特定のAES衝突を構築することは可能ですか?
平文メッセージPがあり、キーKを使用して暗号化して暗号文Cを取得するとします。
暗号化の結果がCになるように別の平文メッセージP 'とキーK'を見つけるのは簡単です。K 'を使用してCを復号化してP'を取得するだけです。
しかし、任意のキーを使用して暗号化したい特定のP 'があるとすると、キーで暗号化されたP'はCになります。これは実現可能ですか?
いいえ。キーだけではありません。
既知の平文と既知の暗号文がある場合、そこから鍵を取得する問題は「既知の平文攻撃」と呼ばれます。
そして、AESを含む最新の暗号化システムは、これに対して強化されています。数テラバイトの平文/暗号文のペアでも、妥当な時間内に鍵を取得することはできません。
参考文献
- https://en.wikipedia.org/wiki/Known-plaintext_attack
- https://stackoverflow.com/questions/11716468/can-aes-be-cracked-with-enough-decrypted-data-why-or-why-not
- https://crypto.stackexchange.com/questions/1512/why-is-aes-resistant-to-known-plaintext-attacks
- プレーンテキストとその暗号文を指定してAES暗号化キーを計算しますか?
しかしながら...
AESキーを選択するだけでなく、AESブロックモードにAES初期化ベクトル(IV)を選択できる場合は、そうです。簡単に。メッセージが十分に短い場合。 IVの長さは1つだけです。
アンジェアルベルティーニの趣味です。彼は、複数の方法でデコード/解釈できる「ポリグロットファイル」を作成するのが好きです。
彼は2014年にこれについて講演しました:
- アンジュアルベルティーニ。 31c3。 2014-12-29、 ファンキーファイルフォーマット
一部の暗号技術者は、AESを介して特定のCを生成するために攻撃者がPとKを見つけるのは不可能だと考えていた時期があり、この仮定に基づいてAESからハッシュ関数を構築する試みがありました。しかし、AESに基づくハッシュ関数は、他のハッシュアルゴリズムほど安全ではありませんでした( を参照してください)SHA-xの代わりにAESが安全なハッシュに使用されないのはなぜですか? )。
あなたが求めているのは:与えられたPは与えられたPが与えられたCを生成するために攻撃者がKを見つけることが可能であるということです。上記の場合、攻撃者はPとKの両方を選択できます。
したがって、答えは、攻撃者が利用できるリソースに依存します。攻撃者が十分なリソースを持っている場合、特定のP(またはP ')から特定のCを生成するキーKを見つけることができる可能性があります。ただし、[〜#〜] lot [〜#〜]のリソースが必要になります。