Onderzoekers leggen kwetsbaarheid in AES-encryptie bloot
Onderzoekers van de K.U. Leuven en Microsoft Research hebben een zwak punt in de breed toegepaste Advanced Encryption Standard ontdekt. Via een nieuwe aanvalsmethode kan een AES-sleutel viermaal sneller gekraakt worden.
De drie onderzoekers, Andrey Bogdanov van de K.U.Leuven, Dmitry Khovratovich van Microsoft Research en Christian Rechberger van diverse Franse onderwijsinstituten, zeggen een 'intelligente' aanvalsmethode te hebben gevonden om AES-sleutels te kraken. De methode zou werken bij alle AES-versies ongeacht de sleutellengte. Via de nieuwe methode kan de AES-sleutel viermaal sneller bepaald worden, waardoor AES-128 in feite als AES-126 zou moeten worden bepaald. Hoe de onderzoekers het kraken van de sleutels hebben versneld, is onbekend.
Ondanks de vondst van de onderzoekers blijft AES een uitermate lastig te kraken versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden. De onderzoekers stellen dan ook dat AES niet direct in gevaar is, maar dat het eerste zwakke punt in de encryptiestandaard is gevonden.
AES is een breed toegepaste encryptiestandaard en wordt onder andere toegepast voor het versleutelen van internetverkeer, het dataverkeer op draadloze netwerken en data op harde schijven. De basis van AES vormt het Rijndael-algoritme, dat werd ontwikkeld door de Belgische cryptografen Joan Daemen van ST Microelectronics en professor Vincent Rijmen van de K.U.Leuven.
Het Rijndael-algoritme werd in 2000 door het NIST verkozen als opvolger van de DES-standaard en kreeg de naam Advanced Encryption Standard. AES werd door diverse organisaties tot standaard verheven. Onder andere de NSA gebruikt voor het versleutelen van staatsgeheimen.
Onderzoekers hebben al jaren geprobeerd kwetsbaarheden in AES bloot te leggen en er zijn tot nu toe geen serieuze gaten in het encryptie-algoritme geschoten. Alleen in 2009 werd er een probleem ontdekt als er met AES data versleuteld werd met behulp van vier verschillende sleutels. Daarbij moest de aanvaller een verband tussen deze sleutels leggen, waardoor de 'known-key distinguishing attack'-methode uitsluitend voor wiskundigen interessant bleek en geen invloed had op de praktijk.
Reacties (66)
Deze standaard zal volgens mij nooit gebroken worden, tótdat er een grote doorbraak is in het veld van computing power. Quantum computers vormen alweer het mogelijke antwoord, maar wie weet wanneer we dat zullen meemaken.
Toch leuk dat mensen er nog steeds onderzoek naar doen (én resultaten behalen, al zijn ze bescheiden)
Toch leuk dat mensen er nog steeds onderzoek naar doen (én resultaten behalen, al zijn ze bescheiden)
Inderdaad, kwantum computing zal dit appeltje wel schillen. Laatst nog een artikel gelezen dat het mogelijk is om met 50% beschikbare informatie op kwantumniveau alle te bedenken vragen van 100% van die informatiebron gewoon te beantwoorden zijn. Dus dat gaat nog wel gekraakt worden als er kwantuminformatie beschikbaar komt.
Edit: @hieronder: check deze link even mbt kwantuminformatie. Daar ontstaat nu eerste wetenschappelijke bewijs voor wat wel degelijk zijn weerslag kan hebben op kwantum computing. Natuurlijk wel in de (verre) toekomst, niet morgen.
Edit: @hieronder: check deze link even mbt kwantuminformatie. Daar ontstaat nu eerste wetenschappelijke bewijs voor wat wel degelijk zijn weerslag kan hebben op kwantum computing. Natuurlijk wel in de (verre) toekomst, niet morgen.
