Puncte:3

Analiza puterii de corelație pe AES - posibile modele de atac

drapel br

Din câte știu, este posibil să extragem cheia sau părțile cheie folosind atacul de analiză a puterii canalului lateral pe AES, dar avem nevoie de un model puternic de atacator pentru a face asta. Primul atac despre care știu este atacarea primei runde AES, comparând primul rezultat SBOX, unde trebuie să cunoaștem textul clar al urmelor noastre pentru a efectua acest atac. Al doilea atac nu necesită cunoașterea textului simplu, ci doar a textului cifrat, care este un model de atacator mai slab, deoarece putem adulmeca textul cifrat. Acest lucru atacă doar ultima rundă de AES și recuperează ultima cheie rotundă a AES, ceea ce, din cunoștințele mele, poate duce doar la recuperarea completă a cheii pentru AES128 și 192, dar nu și AES256. De asemenea, atacatorul trebuie să facă mai multe calcule din cauza operațiunii de schimbare a rândurilor între subocteți și text cifrat.

Cunoașteți alte CPA sau atacuri chiar mai puternice asupra AES? Cunosc DPA, dar nu este doar o versiune mai slabă a CPA și, în general, dacă putem efectua CPA, atunci de ce ar trebui să facem DPA?

Este posibil să efectuați CPA fără cunoașterea textului simplu sau a textelor cifrate?

fgrieu avatar
drapel ng
Observați că, dacă ați recuperat subcheia completă a ultimei runde a AES-256 știind rezultatul ultimei runde (text cifrat), acum puteți calcula ieșirea rundei anterioare, astfel că puteți ataca acea rundă anterioară prin aceeași metodă și puteți recupera cheia rotundă. ; si asa mai departe.
drapel br
@fgrieu ce este rezultatul ultimei runde? afaik recuperarea cheii AES256 de la ultima cheie rotundă ar lua complexitatea de 128 de biți
fgrieu avatar
drapel ng
Îmi pare rău, nu sunt vorbitor nativ de engleză. Prin „butlast round” mă refeream la runda dinaintea ultimei runde (penultima rundă). Mi-am editat direct comentariul. Metoda pe care o descriu, atunci când este fezabilă, furnizează subcheia penultimei runde cu o muncă comparabilă cu recuperarea subcheii pe 128 de biți din ultima rundă și care oferă mai multe informații despre cheie fără a necesita o căutare exhaustivă.
Puncte:1
drapel ng

Întrebarea și acest răspuns presupun că Analiza de putere a corelației poate găsi ultima cheie rundă a AES-256 sub un atac de text cifrat cunoscut. Aceasta înseamnă găsirea cheii de intrare pe 128 de biți a AddRoundKey în runda 14, știind că este rezultatul.

Odată ce s-a terminat, din textul cifrat cunoscut și acea cheie de 128 de biți, este posibil să se calculeze rezultatul AddRoundKey în runda 13 pentru fiecare text cifrat cunoscut (începem de la textul cifrat cunoscut și inversăm AddRoundKey, ShiftRows, SubBytes, la fel ca în decriptare).

Astfel, aceleași condiții care au permis CPA în runda 14 se aplică acum și în runda 13. Și apoi, efectuând acest atac mai devreme în execuție, pare posibil să găsim intrarea cheii pe 128 de biți a AddRoundKey în runda 13. Notă: există o diferență semnificativă totuși: în runda 13 există MixColumns între ShiftRows și AddRoundKey, când nu este în runda 14.

Când și dacă se termină a doua CPA, avem suficiente informații pentru a găsi cheia AES completă pe 256 de biți.

drapel br
cunoașterea ultimei chei rotunde și a textului cifrat înseamnă că pot calcula invers ultima rundă și pot ajunge cu intrarea în operația ultimului suboctet. Înainte de aceasta, există cea de-a 13-a fază de adăugare a cheii rundei, în care a 14-a subcheie este xored cu ieșirea coloanei mix a rundei înainte. cum ne dăm seama de cea de-a 14-a valoare a subcheii, dacă știm doar rezultatul operațiunii mixcolumns Xor cheie?
fgrieu avatar
drapel ng
@user100099: Aveți dreptate că există o diferență semnificativă în runda 14 și în runda 13, iar răspunsul recunoaște acum acest lucru. Îmi pare rău, nu voi intra în detaliile unui atac CPA real. Imaginea de ansamblu a punctului meu rămâne valabilă, sper: odată ce runda 14 a fost atacată cu succes, avem rezultatul rundei 13, la fel cum o avem pentru runda 14 sub atac de text cifrat cunoscut și putem spera să lansăm un (desigur, diferit) Atacul CPA în runda 13.
kelalaka avatar
drapel in
Există o problemă importantă aici; în mod normal, nu vă așteptați ca cineva să decripteze textul cifrat din nou și din nou. Într-o operațiune normală, aveți o singură lovitură. Pentru a forța utilizatorul/sistemul să decripteze din nou, ar putea avea nevoie de un atac suplimentar de eroare sau de un alt mecanism din protocol...

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.