2015-06-30
321
Безопасность являлась самым важным фактором при оценке финалистов. В отношении какого-либо из алгоритмов никаких атак не зафиксировано.
Были зафиксированы только атаки против простейших вариантов алгоритмов, когда число раундов было уменьшено или были сделаны упрощения другими способами. Ниже дается краткое описание этих атак против вариантов с уменьшенным числом раундов, а также перечислены необходимые вычислительные ресурсы и ресурсы памяти.
Трудно оценить важность атак на варианты с уменьшенным числом раундов. С одной стороны, варианты с уменьшенным числом раундов на самом деле являются другими алгоритмами, и таким образом атаки на них никак не характеризуют безопасность исходных алгоритмов. Алгоритм может быть безопасен при n раундах, даже если он уязвим при n-1 раунде. С другой стороны, обычной практикой в современном криптоанализе являются попытки сконструировать атаки на варианты с уменьшенным числом раундов. С этой точки зрения вполне понятны попытки оценить "резерв безопасности" рассматриваемых кандидатов, основываясь на атаках на варианты с уменьшенным числом раундов.
NIST рассмотрел и другие характеристики финалистов, которые могут повлиять на их безопасность. Уверенность в анализе безопасности, выполненном при разработки AES, зависит от происхождения алгоритмов и принципов их разработки, а также от трудности анализа конкретных комбинаций операций, используемых в каждом алгоритме.
Атаки на варианты с уменьшенным числом раундов
Ниже в таблице приведены атаки на варианты с уменьшенным числом раундов. Для каждой атаки в таблице указано число раундов, при котором может осуществляться атака, длина ключа, тип атаки и необходимые ресурсы. Для атаки может требоваться три категории ресурсов: вычислительные, память, информация.
| Таблица 4.1. Атаки на варианты с уменьшенным числом раундов | |||||
| Алгоритм, раунды | Раунды (длина ключа) | Тип атаки | Текст | Байты памяти | Операции |
| MARS 16 Core (C) 16 Mixing (M) | 11C | Amp. Boomerang | 265 | 270 | 2229 |
| 16M, 5C | Meet-in-Middle | 2236 | 2232 | ||
| 16M, 5C | Diff. M-i-M | 250 | 2197 | 2247 | |
| 6M, 6C | Amp. Boomerang | 269 | 273 | 2197 | |
| RC6 20 | Stat. Disting. | 2118 | 2112 | 2122 | |
| Stat. Disting. | 294 | 242 | 2119 | ||
| 14 (192,256) | Stat. Disting. | 2110 | 242 | 2135 | |
| 14 (192,256) | Stat. Disting. | 2108 | 274 | 2160 | |
| 15 (256) | Stat. Disting. | 2119 | 2138 | 2215 | |
| Rijndael 10 (128) | Truncated Diff. | 29 | Small | 29 | |
| Truncated Diff. | 211 | Small | 240 | ||
| Truncated Diff. | 232 | 7*232 | 272 | ||
| Truncated Diff. | 6*232 | 7*232 | 244 | ||
| 7 (192) | Truncated Diff. | 19*232 | 7*232 | 2155 | |
| 7 (256) | Truncated Diff. | 21*232 | 7*232 | 2172 | |
| Truncated Diff. | 2128 - 2199 | 261 | 2120 | ||
| 8 (256) | Truncated Diff. | 2128 - 2199 | 2101 | 2204 | |
| 9 (256) | Related Key | 277 | NA | 2224 | |
| Rijndael 12 (192) | 7 (192) | Truncated Diff. | 232 | 7*232 | 2184 |
| 7 (256) | Truncated Diff. | 232 | 7*232 | 2200 | |
| Rijndael 14 (256) | 7 (192, 256) | Truncated Diff. | 232 | 7*232 | 2140 |
| Serpent 32 | 8 (192, 256) | Amp. Boomerang | 2113 | 2119 | 2179 |
| 6 (256) | Meet-in-Middle | 2246 | 2247 | ||
| Differential | 283 | 240 | 290 | ||
| Differential | 271 | 275 | 2103 | ||
| 6 (192, 256) | Differential | 241 | 245 | 2163 | |
| 7 (256) | Differential | 2122 | 2126 | 2248 | |
| 8 (192, 256) | Amp. Boomerang | 2128 | 2133 | 2163 | |
| 8 (192, 256) | Amp. Boomerang | 2110 | 2115 | 2175 | |
| 9 (256) | Amp. Boomerang | 2110 | 2212 | 2252 | |
| Twofish 16 | 6 (256) | Impossible Diff. | NA | NA | 2256 |
| Related Key | NA | NA | NA |
NA - информация недоступна.
Полный перебор ключа требует меньше памяти и информации и может легко выполняться параллельно с использованием нескольких процессоров. Таким образом, любую атаку, требующую операций больше, чем необходимо при полном переборе ключей, осуществить сложнее. По этой причине многие из атак на варианты с уменьшенным числом раундов относятся только к большей длине ключа AES, хотя и в данном случае требования выполнения не представляют сегодня практического интереса. Аналогично требования памяти важны для многих атак на варианты с уменьшенным числом раундов.
