2100 年。假設人類*照常營業,*使用價值1 年的全球電力生產,價值 1 年的齒輪工業生產(使用多年)。
全面披露:我試圖挑戰我自己不成熟的觀點。
更新:如果我們允許多目標攻擊,我將其保持打開狀態,其中相同的已知明文可在許多隨機 128 位密鑰下加密。這有很大的不同,但是分組密碼的細節變得不那麼重要了,這很好。
注意:我們有一個相關的問題;但它正在考慮 256 位密鑰大小,適合該大小的方法不需要精確,並且尚未對 128 位得出明確甚至明確的結論;加上答案已經將近 6 年了,從那時起執行的 SHA-256 比我當時預測的要多得多。
注意:我們在 128 位密鑰級別有另一個相關問題,但它僅限於目前可用的技術。在這裡,我們必須考慮比可用於密碼分析的量子電腦更合理的可預見技術。
注意:為了使定量答案更可證偽,已經設置了 2100 和其他限制(而不是*在人類作為一個物種的未來中的原始限制)。*比如說,3 月 1 日的全球末日,因為軍事分包商在閏年規則上犯了錯誤。
這個問題似乎在問我們電腦的增長速度有多快。沒有密碼分析突破,也沒有量子計算,本質上意味著沒有比蠻力更快的攻擊。
那麼在未來的某個時候,擁有大量資源的人類是否能夠暴力破解 128 位密鑰?我會回答,也許。256 位密鑰幾乎絕對不是。
顯然預測是困難的,尤其是未來,但假設人類不會自我毀滅,它將繼續進步,並且假設它將接近可能的極限並不是不合理的。
關於蠻力理論極限的主要討論是最低能量需求。我懷疑我們可能缺少加密堆棧交換的物理學家,所以我會嘗試。
暴力破解密鑰需要列舉密鑰。這需要更改位。每個位的變化都會刪除一些資訊,並且需要的能量最少。蘭黛的極限 https://en.m.wikipedia.org/wiki/Landauer%27s_principle
對於在室溫下強制 128 位,得出 262.7 Twh(西班牙的年用電量),這是很多但不是人類無法實現的。通過降低溫度,我們可以改善這一點。有人說我們可以建造另一種不會刪除資訊的電腦,這個限制將不適用於它。儘管這樣的電腦可能會違背排除量子電腦的問題的精神。
所以我們實際上並沒有任何好的理論限制來防止人類最終暴力破解 128 位密鑰。這導致了我的回答。也許。
對於 256 位,相同的能量限制將使暴力破解遠遠超出可能的範圍。
我相信我可以根據半導體和經典物理學的現狀來界定這個問題。我的意思是排除量子電腦和量子設備。我們已經到了想要速度翻倍就需要功率翻倍的地步,因此現代 CMOS 已經走到了盡頭,但您仍然可以通過功率爭論來挑逗。
假設需要一個電子來切換門;但是,要在系統中獲得“增益”,您需要的不僅僅是一個電子,因為晶體管增益來自通道縮短(將反相器繪製為電阻對的人會造成傷害)。出於這個原因,我將假設每個晶體管在 1V 上需要 3 個電子。我將進一步假設基板的直接帶隙和無限電容以 1:1 耦合以立即打開柵極,因此我忽略了基板反轉的時間(這是物理限制因素)
我現在必須做一個硬體假設(對不起),我將使用 AES-128 只是因為我可以解決問題。我有 5 個 S-Box,每次嘗試 890 個電子(我有一個內部 S-Box 參考來計算乘法反轉,我只是從門數計算了這個)。Rcon 花費了我 112 美元,其餘的關鍵時間表花費了我 314 美元。混合列和密碼成本似乎約為 1480。狀態寄存器總共花費了我 16384。這給了我每輪總共 22740 個電子,共 10 輪。
結果是每次嘗試 3.6433e-15 W。這意味著它需要 1.2398e+24 瓦來探索完整的密鑰空間。這大約是目前世界能源創造的 2 年。假設你需要 $ 2^{127} $ , 嘗試總共 6.198e+23 瓦,或一年的世界能量。這些數字代表了經典物理學中半導體目前行為的下邊界條件。