[Reactie gewijzigd door 87Vortex87 op 17 augustus 2011 15:15]
Quantum computing is voornamelijk een hoax die alleen word gebruikt om investeerders aan te trekken en subsidies te kijken.
Bij D-Wave kan je er trouwens gewoon 1'tje bestellen (helaas wel 100x zo traag als een pentium 4):
http://kwc.org/blog/archives/2007/2007-02-14.dwave_demo.html
http://www.dwavesys.com/en/technology.html
Zie ook http://www.forbes.com/sit...d-waves-quantum-computer/
Bij D-Wave kan je er trouwens gewoon 1'tje bestellen (helaas wel 100x zo traag als een pentium 4):
http://kwc.org/blog/archives/2007/2007-02-14.dwave_demo.html
http://www.dwavesys.com/en/technology.html
Zie ook http://www.forbes.com/sit...d-waves-quantum-computer/
[Reactie gewijzigd door djexplo op 17 augustus 2011 15:18]
Misschien momenteel maar quantum computing maakt bepaalde algoritme mogelijk die de complexiteit van het berekenen van dingen enorm omlaag brengt. Neem bijvoorbeeld: Shor's algoritme.
100x zo traag als een P4 is danook een rasechte appels met peren vergelijking.
100x zo traag als een P4 is danook een rasechte appels met peren vergelijking.
Pfff, al die vragen zijn al beantwoord: 42!
Laatst nog een artikel gelezen dat het mogelijk is om met 50% beschikbare informatie op kwantumniveau alle te bedenken vragen van 100% van die informatiebron gewoon te beantwoorden zijn.
Dat klinkt best wel ongeloofwaardig, want dat zou onder andere betekenen dat kwantum computers onbeslisbare problemen, zoals het halting probleem, kunnen oplossen. Hiermee zou de Church-Turing these verworpen zijn (alles wat berekenbaar is, is te berekenen met een turingmachine), wat een nogal grote doorbraak met enorme impact zou zijn. Het artikel praat ook alleen over beschikbare informatie, niet het beantwoorden van alle vragen die je mogelijk over die informatie kunt stellen.
Dat klinkt best wel ongeloofwaardig, want dat zou onder andere betekenen dat kwantum computers onbeslisbare problemen, zoals het halting probleem, kunnen oplossen. Hiermee zou de Church-Turing these verworpen zijn (alles wat berekenbaar is, is te berekenen met een turingmachine), wat een nogal grote doorbraak met enorme impact zou zijn. Het artikel praat ook alleen over beschikbare informatie, niet het beantwoorden van alle vragen die je mogelijk over die informatie kunt stellen.
Het is goed voorstelbaar dat Church-Turing verworpen gaat worden door quantumcomputers. Het is simpelweg nog teveel een research onderwerp; elke voorspelling over de houdbaarheid van de hypothese is een gok.
Dit appeltje hoeft niet met quantum computers gekraakt te worden. 128bits zal voor een quantum computer niet veel voorstellen. Maar vergeet niet dat de nieuwe sleutels ook zullen aangemaakt worden met quantum computers. (bijv. 2100000000000000-etc )
Als er dus geen theoretisch maximum aan de sleutelgrootte is zal de versleuteling navenant sterker worden en in principe net zo lang duren om te kraken.
De grootste zwakheid zit volgens mij in de bruikbaarheid van de sleutel. Als de sleutel onevenredig groot moet zijn zal dit een probleem opleveren met de doorvoersnelheid (tenzij deze evenredig meegroeit met de wet van Moore).
Als ik via https een boek bestel bij bol.com en het duurt een uur voordat de ciphertext / sleutel is doorgestuurd loopt dit behoorlijk uit de pas met praktische versleuteling.
Vergeet niet dat als zelfs een bericht binnen 10 jaar te kraken valt dit onwerkbaar is. Stel dat Churchill het bevel tot de aanval (D-Day) doorgeeft en de Duitsers dit pas na 1000 jaar konden kraken de boodschap geen waarde meer heeft.
