Cryptanalysis
AES-CTR 模式和 Biclique 攻擊
破壞 AES(完整 AES 的 Biclique 密碼分析)的biclique 攻擊似乎需要解密預言機才能工作,大概是因為 AES 的密鑰調度在解密方向上較弱,從而能夠從密文端開始建構更好的 biclique。也就是說,這些攻擊表明,在選擇密文攻擊(CCA)模型下,AES 不具備 128 位的安全性。
但是,只需要我們假設底層分組密碼是 PRP 而不是 SPRP 的操作模式呢?即在選擇明文攻擊 (CPA) 模型下是安全的?例如,點擊率模式。AES-128-CTR 模式是否仍然具有 128 位的安全性而不受 biclique 攻擊?從明文端開始,是否還有對完整 AES 的 biclique 攻擊?
我不記得我們是否明確檢查過這一點,但我的猜測是,在選擇明文設置中,biclique 攻擊仍然比窮舉搜尋快,可能是選擇密文設置中的 2 倍和 4 倍。
然而,這兩個結果都遠不是宣布 AES 在任何意義上都被破壞了。幾乎所有的操作模式都可以接受如此小的窮舉搜尋。對於 CBC、CTR、CFB、OFB 模式,情況甚至更簡單:它們僅聲稱 64 位安全性,因為如果允許對手詢問超過 $ 2^{n/2} $ 查詢 $ n $ -位塊密碼,各種衝突效應使安全證明無效。此外,很難說明應該在生日界限之外提供什麼樣的安全性:密碼應該與隨機排列或函式無法區分,還是整個密文(可能長達千兆字節)應該具有此屬性。
總而言之,AES-CTR 的安全聲明根本不受 biclique 攻擊的影響,而且可能永遠不會受到影響,因為中間相遇攻擊(包括 biclique)通常不會比 $ 2^{n/2} $ .