Cryptanalysis
TEA 被認為是安全的嗎?
Wikipedia 聲稱,對出人意料地簡單的TEA分組密碼的最佳攻擊(不是相關密鑰攻擊)的時間複雜度為 $ 2^{121.5} $ .
因此,儘管密碼看起來多麼簡單,但如果我正確使用 KDF 並且不使用相關密鑰,TEA 是否安全?
是的,AFAIK原來的 TEA是安全的,並且通常很好
- 密鑰是隨機的(密鑰更改應該是原子的並且使用新的隨機密鑰);
- 64 位塊大小不是問題(例如,使用了 ECB 以外的操作模式,並且在 1 GB 的數據之前更改了密鑰);
- 相對緩慢並不是一個阻礙;
- 側通道不是問題,或者得到了照顧(這並不是特別難;特別是 TEA 天生就不受定時攻擊的影響)。
我不知道隨機密鑰設置中的任何攻擊需要的工作比 $ 2^{126} $ 加密(根據已知等效密鑰的蠻力要求)。我所知道的最好的結果是 Jiazhe Chen、Meiqin Wang 和 Bart Preneel對輕量級塊密碼 TEA、XTEA 和 HIGHT 的不可能差分密碼分析(AfricaCrypt 2012)(免費更新論文的替代連結),它聲稱在 64 輪中的 17 輪中取得了成功. 這表明存在一定的安全邊際。
Vikram R. Andem 的論文(芝加哥大學,2003 年)也得出結論 TEA 是安全的,但這項工作有點過時了。
回答評論,TEA 使用不多的原因:
- TEA 出現在DES之後,它是標準的並由當局推動(最初,由於 DES 故意減小密鑰大小,因此在需要時可能會被破壞)。
- 3DES 適用於多種用途,最重要的是它是標準的。
- TEA 在 IDEA 之後顯著出現,IDEA在當時大多數 CPU 上都更快。
- David J. Wheeler 和 Roger M. Needham 在TEA 中提出的安全聲明,這是一種微型加密算法(FSE 1994 的程序),其中不送出(“希望它是安全的”)並且只有非常基本的理由。
- TEA 沒有以適合互操作性的方式定義:八位字節字元串到鍵和數據的映射沒有標准定義(如果我希望將 TEA 測試向量作為某個官方機構認可的八位字節字元串,我不知道在哪裡看!DES 是在這方面要好得多)。甚至輪數也沒有刻在石頭上:文章說“16個週期可能就足夠了,我們建議32個”;注意這句話推薦64輪!
- TEA 很快被證明在相關密鑰攻擊下易受攻擊。當密鑰是隨機的但不會激發信心時,這不是問題(特別是因為原始文章中沒有考慮到這一點以及微不足道的等效密鑰)。
- XTEA是在 TEA 之後不久引入的,用於修復相關密鑰攻擊;XTEA 沒有達到設計目標,需要修正XXTEA;後者失去了 TEA 的一些簡單性,並且當用作 128 位分組密碼時,需要更多輪次才能在隨機密鑰下獲得等效安全性;此外,XXTEA 在其寬塊變體中被嚴重破壞(主要是因為它使用的輪數太少),請參閱 Elias Yarrkov 的 XXTEA密碼分析(2010)。
- 每個 TEA 密鑰都有一個普通的等效密鑰;通常這不是問題(當密鑰是 8 字節字元串時,DES 更糟);但令人驚訝的是,TEA 的少數顯著用途之一(作為原始 XBOX 中設計不佳的雜湊中的建構塊)正是因為這個原因而失敗了!
- 上述 4..8 玷污了 TEA 的形象(決策者通常根據他們對其安全性或專業性的看法,甚至他們認為客戶會如何看待選擇來選擇密碼!);5 和 7 甚至對 TEA 實際上是什麼造成了混淆(如在最初的問題中連結到錯誤的算法,以及我在最初的答案中關於輪數的錯誤)。
- 在硬體中,TEA 將是高延遲的(因此在 CBC、OFB、CFB模式下很慢),因為它有很多輪;事實上(也許是後果),當有 DES、3DES 和 AES 時,TEA 沒有硬體,包括許多現代 CPU 中的後者;這通常使 TEA 比競爭對手慢得多。
- 如今,64 位密碼已過時。
注意:據我所知,最近對 TEA 的相關密鑰攻擊是由 John Kelsey、Bruce Schneier 和 David Wagner在 3-WAY、Biham-DES、CAST、DES-X、NewDES、RC2 和茶(ICICS 1997);它聲稱只有成功 $ 2^{23} $ 選擇明文和單個相關密鑰查詢,但有點不切實際:相關密鑰交換了原始密鑰的一半,加上其他微小的變化。然而,攻擊只會變得更好,任何用於 TEA 的密鑰都應該是隨機的。