Het grootte voordeel van AES is in het publieke sleutelgedeelte. Vroeger werd een groot deel (en energie) gestoken in sleutels. Koeriers moesten sleutels handmatig over de wereld verdelen via diplomatenkoffers etc. Door gebruik van een public key kan de overdracht een stuk goedkoper plaatsvinden.
Niettemin zullen we voor bepaalde dingen altijd nog teruggrijpen op 1-time keypads (zie bijvoorbeeld launchcodes van icbm's) Deze zijn nog moeilijker te kraken (mits goed gedaan).
edit: typo
Als er dus geen theoretisch maximum aan de sleutelgrootte is zal de versleuteling navenant sterker worden en in principe net zo lang duren om te kraken.
De grootste zwakheid zit volgens mij in de bruikbaarheid van de sleutel. Als de sleutel onevenredig groot moet zijn zal dit een probleem opleveren met de doorvoersnelheid (tenzij deze evenredig meegroeit met de wet van Moore).
Als ik via https een boek bestel bij bol.com en het duurt een uur voordat de ciphertext / sleutel is doorgestuurd loopt dit behoorlijk uit de pas met praktische versleuteling.
Vergeet niet dat als zelfs een bericht binnen 10 jaar te kraken valt dit onwerkbaar is. Stel dat Churchill het bevel tot de aanval (D-Day) doorgeeft en de Duitsers dit pas na 1000 jaar konden kraken de boodschap geen waarde meer heeft.
Het grootte voordeel van AES is in het publieke sleutelgedeelte. Vroeger werd een groot deel (en energie) gestoken in sleutels. Koeriers moesten sleutels handmatig over de wereld verdelen via diplomatenkoffers etc. Door gebruik van een public key kan de overdracht een stuk goedkoper plaatsvinden.
Niettemin zullen we voor bepaalde dingen altijd nog teruggrijpen op 1-time keypads (zie bijvoorbeeld launchcodes van icbm's) Deze zijn nog moeilijker te kraken (mits goed gedaan).
edit: typo
[Reactie gewijzigd door bigbrother1984 op 18 augustus 2011 18:04]
dat is dus één van de grootste misvattingen van public key encryptie, ook deze is namelijk vatbaar voor een zgn "man in the middle attack". Het verschil zit hem in het feit dat er bij communicatie tussen N nodes geen N*(N-1) sleutels hoeven te worden verdeeld maar slechts N. In je browser zit bijvoorbeeld gewoon een public key ingebakken die waarschijnlijk gewoon per koerier van verisign naar de ontwikkelaars van je browser is gebracht.
owja en daarnaast is AES ook nog eens geen public key encryptie maar private key, de bekende public key varianten zijn namelijk : RSA , elgamal en eliptic curves
owja en daarnaast is AES ook nog eens geen public key encryptie maar private key, de bekende public key varianten zijn namelijk : RSA , elgamal en eliptic curves
[Reactie gewijzigd door Silverstein op 22 augustus 2011 17:00]
Inderdaad, het lijkt niet zozeer op een kwetsbaarheid tot kraken maar meer een software matige versnelling om elke combinatie uit te proberen, ipv hardware matig.
In dat opzicht zou deze 4x hooguit een paar generaties verschil kunnen geven tot wanneer de standaard niet langer veilig kan worden beschouwd - iets wat zowiezo een kwestie van tijd is zolang er vooruitgang is in technologie.
Aan de andere kant, als er eenmaal een dergelijke ingang is gevonden is de kans groot dat men daarop verder kan bouwen door een echte zwakte te vinden, of het verder te versnellen door optimalisatie van de nieuwe methode.
In dat opzicht zou deze 4x hooguit een paar generaties verschil kunnen geven tot wanneer de standaard niet langer veilig kan worden beschouwd - iets wat zowiezo een kwestie van tijd is zolang er vooruitgang is in technologie.
