什麼是prp優勢2802802^{80}-時間對手攻擊 AES-256?
我對我在 Dan Boneh 的幻燈片中讀到的討論 a 的優勢的內容有些困惑 $ 2^{80} $ - 攻擊 AES-256 的時間對手;根據 Boneh 的說法,假設這種優勢受限於 $ 2^{-40} $ (請參閱此處的幻燈片 8或在此處的影片中快進到 7:04’ )。
我一直在尋找一些講義(例如,Goldwasser-Bellare,第 72 頁,cseweb.ucsd.edu/~mihir/papers/gb.pdf 的第 5.5 節)和書籍(例如,Boneh-Shoup cryptobook draft 0.3 第 4 章,katz-lindell 書,或應用密碼學手冊第 7 章),但我仍然不確定這個界限。它似乎與對密鑰的量子攻擊無關,這可能證明平方根是合理的 $ 2^{80} $ ; 但是,對 AES-256 密鑰的詳盡搜尋應該採取 $ 2^{128} $ 踏上量子電腦。
此外,它似乎也與生日悖論無關。上述參考文獻中大多數與生日攻擊相關的界限都與操作模式相關聯(例如,與在同一密鑰下加密的塊數相關的 CTR 模式攻擊)、與 PRF 相關的證明等。我覺得令人困惑的是對手的時間複雜度和 PRP 優勢界限之間的聯繫,因為將 PRP 與真正隨機排列區分開來的攻擊尚不清楚。
是個 $ 2^{-40} $ 優勢假設準確嗎?如果是這樣,它是如何解釋的?為什麼對手會獲得這種優勢呢?
你誤解了 Dan Boneh 想說的話。沒有任何已知的針對 AES256 的攻擊甚至接近這種複雜性。但是,如果有一個已知的攻擊接近於此,那麼假設這是最好的攻擊是非常不明智的。在對假設進行形式化時,需要相對於已知內容保持保守。因此,Dan 舉了一個例子來說明如何制定關於 AES 的保守假設,而且他非常保守(這是一件好事)。