多くの公開鍵暗号システムには、何らかの証明可能なセキュリティがあります。たとえば、Rabin暗号システムは、ファクタリングと同じくらい難しいと証明されています。
AESなどの秘密鍵暗号システムには、このような種類の証明可能なセキュリティが存在するのだろうか。そうでない場合、そのような暗号システムを破ることは難しいという証拠は何ですか?(試行錯誤攻撃への抵抗以外)
注: AES操作(AddRoundKey、SubBytes、ShiftRows、MixColumns)に精通しています。AESの難しさは、MixColumns操作に起因するようです。MixColumns操作は、ガロア体(および、代数)の難しい問題から難易度を継承する必要があります。実際、質問は次のように言い換えることができます。「どの難しい代数的問題がAESのセキュリティを保証するのか?」
回答:
MIXCOLUMNSは、列の混合にはすべてのSボックスが暗号化に参加する必要があるため、少数のSボックスのみに焦点を当てた攻撃を防ぎます。(Rijndaelの設計者は、これを「ワイドトレイル戦略」と呼びました。)Sボックスの分析が難しい理由は、有限フィールド反転演算の使用によるものです。反転は、S-boxエントリの配布テーブルを「スムーズ」にします。そのため、エントリは(ほぼ)均一に表示されます。つまり、キーなしのランダムな配布と区別できません。Rijndaelを既知の攻撃から確実に保護する2つの機能の組み合わせです。
余談ですが、Rijndaelのデザインの本は非常によく読まれており、暗号の理論と哲学について論じています。
デビッドが言ったように、AESにはそのような削減はありません。ただし、これは、RabinまたはRSA暗号システムがAESよりも安全であることを意味しません。実際、AES / DESなどのブロック暗号のセキュリティ(少なくとも一方向、おそらくは疑似ランダム)も信頼します。代数構造がないからこそ難しいので、ある種のブレークスルーアルゴリズムがあると想像するのは困難です。
一方向関数から直接ブロック暗号を構築できますが、これは多くの暗号化の最小限の前提ですが、結果の構築はひどく非効率的であるため使用されません。
一般的な方法で公開キー暗号化スキームを秘密キースキームに変換できるため、同様の証明可能なセキュリティ保証付きの秘密キースキームを取得できます。
しかし、その答えは意味があります。典型的な展開されたブロック暗号では、計算問題への還元という意味で証明可能なセキュリティ分析がありません。セキュリティが低下したブロック暗号の提案がありますが、削減を促進するために必要な計算上の手荷物により、AESアルゴリズムのようなより効率的なスキームとの競合がなくなります。
興味深いことに、証明可能なセキュリティコミュニティは一般に、ブロック暗号セキュリティ(擬似ランダム置換)を仮定として受け入れ、ブロック暗号をコンポーネントとして使用する高レベルプロトコルを分析するときにそれを減らすことは健全であることに同意しています。つまり、セキュアなプロトコル設計における他のいくつかの課題とは異なり、ブロック暗号に関しては、暗号解読者のセキュリティに対する直感を信頼すれば十分と思われます。