Aan de andere kant, als er eenmaal een dergelijke ingang is gevonden is de kans groot dat men daarop verder kan bouwen door een echte zwakte te vinden, of het verder te versnellen door optimalisatie van de nieuwe methode.
Het artikel dat tweakers.net als bron gebruikt bevat weinig details, en ik heb weinig zin om de paper van de onderzoekers echt te bestuderen, maar ik vind de paper zo snel overkomen alsof ze maar ongeveer 1/4 van de keys hoeven te proberen. Dat is dus expliciet geen versnelling van een brute force aanval, maar een aanval die minder mogelijkheden hoeft te proberen vanwege een wiskundige zwakheid in AES.Inderdaad, het lijkt niet zozeer op een kwetsbaarheid tot kraken maar meer een software matige versnelling om elke combinatie uit te proberen, ipv hardware matig.
Het is in dat geval dus geen "versnelling" zoals jij vermoedt, maar echt een kwetsbaarheid, hoe klein ook.
Ik zou niet zeggen dat deze standaard nooit wordt gebroken. AES dateerd uit 1998 en de computers worden steeds sneller. Als er nu ook "kwetsbaarheden" worden gevonden zoals deze en zo de brute-force kunnen verkorten dan duurt het ook niet lang meer voor ze een nieuwe standaard moeten zoeken.
Of vraag china of je de System Tianhe 1 mag gebruiken om te brute-forcen
Of vraag china of je de System Tianhe 1 mag gebruiken om te brute-forcen
Stel dat de computers een miljoen keer sneller worden , dan nog duurt het duizend jaar om met meer dan alle computers ter wereld tezamen AES te kraken.Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden.
Kortom, er is meer dan de wet van Moore voor nodig om AES in onze levensduur obsolete te maken.
Als het gaat om brute-force en je verdubbelt de rekenkracht elke anderhalf jaar dan hebben we over 75 jaar (50 verdubbelingen) computers die 1,1 triljoen keer zo snel zijn als dat ze nu zijn.
Niet alleen dat, maar het -aantal- computers vermeerdert ook exponentieel, en de onderlinge communicatie ook.
Ik geef het nog geen 50 jaar ( in theorie ).
Ik geef het nog geen 50 jaar ( in theorie ).
50 jaar zou wel een groot succes zijn t.o.v. van de levensvatbaarheid van de voorganger van AES!
AES-256 is inmiddels gemeengoed geworden, en dat is 2^128 KEER zo moeilijk te kraken als AES-128:
A device that could check a billion billion (10^18) AES keys per second (if such a device could ever be made) would in theory require about 3×10^51 years to exhaust the 256-bit key space
A device that could check a billion billion (10^18) AES keys per second (if such a device could ever be made) would in theory require about 3×10^51 years to exhaust the 256-bit key space
totdat ze misschien weer een andere kwetsbaarheid vinden...
Zelfs als dat zou gebeuren is nog niet gezegd dat die twee kwestbaarheden combineren. Stel dat een andere aanval 3x sneller is dan brute-force. Als je de twee technieken kunt combineren dan ben je 12x sneller, als je ze niet kunt combineren dan blijf je steken bij deze factor 4.
En er zijn miljoenen redenen denkbaar waarom je twee aanvallen niet kunt combineren. Stel dat de ene aanval eist dat je sleutels in de volgorde A,Z,B,Y probeert, en de andere in de volgorde A,C,E,G, dan kun je ze al niet combineren.
En er zijn miljoenen redenen denkbaar waarom je twee aanvallen niet kunt combineren. Stel dat de ene aanval eist dat je sleutels in de volgorde A,Z,B,Y probeert, en de andere in de volgorde A,C,E,G, dan kun je ze al niet combineren.
Ja, een factor 4 is exponentieel gezien echt niks.
Waarop baseer je die wijsheid dat de standaard nooit doorbroken zal worden, kun je in een glazen bol kijken.
