128 和 256 位 AES 加密是否被认为是弱的?
我想存档文件,我想我可以编写一个应用程序来自动使用 winrar 或 7z 进行存档。Winrar 使用 AES-128,而 7z 使用 AES-256。我想知道现在市场上有四核处理器,这是否很容易被破解?其中一些文件很小,比如 10kb 甚至 4kb(也许一些文件小于 1k)
我想备份许多光盘,但我很担心如果有人真的想破坏它,它们很容易被破坏。
答案1
Bruce Schneier 在其 2009 年 7 月 30 日的帖子中描述了最近的一次 AES-256 破解,
另一种新的 AES 攻击
原因有三不是恐慌:
- 这次攻击利用了 256 位版本的密钥安排
相当糟糕的事实 - 我们在 2000 年的论文中指出了这一点 - 但并没有扩展
到使用 128 位密钥的 AES。
- 这是一种相关密钥攻击,要求密码分析者能够访问
用以特定方式相关的多个密钥加密的明文。- 此次攻击仅破坏了 AES-256 的 11 轮。完整的 AES-256 有 14 轮。
我同意,这没什么安慰作用。但这就是我们所拥有的。密码学完全是关于安全边界的。如果你能破解n密码的轮次,你用2n或者3n轮数。我们了解到 AES 的安全裕度比之前认为的要小得多。虽然没有理由放弃 AES 而采用其他算法,但 NIST 应该增加所有三种 AES 变体的轮数。此时,我建议 AES-128 为 16 轮,AES-192 为 20 轮,AES-256 为 28 轮。或者甚至更多;我们不想一次又一次地修改标准。
和对于新应用程序,我建议不要使用 AES-256。AES-128 在可预见的未来提供了足够的安全余量。但是如果你已经在使用 AES-256,则无需更改。
我手上的论文还只是草稿。它正在密码学家中流传,几天后应该会上线。我一拿到它就会发布链接(论文参考)。
上面的引文重点突出了与问题相关的内容,
我做了一些轻微的排版更改。Schneier
的打字速度可能比他想象的要慢……
原始参考资料已链接到纯粹主义者那里。
最后,如果你想看看一些 Stackoverflow 用户想说什么,
是否可以对 AES256 进行逆向工程?
答案2
简短回答:没有。至少目前没有。
曾经有一个针对 AES128 的公开攻击,如果我没记错的话,这次攻击稍微削弱了所使用的算法和密钥大小组合的有效强度。
针对 AES256 识别出的近期攻击媒介可能更为严重,因为它们理论上可能将有效强度推低至 AES-128 以下但仅限于某些非常特殊的情况。如果我没记错的话,这些攻击媒介在现实世界中并不实用。但它们受到了加密社区的重视,因为一种不切实际但可行的攻击方法的存在可能会导致发现/开发一种更适合现实世界的实用方法。
答案3
Bruce Schneier 在他的博客2009-07-30。从表面上看,AES-192 和 AES-256 的强度可能不如 AES-128。尽管这些算法目前是安全的,但正如 David Spillet 在其回答中所说,现在出现了一些问题,并且(正如 Bruce Schneier 在链接的博客文章中所说)“这再次证明了密码学家的格言:攻击总是越来越好,永远不会变得更糟”。
答案4
答案是“视情况而定”。美国政府认为它们对于“非机密”信息来说足够安全(http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf)所以除非你存储的是真的51 区应该足够了。我相信潜在的针对它们的攻击(在不太可能的情况下)已经被发现,但这些方法对于普通黑客或脚本小子来说真的可行吗?而且无论如何潜在的攻击不会使算法变得“弱”。
更多详情请阅读:http://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Security