Până în mai 2009, singurele atacuri publicate cu succes împotrivalgoritmului complet AES au

fost atacurile canalului lateral (side-channel) asupra unor implementări specifice. Agenția
Națională de Securitate (NSA) a revizuit toți finaliștii AES, inclusiv Rijndael, și a declarat că toți
au fost suficient de siguri pentru datele ne-clasificate ale guvernului Statelor Unite. În iunie
2003, guvernul american a anunțat că AES poate fi utilizat pentru a proteja informațiile
clasificate: "Designul și rezistența tuturor lungimilor cheie ale algoritmului AES (adică 128, 192
și 256) sunt suficiente pentru a proteja informațiile clasificate până la nivelul SECRET.
Informațiile TOP SECRET vor necesita utilizarea cheilor de lungime de 192 sau 256 de biți.
Implementarea AES în produsele destinate să protejeze sistemele și / sau informațiile naționale
de securitate trebuie revizuită și certificată de NSA înainte de achiziționarea și utilizarea
acestora." AES are 10 runde pentru chei de 128 biți, 12 runde pentru chei de 192 de biți și 14
runde pentru chei de 256 de biți. Până în 2006, cele mai cunoscute atacuri au fost cele 7 runde
pentru chei de 128 biți, 8 runde pentru chei de 192 biți și 9 runde pentru chei de 256 de biți.
Pentru criptografi, o "spargere" criptografică este ceva mai rapid decât o căutare exhaustivă.
Astfel, un atac XSL împotriva unui AES pe 128 de biți care necesită 2^100 de operații (în
comparație cu 2^128 de chei posibile) ar fi considerat o spargere. Cel mai mare atac de forță
brute, cunoscut în public, a fost împotriva unei chei RC5 de 64 de biți . Spre deosebire de
majoritatea celorlalte blocuri de cifru, AES are o descriere algebrică foarte curată. În 2002, un
atac teoretic, denumit "atac XSL", a fost anunțat de Nicolas Courtois și Josef Pieprzyk,
pretinzând că prezintă o slăbiciune a algoritmului AES datorită descrierii sale simple. De atunci,
alte documente au arătat că atacul prezentat inițial nu este posibil; a se vedea atacul XSL asupra
cifrurilor de tip bloc. În timpul procesului de adoptare a AES, dezvoltatorii de algoritmi
concurenți au scris despre Rijndael: "... suntem preocupați de utilizarea sa în aplicații critice de
securitate". Cu toate acestea, la finalul procesului AES, Bruce Schneier, un dezvoltator al
algoritmului competitiv Twofish, a scris că, deși el credea că atacurile academice reușite asupra
lui Rijndael ar putea fi dezvoltate într-o zi, "Nu cred că cineva va descoperi vreodată un atac
care permite cuiva să citească traficul de la Rijndael. " Pe 1 iulie 2009, Bruce Schneier a
dezvăluit un atac cu privire la versiunile de 192 biți și 256 de biți ale AES descoperite de Alex
Biryukov și Dmitry Khovratovich; atacul cheie asociat cu versiunea de 256 de biți a AES
exploatează simplitatea programei de chei a programului AES și are o complexitate de 2^119.
Acesta este o continuare a unui atac descoperit anterior în 2009 de Alex Biryukov, Dmitry
Khovratovich și Ivica Nikolic, cu o complexitate de 2^96 pentru una din fiecare 2^35 chei.
44 advanced encryption standard , un alt atac a fost anunțat pe blog de Bruce Schneier la 30
iulie 2009 și publicat pe 3 august 2009. Acest nou atac de către Alex Biryukov, Orr Dunkelman,
Nathan Keller, Dmitry Khovratovich și Adi Shamir este împotriva lui AES-256 care folosește doar
două chei asociate și timp de 2^39 pentru a recupera cheia completă de 256 biți a unei versiuni
cu 9 runde sau timp de 2^45 pentru o versiune cu 10 runde, cu un tip mai puternic de atac de
subcheie asociat, sau cu timp de 2^70 pentru o versiune cu 11 runde. AES cu chei de 256-biți
folosește 14 runde, deci aceste atacuri nu sunt eficiente împotriva AES complet. În noiembrie
2009 a fost publicat primul atac împotriva versiunii cu 8 runde a lui AES-128. Acest atac
distinctiv cu cheie cunoscută este o îmbunătățire a reculului sau a atacurilor de la început de la

PUBLIC
mijloc pentru permutările asemănătoare AES, care văd două runde consecutive de permutare
ca fiind aplicarea așanumitei Super-Box. Funcționează pe versiunea cu 8 runde a modelului AES-
128, cu o complexitate de calcul de 2^48 și o complexitate de memorie de 2^32.