Er is nu een eerste foutje ontdekt en wie weet komen er over 1 of 5 jaar anderen naar voren. Je kan dus geen uitspraken doen over iets wat in de toekomst kan gebeuren.
Er is nu een eerste foutje ontdekt en wie weet komen er over 1 of 5 jaar anderen naar voren. Je kan dus geen uitspraken doen over iets wat in de toekomst kan gebeuren.
Nouja, dat valt nog te bezien. De mogelijkheden van quantum computers worden nogal eens opgeblazen.Deze standaard zal volgens mij nooit gebroken worden, tótdat er een grote doorbraak is in het veld van computing power. Quantum computers vormen alweer het mogelijke antwoord, maar wie weet wanneer we dat zullen meemaken.
De realiteit is dat hoewel quantum computers 2n berekeningen tegelijk kunnen doen, je slechts één antwoord kunt uitlezen, en het willekeurig is welke van de 2n antwoorden je krijgt.
Dat maakt quantum computers compleet onbruikbaar voor alle klassieke aanpakken. Alleen met algoritmes die specifiek zijn gemaakt voor QCs zodanig dat de zinnige antwoorden veel waarschijnlijker zijn dan de onzinnige antwoorden kun je iets bereiken op QCs.
Voor RSA bestaat zo'n algoritme gebaseerd op [url=http://en.wikipedia.org/wiki/Shor's_algorithm[/url]Shor's algorithm[/url]; dit algoritme is zodanig snel dat RSA vrijwel waardeloos is zodra er QCs beschikbaar zijn die groot genoeg zijn (dat is voorlopig nog niet in zicht overigens).
Voor AES daarentegen is het beste wat we tot nu toe bedacht hebben een toepassing van Grover's algorithm, wat de complexiteit kwadratisch doet dalen. Dat reduceert AES-256 effectief tot AES-128, wat met de huidige middelen nog steeds effectief onkraakbaar is.
Kwetsbaarheid, kwetsbaarheid... jullie maakten me even bang zeg.
Dit is geen kwetsbaarheid, het is gewoon 2 jaar voorsprong met hardware (ieder jaar 2 keer zo snel). Da's jammer voor degenen die op de rand van hun eigen veiligheidsregels zitten, maar bepaald geen grote blunder of rampzalige ontdekking.
Als je echt veilig wil zitten had je zowiezo wel 256 bits gekozen, als dat nu 254 wordt maakt dat niets uit (vandaar dat je 256 bits kiest, speelruimte overhouden). AES 256 is pas te kraken als er een hele grote "kwetsbaarheid" in zit; een miljard keer sneller kraken levert nog niets op.
Dit is geen kwetsbaarheid, het is gewoon 2 jaar voorsprong met hardware (ieder jaar 2 keer zo snel). Da's jammer voor degenen die op de rand van hun eigen veiligheidsregels zitten, maar bepaald geen grote blunder of rampzalige ontdekking.
Als je echt veilig wil zitten had je zowiezo wel 256 bits gekozen, als dat nu 254 wordt maakt dat niets uit (vandaar dat je 256 bits kiest, speelruimte overhouden). AES 256 is pas te kraken als er een hele grote "kwetsbaarheid" in zit; een miljard keer sneller kraken levert nog niets op.
Het is ook best verraderlijk als je leest dat het 4x zo snel gekraakt kan worden, totdat je er weer even aan herinnert wordt dat dit maar 2 bits over het geheel is.
Het had best pijnlijk geweest als het een grotere doorbraak was, aangezien intel nu bijvoorbeeld AES hardware ondersteuning in de nieuwste processors heeft gebouwd, zo vertrouwd en gestandaardiseerd is deze encryptie op het moment.
Snel is anders natuurlijk, maar dat reflecteert zichzelf meteen ook richting de breekbaarheid.
