Deci, este AES-256 mai sigur sau mai puțin sigur decât AES-128 până la urmă?

Se pare că există atacuri care funcționează mai eficient pe AES-256 decât pe AES-128, ceea ce îl face mai puțin sigur în unele cazuri. Dar dimensiunea mai mare a cheii ar trebui să adauge o marjă de siguranță pe de altă parte, de exemplu, făcându-l imun chiar și la computerele cuantice. Și am auzit unii oameni spunând că mai multe runde îl fac mai puțin sigur, iar alții spun că îl face mai sigur.

Problema este că încercați să faceți o comparație generică de securitate pe AES-128 și AES-256. Aș argumenta că, dacă veți să sapi mai profund - așa cum faci în prezent - atunci ideea că există un „nivel de securitate generic”, așa cum l-aș inventa eu, este greșită.

După cum ați spus, există un atac asociat cheii care este valabil numai pentru AES-256, legat în principal de programul cheii. Cu toate acestea, astfel de atacuri cheie asociate sunt posibile numai în circumstanțe foarte specifice, de ex. când AES-256 ar fi folosit ca primitiv pentru a crea un algoritm hash. AES-256 oferă o securitate de ~99 de biți pentru acest caz de utilizare specific, care este într-adevăr mai mică decât securitatea de ~128 de biți la care v-ați aștepta pentru AES-128. Acest lucru indică deja că AES-128 este uneori mai sigur decât AES-256, deși în general AES-256 ar trebui considerat mai sigur. Acesta este totuși un caz de utilizare de nișă, deoarece dimensiunea blocului de 128 de biți nu ar face AES un candidat bun în primul rând. Funcția hash Whirlpool (printre altele) de ex. este construit pe o funcție care a fost derivat de la AES, nu de la AES în sine.

Programul cheie este oarecum legat de numărul de runde, dar, în general, dacă aveți mai multe runde, face un cifru mai sigur, nu mai puțin.

Pe scurt, AES-256 bate AES-128. Utilizați AES-256, care este standardul de aur;

Criptanaliză

Atacurile asupra AES-256 nu îl fac practic nesigur, chiar și după 20 de ani cel mai bun atac are complexitatea $2^{254.3}$ pentru AES-256 și $2^{126.0}$ pentru AES-128

• 2015 Îmbunătățirea Criptanalizei Biclique a AES, Biaoshuai Tao și Hongjun Wu.

Atacurile legate de chei, așa cum sunt bine-cunoscute (după cum a menționat și Maarten), nu sunt legate de criptare, este important dacă inițiați funcția de compresie a construcției Merkle-Damgard cu AES. Aceste atacuri pot crea coliziuni interne care pot fi exploatate. De fapt, nu avem nevoie de asta, deoarece are o dimensiune prea mică a blocului.

Dacă vă uitați la atacul de mai sus, AES-128 este mai puțin sigur în comparație, pierzând 2 biți în 128 față de pierderea a 2 biți în 256.

Criptarea pe 128 de biți este mai puțin sigură în diferite moduri;

• Atacul cu mai multe ținte în care atacatorul obține perechi text clar-text cifrat cu chei diferite. În acest caz, ei pot găsi unele dintre chei mai repede decât forța brută. Pentru o $t$ vizați costul așteptat al găsirii unei chei este $2^{128}/t$. Dacă atacatorii au obținut un miliard de ținte, atunci vor putea găsi prima cheie mult mai mică decât securitatea pe 128 de biți. Costul ar fi sub $2^{100}$ iar ora ar fi mai jos $2^{70}$. Acest atac se aplică nu numai AES, ci și tuturor cifrurilor bloc.

  Acest atac a fost executat cu versiune paralelă de Mesele curcubeului lui Oechslin, sau citiți în nostru Q/A canonic.

• Atacul cuantic: Algoritmul de căutare Grover care poate avea viteză pătratică va face ca orice cifru bloc de 128 de biți să fie nesigur, $\aproximativ 2^{64}$-timp. Acest calcul brut omite detaliile importante;

  Atacul lui Grover pentru AES-128 necesită aproximativ $2^{64}$ evaluări succesive AES. Nu este clar cum se va realiza acest lucru, chiar dacă presupunem o secundă per evaluare, timpul va fi imens - 5.846×10^11 ani gregorieni medii.Este un număr foarte mare și cu un argument similar, putem vorbi despre faptul că AES-192 și AES-256 cu siguranță nu sunt realizabile.

  De asemenea, rețineți că algoritmul lui Grover este, de asemenea, paralelizabil, a $k$ paralel, algoritmul lui Grover poate oferi doar $\sqrt{k}$ îmbunătăţire. Nu este un câștig mare!.

Uitați de AES-128, utilizați criptarea pe 256 de biți ca standard de aur. Fără teamă de

• Criptanaliză,
• Atac cu mai multe ținte, sau
• Atacurile cuantice.

Utilizați AES-256-GCM (posibil și cu SIV) sau ChaCha20-Poly1305 (folosește mai bine xChaCha20-Poly1305 pentru o mai bună securitate nonce pe 192 de biți nonces)

Mai mult rotund face mai sigur

Chiar și simpla rundă a Algoritm de criptare minuscul este sigur după 32 de runde. Această lucrare ne-a arătat pur și simplu că putem asigura chiar și runde simple după multe runde; Twofish: un cifr pe bloc de 128 de biți Schneier şi colab., 1998;

Cu toate acestea, cu suficiente runde, chiar și funcțiile de runde proaste pot fi făcute să fie sigure.

A existat o sesiune la cea de-a 3-a conferință AES pe care Rose Anderson și-a dorit-o 32 de runde Rijndael. Mai rotund este mai sigur și acest lucru este cunoscut.