128 位和 256 位 AES 加密被认为是弱的吗?
我想存档文件,我想我可以编写一个应用程序来使用 winrar 或 7z 自动完成。Winrar 使用 AES-128,7z 使用 AES-256。我想知道既然市场有四核,这是否容易破解?其中一些文件很小,如 10kb 甚至 4kb(也许一些文件小于 1k)
我想备份许多光盘,但我很紧张,如果有人真的想破坏它们,它们会很容易被破坏。
nik*_*nik 10
布鲁斯·施奈尔 (Bruce Schneier) 在 2009 年 7 月 30 日的帖子“另一种新的 AES 攻击”中描述了最近的 AES-256 漏洞
不恐慌的三个原因:
- 该攻击利用了一个事实,即 256 位版本的密钥时间表
非常糟糕——我们在 2000 年的论文中指出了这一点——但没有扩展
到具有 128 位密钥的 AES。
- 这是一种相关密钥攻击,它要求密码分析者能够访问使用以
特定方式相关的多个密钥加密的明文。- 攻击只破坏了 11 轮 AES-256。完整的 AES-256 有 14 轮。
那里没有太多安慰,我同意。但这就是我们所拥有的。密码学是关于安全边际的。如果您可以破解n轮密码,则可以将其设计为2n或3n轮。我们了解到的是 AES 的安全裕度比以前认为的要小得多。虽然没有理由放弃 AES 以支持另一种算法,但 NIST 应该增加所有三个 AES 变体的轮数。在这一点上,我建议 AES-128 16 轮,AES-192 20 轮,AES-256 28 轮。或者甚至更多;我们不想一次又一次地修改标准。
而对于新的应用程序。我建议人们不要使用AES-256。AES-128 为可预见的未来提供了足够多的安全余量。但是,如果您已经在使用 AES-256,则没有理由更改.
我手上的论文还是草稿。它正在密码学家之间传播,应该会在几天内上线。我会尽快发布链接(论文参考)。
上面的引用突出了与
我所做的问题和轻微的排版更改相关的问题。
Schneier 的打字速度可能比他想象的要慢……
原始参考文献是针对纯粹主义者的链接。
最后,如果你想看看一些 Stackoverflow 用户想说的话,
是否可以对 AES256 进行逆向工程?
简短的回答:没有。至少目前是这样。
有一个针对 AES128 的公开攻击,如果我没记错的话,它会稍微降低所使用的算法和密钥大小组合的有效强度。
最近针对 AES256 确定的攻击向量可能更严重,因为它们理论上可以将有效强度推低到 AES-128 以下,但仅限于某些非常非常特殊的情况。IIRC 这些攻击向量在现实世界中并不实用。尽管如此,加密社区正在认真对待它们,因为存在一种不切实际但可能的攻击方法可能会导致发现/开发更现实世界的实用方法。
| 归档时间: |
|
| 查看次数: |
16000 次 |
| 最近记录: |