Het had best pijnlijk geweest als het een grotere doorbraak was, aangezien intel nu bijvoorbeeld AES hardware ondersteuning in de nieuwste processors heeft gebouwd, zo vertrouwd en gestandaardiseerd is deze encryptie op het moment.
Ik hou wel van de methode die truecrypt gebruikt, de gemixte encryptiemethodes. Als een van de twee encrypties makkelijk gekraakt blijkt te worden is er altijd nog de ander.Als je echt veilig wil zitten had je zowiezo wel 256 bits gekozen
Snel is anders natuurlijk, maar dat reflecteert zichzelf meteen ook richting de breekbaarheid.
Hoezo? 4 keer zo snel is 4 keer zo snel, ongeacht hoeveel bits dat is.Het is ook best verraderlijk als je leest dat het 4x zo snel gekraakt kan worden, totdat je er weer even aan herinnert wordt dat dit maar 2 bits over het geheel is.
2 bits = 4
00
01
10
11
4 mogelijkheden dus, dat zijn 2 bits ;-)
en hij bedoelt dat het 2 bits te kraken scheelt op bijv een AES 128bit sleutel (dus je hoeft nog maar 126 bits i.p.v. 128 bits te kraken )
hierdoor is het uiteindelijk 4 keer zo snel
00
01
10
11
4 mogelijkheden dus, dat zijn 2 bits ;-)
en hij bedoelt dat het 2 bits te kraken scheelt op bijv een AES 128bit sleutel (dus je hoeft nog maar 126 bits i.p.v. 128 bits te kraken
)hierdoor is het uiteindelijk 4 keer zo snel
Je loopt echter ook een risico dat door een gechainde encryptie het geheel zwakker is dan de afzonderlijke encrypties.Ik hou wel van de methode die truecrypt gebruikt, de gemixte encryptiemethodes. Als een van de twee encrypties makkelijk gekraakt blijkt te worden is er altijd nog de ander.
Kijk bijvoorbeeld eens naar 3DES (3xDES achter elkaar), als je 3 verschillende keys gebruikt zou je 3x56=168 bits key lengte verwachten, maar het zijn er effectief maar 112.
Zie http://en.wikipedia.org/wiki/3des
Zoiets kan ook bij andere encryptie algorithmen...
Ik noem dat nou niet bepaald een risico.
56 bits is nog altijd meer dan 112 bits.
De effectiviteit van 3DES neemt af doordat het kwetsbaar is voor een Meet-in-the-Middle attack.
Dit gaat er van uit dat je zowel een stuk plain text als de bijbehorende cipher text tot je beschikking hebt.
Hoewel de effectieve beveiliging 112 bits is, heeft de hacker nog steeds 168 bits te kraken wanneer hij geen plain text heeft.
Ik ben geen expert, maar het lijkt mij moeilijker om met gelaagde encryptie een Meet-in-the-Middle attack uit te voeren, omdat je de resultaten van één encryptie niet kunt hergebruiken voor de volgende laag. (waardoor dus de effectieve beveiliging mogelijk gelijk is aan de theoretische beveiliging: de sleutel lengtes bij elkaar opgeteld)
56 bits is nog altijd meer dan 112 bits.
De effectiviteit van 3DES neemt af doordat het kwetsbaar is voor een Meet-in-the-Middle attack.
Dit gaat er van uit dat je zowel een stuk plain text als de bijbehorende cipher text tot je beschikking hebt.
Hoewel de effectieve beveiliging 112 bits is, heeft de hacker nog steeds 168 bits te kraken wanneer hij geen plain text heeft.
