У 2003 годзе Агенцтва нацыянальнай бяспекі распачало беспрэцэдэнтны крок па сцвярджэнні алгарытму шыфравання AES для апрацоўкі засакрэчанай інфармацыі. Да гэтага моманту ўсе алгарытмы шыфравання, ухваленыя АНБ для засакрэчанай апрацоўкі, самі па сабе былі засакрэчаныя. Сіла любога добрага алгарытму шыфравання не павышаецца, калі трымаць канструкцыю ў сакрэце.
На самай справе, стандарт шыфравання ў грамадзкім набытку падвяргаецца бесперапыннаму, пільнаму, экспертнаму крыптааналізу. Любыя прарывы, хутчэй за ўсё, будуць даступныя як карыстальнікам, так і іх супернікам адначасова.
У спажывецкіх прыкладаннях гэта не такая ўжо вялікая праблема, але ў ваенных прыкладаннях сувязі яна можа быць катастрафічнай. Тут праціўнік можа размяшчаць рэсурсамі на ўзроўні нацыянальных разведвальных службаў і выкарыстоўваць уразлівасці, як толькі яны будуць выяўлены.
Калі будуць знойдзеныя практычныя ўразлівасці, то наступіць перыяд зніжэння даверу да тых часоў, пакуль не будзе ўстаноўлены новы алгарытм.
Лінейны крыптааналіз
Лінейны крыптааналіз выкарыстоўвае прыблізныя лінейныя залежнасці, якія існуюць паміж уваходамі і выхадамі функцыянальнага блока. У выпадку блокавага шыфравання лінейныя камбінацыі шаблонаў чыстага тэксту і лінейныя камбінацыі шаблонаў шыфраванага тэксту параўноўваюцца з лінейнымі камбінацыямі бітаў клавіш.
Мэта складаецца ў тым, каб выявіць сувязь, якая з'яўляецца сапраўднай або значна больш ці менш за 50% часу. Гэта будзе ўяўляць сабой" зрушанае " набліжэнне, якое затым можа быць выкарыстана для вызначэння ключавых бітаў. Лінейная атака будзе складацца, па-першае, з ідэнтыфікацыі зрушанага лінейнага набліжэння да алгарытму.
Затым ужыеце шаблоны чыстага тэксту, атрымаеце ўзоры шыфраванага тэксту і лінейна камбінуе іх у адпаведнасці з апраксімацыяй. Вынікам гэтай аперацыі з некаторай верагоднасцю стане лінейная камбінацыя бітаў клавіш. Дастаткова выпрабаванняў, каб можна было здагадацца аб некаторых ключавых бітавых значэннях. Больш выпрабаванняў і больш дакладныя лінейныя набліжэння падвысяць поспех гэтай атакі. Астатнія ключавыя біты знойдзены шляхам вычарпальнага пералічэння.
Дыферэнцыяльны крыптааналіз
Дыферэнцыяльны крыптааналіз выкарыстоўвае адносіны, існуючыя паміж адрозненнямі ва ўваходзе і выхадзе функцыянальнага блока. У выпадку выкарыстання алгарытму шыфравання разглядаюцца шаблоны з фіксаванымі адрозненнямі ў чыстым тэксце. Мэта складаецца ў тым, каб знайсці "характарыстыкі".
Характарыстыкі - гэта спецыфічныя адрозненні ў парах шаблонаў чыстага тэксту, якія для дадзенага ключа з высокай верагоднасцю могуць выклікаць спецыфічныя адрозненні ў парах шыфраванага тэксту. Дыферэнцыяльная атака будзе складацца з прымянення пар чыстага тэксту з фіксаванымі адрозненнямі, назірання за адрозненнямі ў парах шыфраванага тэксту і прысваення верагоднасцяў розным падключыў-кандыдатам.
Верагоднасці будуць заснаваныя на веданні крыптааналітыкам характарыстык алгарытму. Дастаткова выпрабаванняў, каб можна было вызначыць правільны ключ.
Атака Бумерангаў
Атаку бумерангаў, распрацаваную Вагнерам, можна разглядаць як мадэрнізацыю класічнага дыферэнцыяльнага крыптааналізу, які працуе не на парах з фіксаванай розніцай, а на чатырохразовых аб'ёмах дадзеных. Квадрупы (або квартэты) простых тэкстаў правільна падабраныя і назіраюцца разам з адпаведнымі квадрацікамі шыфраваных тэкстаў і прамежкавых станаў.
Вагнер паказаў, як прымяніць гэтую атаку да менш вядомым блокавым шыфрам. У 2005 годзе Бірукоў сцвярджаў, што бумерангавыя атакі на 5 і 6 стрэлаў АЭС нашмат хутчэй, чым вычарпальны ключавы пошук і ўдвая хутчэй, чым арыгінальная квадратная атака распрацоўшчыкаў АЭС.
Ўсечаныя адрозненні, квадратная атака і атакі інтэрпаляцыі
Ўсечаныя дыферэнцыялы - гэта абагульненне дыферэнцыяльнага крыптааналізу, у якім разглядаюцца часткова пэўныя дыферэнцыялы. Гэтыя частковыя дыферэнцыялы часта групуюцца ў пулы рознасныя пар. Гэта ўласцівасць можа даць статыстыку, якая значна спрашчае паспяховую атаку.
Квадратная атака - гэта абагульненне атакі, першапачаткова прапанаванай супраць квадратнага блокавага шыфра. Для гэтай атакі старанна падбіраецца "мультысет" простых тэкстаў, якія валодаюць пэўнымі ўласцівасцямі. Гэты мультысет прымяняецца да алгарытму, і затым распаўсюджванне іх разглядаецца праз розныя раўнды.
