Может кто-то пояснить, можно ли при известном зашифрованном сообщении, расшифрованном, а также при известном init vector восстановить ключ (block size=128, key size=256, mode=CBC, padding=PKCS7)?

да, можно в 4 раза быстрее, чем брутфорс (AES-256 вскрывается за 2^254.1 операций)
http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf

Здравствуйте, marat321, Вы писали:

M>да, можно в 4 раза быстрее, чем брутфорс (AES-256 вскрывается за 2^254.1 операций)
M>http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf

Я видел мельком этот документ, но не совсем понял. Там точно учитывается знание IV (initialization vector)? Мне показалось, что там только input, output известны. Или ошибаюсь?

Я еще наткнулся на такой warning

When creating a key and IV, never derive one from the other, because knowing the IV could allow the attacker to determine the key. Also be sure to avoid a fixed IV for all encryption. The best solution is to use the random IV that the algorithm automatically creates when it’s initialized.

Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?

Здравствуйте, Димчанский, Вы писали:

Д>

When creating a key and IV, never derive one from the other, because knowing the IV could allow the attacker to determine the key. Also be sure to avoid a fixed IV for all encryption. The best solution is to use the random IV that the algorithm automatically creates when it’s initialized.

Д>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?

Как я понимаю, смысл первой фразы тут такой: ЕСЛИ ключ и IV будут генерироваться зависимо друг от друга, то, узнав IV, злоумышленники получат шанс определить и ключ.

Д>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?

Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.

Не, насколько я понял, они исходят из случая, что internal state неизвестен

Здравствуйте, marat321, Вы писали:

M>Не, насколько я понял, они исходят из случая, что internal state неизвестен

У меня есть подозрение, что знание internal state, и нескольких известных input, output должны сильно ускорить подбор ключа.

Здравствуйте, dilmah, Вы писали:

D>Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.

Вы уверены на счет IV?
Я может конечно что-то не так понял, но сколько мне довелось читать решение большой системы линейных уравнений (XSL-атака) основывается на знании только пар plain и зашифрованного текстов.
Я не видел, чтобы в работах рассматривалось знание IV.
У меня есть подозрение, что допонительное знание IV должно олегчить алгебраическую атаку. Только работ в этом направлении не видел.

Здравствуйте, dilmah, Вы писали:

Д>>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?

D>Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.
Там немного не про это.
Это про лень человеческую "ай ещё и IV хранить, будем его вычислять из Key прямо в коде IV = Key xor 0xbebebe..bebebe". В таком раскладе тот, кто от голоса из розетки каким то образом получит IV может внезапно(тм) получить ещё и Key.

Здравствуйте, Димчанский, Вы писали:

Д>Вы уверены на счет IV?
Д>Я может конечно что-то не так понял, но сколько мне довелось читать решение большой системы линейных уравнений (XSL-атака) основывается на знании только пар plain и зашифрованного текстов.
Д>Я не видел, чтобы в работах рассматривалось знание IV.
Д>У меня есть подозрение, что допонительное знание IV должно олегчить алгебраическую атаку. Только работ в этом направлении не видел.
IV же не считается секретом и, как мне кажется, подразуменвается, что он известен всем желающим.

Мне удалось связаться с Alex Biryukov. Вот пара его комментариев (хотел перевести, но и без перевода понятно).
На вопрос, дает ли что-то знание IV он ответил:

Knowing IV should not help much, but IV that is fixed all the time wouldn't make much sense. IV or nonce is typically a "number used once".
If IV is fixed and the same key is used several times, the attacker can build a dictionary for the 1st block.

Тогда я спросил, что если IV фиксируется и все время используется один и тот же ключ, а атакующему удалось составить словарь для первого блока. Сколько примерно по времени и памяти потребуется для нахождения ключа. Его ответ:

Finding the key would be very hard (not better than exh. search or some standard tradeoffs), dictionary attack could just help to read future messages without knowing the key.