Может кто-то пояснить, можно ли при известном зашифрованном сообщении, расшифрованном, а также при известном init vector восстановить ключ (block size=128, key size=256, mode=CBC, padding=PKCS7)?
... << RSDN@Home 1.2.0 alpha 5 rev. 1536>>
25.10.11 23:39: Перенесено модератором из 'Алгоритмы' — kochetkov.vladimir
Re: Криптостойкость AES (Rijndael) при известных input, outp
Я видел мельком этот документ, но не совсем понял. Там точно учитывается знание IV (initialization vector)? Мне показалось, что там только input, output известны. Или ошибаюсь?
When creating a key and IV, never derive one from the other, because knowing the IV could allow the attacker to determine the key. Also be sure to avoid a fixed IV for all encryption. The best solution is to use the random IV that the algorithm automatically creates when it’s initialized.
Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?
... << RSDN@Home 1.2.0 alpha 5 rev. 1536>>
Re[3]: Криптостойкость AES (Rijndael) при известных input, o
When creating a key and IV, never derive one from the other, because knowing the IV could allow the attacker to determine the key. Also be sure to avoid a fixed IV for all encryption. The best solution is to use the random IV that the algorithm automatically creates when it’s initialized.
Д>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?
Как я понимаю, смысл первой фразы тут такой: ЕСЛИ ключ и IV будут генерироваться зависимо друг от друга, то, узнав IV, злоумышленники получат шанс определить и ключ.
Re[3]: Криптостойкость AES (Rijndael) при известных input, o
Д>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?
Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.
Re[3]: Криптостойкость AES (Rijndael) при известных input, o
Здравствуйте, dilmah, Вы писали:
D>Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.
Вы уверены на счет IV?
Я может конечно что-то не так понял, но сколько мне довелось читать решение большой системы линейных уравнений (XSL-атака) основывается на знании только пар plain и зашифрованного текстов.
Я не видел, чтобы в работах рассматривалось знание IV.
У меня есть подозрение, что допонительное знание IV должно олегчить алгебраическую атаку. Только работ в этом направлении не видел.
... << RSDN@Home 1.2.0 alpha 5 rev. 1536>>
Re[4]: Криптостойкость AES (Rijndael) при известных input, o
Здравствуйте, dilmah, Вы писали:
Д>>Поэтому мне стало интересно, как, зная дополнительно IV, определить ключ?
D>Для того чтобы определить ключ зная input+output+IV нужно решить большую нелинейную систему уравнений, и основной design goal шифров в том чтобы решение этой системы было ненамного легче перебора.
Там немного не про это.
Это про лень человеческую "ай ещё и IV хранить, будем его вычислять из Key прямо в коде IV = Key xor 0xbebebe..bebebe". В таком раскладе тот, кто от голоса из розетки каким то образом получит IV может внезапно(тм) получить ещё и Key.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[5]: Криптостойкость AES (Rijndael) при известных input, o
Здравствуйте, Димчанский, Вы писали:
Д>Вы уверены на счет IV? Д>Я может конечно что-то не так понял, но сколько мне довелось читать решение большой системы линейных уравнений (XSL-атака) основывается на знании только пар plain и зашифрованного текстов. Д>Я не видел, чтобы в работах рассматривалось знание IV. Д>У меня есть подозрение, что допонительное знание IV должно олегчить алгебраическую атаку. Только работ в этом направлении не видел.
IV же не считается секретом и, как мне кажется, подразуменвается, что он известен всем желающим.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Мне удалось связаться с Alex Biryukov. Вот пара его комментариев (хотел перевести, но и без перевода понятно).
На вопрос, дает ли что-то знание IV он ответил:
Knowing IV should not help much, but IV that is fixed all the time wouldn't make much sense. IV or nonce is typically a "number used once".
If IV is fixed and the same key is used several times, the attacker can build a dictionary for the 1st block.
Тогда я спросил, что если IV фиксируется и все время используется один и тот же ключ, а атакующему удалось составить словарь для первого блока. Сколько примерно по времени и памяти потребуется для нахождения ключа. Его ответ:
Finding the key would be very hard (not better than exh. search or some standard tradeoffs), dictionary attack could just help to read future messages without knowing the key.