Puncte:0

Modul AES XEX: Atacurile în cache au fost demonstrate?

drapel az

Să presupunem AES în modul XEX, așa că criptăm un text simplu $x$ la fel de $E_K[x \oplus k_1] \oplus k_2$ Unde $E_K$ este cifrul obișnuit AES Block (să presupunem $x$ este de dimensiunea blocului).

Să presupunem că implementarea AES este vulnerabilă la atacurile canalului din partea cache. Au fost demonstrate atacuri împotriva acestui mod XEX al AES? Mi se pare destul de dificil, pentru că atacatorul nu știe nici intrarea, nici ieșirea $E_K$.

Puncte:2
drapel my

Să presupunem că implementarea AES este vulnerabilă la atacurile canalului din partea cache. Au fost demonstrate atacuri împotriva acestui mod XEX al AES?

De fapt, XEX nu pare să facă un atac de canal lateral atât de dificil.

AES folosește prima subcheie ca XOR pentru textul simplu; folosește ultima subcheie ca XOR final pentru a genera textul cifrat. Prin urmare, AES-XEX poate fi văzut ca AES normal, cu excepția faptului că prima și ultima subcheie sunt setate la valori arbitrare.

Ceea ce înseamnă aceasta este (de exemplu) atacul canalului tău lateral reușește să recupereze prima subcheie pentru AES-128, ceea ce nu îți oferă imediat întreaga cheie. Cu toate acestea, ați putea în mod logic să dezlipiți operațiunile interne AES până când ajungeți la a doua AddRoundKey și să o atacați (folosind același atac de canal lateral); obținerea asta vă va aduce (pentru AES-128) totul...

kelalaka avatar
drapel in
Poncho, AFAIK, atacurile cache se concentrează pe cheia primei runde. Știți unul care nu folosește cheia pentru prima rundă?
poncho avatar
drapel my
@kelalaka: de fapt, în acest caz, ataci mereu „cheia din prima rundă”; cu toate acestea, care este prima rundă se schimbă. În primul rând, atacați „cheia prima rundă” logică (care este de fapt cheia AES din prima rundă xorată cu xorul inițial XEX). Odată ce ați recuperat acest lucru, tratați cifrul ca pe un AES 9/11/13 cu câteva operațiuni publice în față (xorul inițial XEX și prima rundă) și atacați cheia primei runde a acelui AES scurtat (care este cheia a doua rundă a AES real)
kelalaka avatar
drapel in
Da, este adevărat, totuși, ideea mea reală este aceasta; este cât de realist să ataci runda a doua, deoarece trebuie să prinzi comutatorul de context de pe CPU...
poncho avatar
drapel my
@kelalaka: „trebuie să prindeți comutatorul de context pe CPU” - cred că înțelegeți greșit atacul cache-ului, unde permiteți să se întâmple întregul bloc de criptare și apoi determinați (după ce este în cache) ce regiuni au fost accesate) - regiunile atinse de a doua rundă vor fi în cache la fel ca regiunile atinse de prima rundă
kelalaka avatar
drapel in
Asta știu, problema este cum se poate fi sigur ce rundă are loc la criptare în modelul realist, nu în modelul ideal în care adversarul poate schimba cache-ul pe rundă. Ok, ar trebui să mă întorc și să citesc câteva articole...

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.