Noi atacuri AES :

Cele mai recente atacuri se concentrează pe scenariul de atac cu o singură cheie. Astfel, ne-am
concentrat asupra trei atacuri recente asupra AES în modelul de atac cu o singură cheie , si
anume urmatoarele :

• The Multiset Attack;

• Low Data Complexity Attacks ;
• Biclique Attacks on AES .

• The multiset attack :

Atacul lui Dunkelman [DKS10] reprezintă cea mai recentă etapă de îmbunătățiri multiple la
atacul pătratului. Se bazează pe atacul lui Demirci și Sel¸cuk de la [DS08], care în sine este o
îmbunătățire a atacului lui Gilbert și Minier din 2000 [GM00]. Din cauza relației sale strânse cu
atacul pătratului original, este, de asemenea, un atac cu o singură cheie folosind texte
clare.Ideea generală din spatele tuturor acestor atacuri este de a găsi o proprietate distinctă
sau un deosebitor. Un bun deosebitor ne permite să diferențiem o succesiune de valori,
produse decriptarea unui text simplu printr-un anumit număr de runde AES, dintr-o secvență
aleatorie. O astfel de secvență este construită prin criptarea mai multor texte clare și selectarea
valorilor a unui singur octet de text cifrat . Proprietatea echilibrată în sine este un astfel de
distinctiv. Data o secvență de 256 de valori, o putem folosi pentru a verifica dacă această
secvență provine din criptarea unui text simplu prin trei runde de AES sau este doar o
permutare aleatorie. Aceasta este folosită în atacul pătratatului pentru a verifica presupunerile
cheie făcute în ultimele două runde. Dacă proprietatea echilibrată este valabila, este foarte
probabil ca presupunerea cheie să fie corectă. Deoarece teoria acestui atac este destul de
extinsă, mai întâi explicăm distincția cu 3 runde de Gilbert și Minier, urmat de diferența
îmbunătățită de Demirci și Sel¸cuk și atacul lor de bază asupra variantei de rundă redusă a AES
cu șapte runde . Apoi, continuăm cu noile tehnici adăugate de Dunkelman și explicăm în detaliu
atacul lor îmbunătățit pe șapte runde.

PUBLIC
Performanta atacului :
Faza de precalculare definește complexitatea generală a memoriei atacului, deoarece toate
multiseturile calculate trebuie să fie stocate într-un tabel hash. Deoarece un multiset poate fi
reprezentat cu 512 biți, complexitatea memoriei este de 2130 blocuri de 128 de biți. Calcularea
unei singure intrări a unui multiset este similar cu aproximativ patru runde complete. Deoarece
un multiset conține 256 de elemente, complexitatea timpului este echivalentă cu :
2128· 256 · 2 −3 = 2133 criptări în 7 runde.
Calcularea complexității de timp a fazei online este destul de simplă: este clar din descrierea
atacului de mai sus că partea cea mai consumatoare de timp este criptarea 2113 texte clare.
Toate celelalte părți sunt mult sub această limită, astfel încât complexitatea generală a timpului
este aproximativ 2113 criptări în 7 runde. Complexitatea datelor este dominată și de cele 2113
de texte clare alese.

