题 128和256位AES加密是否被认为是弱的?


128和256位AES加密是否被认为是弱的?

我想存档文件,我想我可以编写一个应用程序,以自动使用winrar或7z。 Winrar使用AES-128和7z使用AES-256。我想知道,如果市场有四核的话,这是否容易破解?其中一些文件很小,如10kb甚至4kb(可能是一些文件<1k)

我想要备份许多光盘,但我很紧张,如果有人真的想打破它,它们是多么容易被打破。


5
2017-08-09 00:02




算法本身可能会在一段时间内合理安全。尽管在任何一个程序中实施它都可能有很多不足之处。这些都是使用FIPS 140-2认证的加密模块吗?考虑到认证费用的多少,这是不太可能的。我不知道您希望用它保护哪种数据,但对于您的标准家庭或企业用途,AES是一个不错的选择。只需找到满足您需求的良好实施方案即可。 - romandas
我相信256位,而不是258位。 - Jonathan Leffler
@Jonathan Leffler,哎呀,打错了钥匙。


答案:


Bruce Schneier在2009年7月30日的帖子中描述了最近的AES-256休息时间,
另一个新的AES攻击

有三个原因  恐慌:

  1. 该攻击利用了256位版本的密钥调度这一事实
      非常糟糕 - 我们在2000年的论文中指出了这一点 - 但并没有扩展
      使用128位密钥进行AES。      
    • 这是一个相关密钥攻击,需要密码分析者才能访问
        使用以特定方式相关的多个密钥加密的明文。
    • 这次袭击只打破了11轮AES-256。完整的AES-256有14轮。

我同意,那里不太舒服。但这就是我们所拥有的。密码学是关于安全边际的。如果你能打破 ñ 一轮密码,你设计它 2N 要么 3N 轮。我们正在学习的是,AES的安全范围远低于之前所认为的。虽然没有理由废弃AES而采用其他算法,但NIST应该增加所有三种AES变体的轮数。 在这一点上,我建议16轮AES-128,20轮AES-192和28轮AES-256。或者甚至更多;我们不想一次又一次地修改标准。

对于新的应用程序,我建议人们不要使用AES-256。 AES-128为可预见的未来提供了足够的安全保证金。但 如果您已经使用AES-256,则没有理由进行更改

我的论文仍然是草案。它正在密码学家之间传播,并且应该在几天内在线。我会尽快发布链接(论文参考)。

上面的引文有与问题相关的重点和
我做出了温和的印刷变化。
施奈尔的打字速度可能比他认为的慢......
原始参考文献与纯粹主义者联系在一起。


最后,如果您想了解一些Stackoverflow用户想要说些什么,
是否可以对AES256进行逆向工程?


9
2017-08-09 07:14





简答:不。至少目前。

发布了针对AES128的攻击,如果我记得正确地敲了一下左右的算法的有效强度和使用的密钥大小组合。

最近针对AES256发现的攻击媒介可能更严重,因为理论上他们的有效强度可能会低于AES-128 但仅限于某些非常特殊的情况。 IIRC这些攻击媒介在现实世界中并不实用。然而,密码社区正在认真对待它们,因为存在一种不切实际但可能的攻击方法可能会导致发现/开发更真实的实际攻击方法。


9
2017-08-09 00:22





布鲁斯施奈尔对他进行了讨论 博客 在2009-07-30。从表面上看,似乎AES-192和AES-256可能不如AES-128强。尽管这些算法暂时是安全的,正如David Spillet在他的回答中所说,现在有人提出问题,并且(正如Bruce Schneier在链接的博客文章中所说)“这再次证明了密码学家的谚语:攻击总是变得更好,他们永远不会变得更糟“


1
2017-08-09 05:59





答案是“它取决于”。美国政府认为它们足够安全,可以获得“非机密”信息(http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf)所以,除非你存储像什么的东西  继续进入51区,他们应该足够了。我相信 潜在 已经发现针对他们的攻击(在不太可能的情况下),但对于偶然的黑客或脚本小家伙来说,这些方法真的可行吗?无论如何a 潜在 攻击不会使算法“弱”。

在这里阅读更多: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Security


0
2017-08-09 00:31