Ўстойлівасць гэтых уласцівасцяў дае ўяўленне аб статыстычных паводзінах алгарытму, з дапамогай якога можна выявіць біты ключа. Для нападаў інтэрпаляцыі шыфр мадэлюецца з дапамогай палінома высокага парадку. Затым Паліна вырашаецца для ключавых залежных каэфіцыентаў. Методыка вельмі эфектыўная, калі магчыма кампактнае выраз нізкай ступені апісання шыфра.
Рэзюмэ па бяспецы
Прынцыпы дыферэнцыяльнага, лінейнага крыптааналізу, усечаных дыферэнцыялаў, квадратычнай атакі і інтэрпаляцыйных нападаў паспелі яшчэ да праектавання AES.
У працы аўтары AES усталёўваюць умовы, пры якіх шыфр павінен быць абаронены ад дыферэнцыяльнага крыптааналізу адсутнасцю дыферэнцыяльных шляхоў з прагназуемым каэфіцыентам распаўсюджвання вышэй 21-n і ад лінейнага крыптааналізу - адсутнасцю лінейных шляхоў з каэфіцыентам карэляцыі вышэй 2n/2.
Затым яны паказваюць, што AES задавальняе гэтым умовам з 8 раўндамі і больш і, такім чынам, з'яўляецца, верагодна, абароненай ад абодвух гэтых метадаў. Акрамя таго, AES абаронены ад усечаных дыферэнцыялаў з 6 патронамі і больш, ад нападаў тыпу Square на працягу 7 цыклаў і больш і абаронены ад нападаў тыпу інтэрпаляцыі.
Алгебраічныя атакі
Алгебраічныя атакі ўпершыню былі ўведзеныя ў 2002 годзе. Для гэтых нападаў AES выяўляецца ў выглядзе сістэмы шматмерных паліномны раўнанняў па адным полі Галуа. Эфектыўнае рашэнне дадзенай сістэмы раўнанняў для аднаўлення ключавой зменнай з'яўляецца мэтай атакі.
Вельмі прывабнай асаблівасцю большасці алгебраічных нападаў з'яўляецца тое, што для іх патрабуецца толькі адна або вельмі невялікая колькасць пар просты тэкст/шыфраваны тэкст, у якіх выкарыстоўваецца невядомы ключ шыфравання.
Гэта рэзка кантрастуе, скажам, з класічнымі лінейнымі нападамі на DES, якія, магчыма, паддаюцца вылічэнню, але, на жаль, патрабуюць вельмі нерэалістычнага колькасці такіх пар, а менавіта каля 240.
З іншага боку, алгебраічная атака будзе небяспечнай толькі ў тым выпадку, калі набор раўнанняў, вызначаных шыфрам і невядомым ключом, будзе рэальна дазволім для памераў некалькіх тысяч зменных і раўнанняў. Няма пераканаўчых доказаў таго, што такія разлікі здзяйсняльныя, у той час як цяжкасці, звязаныя з апрацоўкай значна меншых па памеры спраў, сумна вядомыя.
XL і XSL
У 1999 г. Кіпніс і Шамір, мабыць, першымі звярнулі ўвагу некалькіх даследчыкаў на наступную агульную стратэгію: задаўшы сістэму шматмерных паліномаў, якія апісваюць сувязі паміж зменнымі, i/o і ключамі некаторых крыптаграфічных функцый, спачатку паспрабавалі выказаць яе ў выглядзе адзінага адназначнага палінома спецыяльнай формы праз поле пашырэння, а затым выкарыстоўваць яе для памяншэння зыходнай крыптаграфічнай задачы пашырэння сістэмы квадратычнага аналізу.
Такія сістэмы могуць падвяргацца нападам з выкарыстаннем метадаў пералінэарызацыі, якія прасцей апрацоўваць, але патрабуюць большай колькасці зменных. У 2000 г. Куртуаз, Клімаў, Патарын і Шамір пашырылі гэты падыход да патэнцыйна карыснага пры нападах на АЭС, які атрымаў назву алгарытм XL (пашыраная лінэарызацыя).
Гэта метад рашэння сістэм шматмерных квадратычных раўнанняў з дапамогай лінэарызацыі. За гэтым рушыла ўслед удасканаленне алгарытму XL, які атрымаў назву XSL (пашыраная сепаратарная лінэарызацыя) Куртуа і Пепшыка ў 2002 г.
Аўтары XSL імкнуліся выкарыстоўваць два ўласцівасці вялікіх сістэм раўнанняў, атрыманых з крыптааналіза: сістэмы вельмі разрэджаныя і перавызначаны. Было яшчэ некалькі дакументаў, у якіх прапаноўваліся дадатковыя ўдасканаленні гэтых алгарытмаў, але таксама было шмат дакументаў і тэзісаў, якія разумеюць, што гэтыя атакі, як і меркавалася, непрацаздольныя.
Cube Attacks
Атакі куба залежаць ад здольнасці вызначыць паліномнае апісанне выхаду шыфра нізкага парадку. Затым выкарыстоўваецца разумны ітэратыўны падыход, каб вырашыць выраз, каб знайсці біты ключа. Найбольш эфектыўная гэтая атака на струменевыя шыфры са структурай LFSR.
Лічыцца, што AES і DES абаронены ад атакі ў першую чаргу таму, што алгебраічны паліном, які можа апісаць любы добры блочны шыфр, быў бы занадта высокім, каб дазволіць гэтай атацы быць больш практычнай, чым грубая сіла пошуку ў ключавым прасторы.