• Low Data Complexity Attacks :

O problemă comună a atacurilor este că necesită o cantitate destul de mare de date. Atacul
Saturation necesită 232 de perechi de text clar pentru AES-128 cu 6 runde, iar atacul Multiset
de sus necesită cât mai multe 2113 perechi text clar-text cifrat. În această secțiune, aruncăm o
privire mai atentă asupra unei abordări diferite pentru atacuri asupra AES care necesită doar o
cantitate minimă de date. În acest scop, prezentăm o serie de atacuri ale lui Bouillaguet pe care
ei le numesc atacuri cu complexitate scăzută a datelor (LDC) . Vom afla în principal despre
[BDD+10] de Bouillaguet și lucrarea strâns legată [BDF12] de Bouillaguet, Derbez și Fouque din
2012, unde autorii descriu instrumentele folosite pentru a găsi automat noi atacuri cu date
minime complexitate.
În general, găsirea unor astfel de atacuri este dificilă, deoarece majoritatea cifrurilor și
programul lor cheie au nevoie proprietăți specifice care pot fi exploatate cu o cantitate minimă
de date disponibile. De cand majoritatea cifrurilor precum AES sunt proiectate pentru a avea o
difuzie ridicată pe întregul lor număr de runde, atacurile LDC pot fi găsite doar pentru câteva
runde. La început, acest lucru ar părea inutil pentru că acest lucru nu reprezintă o amenințare
pentru securitatea unui cifru. Cu toate acestea, există motive întemeiate sa luați în considerare
aceste tipuri de atacuri: în primul rând, astfel de atacuri sunt mai strâns legate de practica in
aplicații, deoarece obținerea unor cantități mari de perechi text simplu-text cifrat necesită
adesea mult timp și stocare și face atacul mai puțin practic. În plus, un atac asupra unui câteva
runde cu o complexitate minimă a datelor oferă o bază bună pentru atacuri mai complexe
pe mai multe runde. Este oferită o listă de exemple concrete despre cum pot fi utilizate astfel
de atacuriîn [BDD+10]. Cele mai importante includ:

PUBLIC
Side attacks : Scopul acestor tipuri de atacuri este de a reduce atacul asupra întregului cifru la
un atac pe o singură rundă cu doar 2 perechi cunoscute text clar-text cifrat. Ideea pentru
atacuri de alunecare a fost descrisă pentru prima dată de Wagner și Biryukov în [BW99] .
Side channel attacks : pentru acest tip de atacuri, un atacator are în mare parte acces la unele
informații despre starea internă și cantitatea de date prezenta, de asemenea, adesea foarte
scăzută. De aici in astfel de cazuri, atacurile cu complexitate redusă a datelor ajută la acest tip
de atacuri.
Building blocks: atacurile LDC pot fi folosite pentru a construi atacuri mai complexe. De
exemplu, un atac în [BDD+10] folosește un atac cu 2 runde de complexitate scăzută a datelor
pentru a construi a atac cunoscut în text clar pe șase runde de AES.

Attacks on similar cyphers: Anumite cifruri au aceleași operațiuni de bază. De exemplu,

există alte cifruri și funcții hash care folosesc operații de bază similare ca AES.

• Biclique Attacks on AES

În general, atacurile meet-in-the-middle asupra cifrurilor bloc au primit mai puțină atenție
deoarece acestea necesită ca părțile majore ale cifrului să fie independente de cheia de
criptare. Proprietățile cifrului, cum ar fi difuzia ridicată, contracarează acest lucru. În consecință,
așa cum am văzut cu LDC atacurile pe AES de mai sus, atacurile standard meet-in-the-middle
funcționează doar pentru un număr limitat de runde. Cu toate acestea, Bogdanov a combinat
abordarea întâlnirii la mijloc cu o altă tehnică numită biclique [BKR11]. Acest lucru le-a permis
să construiască noi atacuri care sunt mai rapide decât un atac standard de forță brută și
funcționează pe toate cele trei variante de AES, în sus la numărul lor complet de runde.
Conceptul de bicliques a fost introdus pentru prima dată de Khovratovich pentru criptoanaliza
funcțiilor hash, în special pentru SHA-3 și SHA-2 [KRS11]. Bogdanov au fost primii care au adus
peste asta conceptul de a bloca criptoanaliza cifrurilor cu atacurile lor biclique asupra AES .

Summary :
În această parte, am prezentat trei exemple care descriu atacurile recente asupra AES în
scenariul de atac cu o singură cheie. Pentru fiecare atac, am introdus cunoștințele teoretice de
bază .
Cu toate acestea, atacurile rezultate sunt doar puțin mai rapide decat un atac de forta bruta .
Astfel, sunt doar atacuri teoretice .

PUBLIC
PUBLIC