Ik ben geen expert, maar het lijkt mij moeilijker om met gelaagde encryptie een Meet-in-the-Middle attack uit te voeren, omdat je de resultaten van één encryptie niet kunt hergebruiken voor de volgende laag. (waardoor dus de effectieve beveiliging mogelijk gelijk is aan de theoretische beveiliging: de sleutel lengtes bij elkaar opgeteld)
Het zou heel raar zijn als dat zo zou werken. Het geheel kan nooit zwakker zijn dan de afzonderlijke encrypties, want ze zijn niet afhankelijk van elkaar. Het is in principe waar dat als je 2x 128 bit encryptie gebruikt dat het niet (per definitie) gelijk staat aan 1x 256 bit, maar 2x 128 bit is in geen enkel geval onveiliger dan 1x 128 bit. Het gevaar bij 3DES zit 'm vooral ook in het feit dat je 3x de zelfde encryptie gebruikt, nog geheel onafhankelijk van de al ontdekte zwaktes van deze encryptie (de reden dat het ook vervangen is). Bij een gemixt algortime, bedoel ik dus 2 verschillende encrypties, zoals AES+Twofish bijvoorbeeld. Als AES dan ineens makkelijk te kraken blijkt te zijn, dan vormt Twofish nog een blokkade en omgekeerd uiteraard.
Maar even los van dat, zelfs in jou voorbeeld is het zo dat 3xDES nog altijd sterker blijkt te zijn dan 1x DES (56 bit), onafhankelijk van de implementatie en zwaktes.
Maar even los van dat, zelfs in jou voorbeeld is het zo dat 3xDES nog altijd sterker blijkt te zijn dan 1x DES (56 bit), onafhankelijk van de implementatie en zwaktes.
Daar zullen ze heus wel rekening gehouden hebben hoor. Ik denk dat ze gewoon een kleine optimalisatie in het bruteforceproces hebben gevonden, waardoor je dus de zoekruimte sneller kunt beperken.Dit is geen kwetsbaarheid, het is gewoon 2 jaar voorsprong met hardware (ieder jaar 2 keer zo snel). Da's jammer voor degenen die op de rand van hun eigen veiligheidsregels zitten, maar bepaald geen grote blunder of rampzalige ontdekking.
Ze zullen echt niet zo dom geweest zijn om puur te kijken naar hoe snel ze dit vier jaar geleden konden doen, dat vergelijken met nu en dan zeggen dat ze een kwetsbaarheid gevonden hebben.. We hebben het hier over een universiteit, een research centrum van Microsoft en nog een paar onderwijsinstellingen, niet een of andere flapdrol met een grote fantasie
edit:
Dat de 'kwetsbaarheid' als je het überhaupt zo kunt noemen, weinig zoden aan de dijk zet mag duidelijk zijn natuurlijk. Maar ja, één kwetsbaarheid moet de eerste zijn natuurlijk. Wie weet zit er nog meer fout in het algoritme. Daarom is het juist goed dat onderzoekers dit soort dingen doen.
edit2:
@Xtrafris
Nee volgens mij bedoelt Yankee dat helemaal niet. Als ik zijn reactie lees zegt hij dat er helemaal geen kwetsbaarheid gevonden is, maar dat het nu alleen sneller kan omdat de cpu-power de wet van Moore volgt. En ja, natuurlijk telt die wet van Moore mee, maar dat heeft niets te maken met de kwetsbaarheid die in dit onderzoek gevonden is. Dat is iets anders.
[Reactie gewijzigd door Cloud op 17 augustus 2011 15:09]
Ehm, dit is ook wat die verdomde yankee bedoeldZe zullen echt niet zo dom geweest zijn om puur te kijken naar hoe snel ze dit vier jaar geleden konden doen, dat vergelijken met nu en dan zeggen dat ze een kwetsbaarheid gevonden hebben.. We hebben het hier over een universiteit, een research centrum van Microsoft en nog een paar onderwijsinstellingen, niet een of andere flapdrol met een grote fantasie
Processing power wordt volgens de wet van Moore elke 2 jaar ongeveer verdubbeld, dus het 4x versnellen van het kunnen decrypten van AES maakt de standaard simpelweg 4 jaar korter houdbaar.
Het is wel een kwetsbaarheid, omdat deze versnelling door een intrinsieke eigenschap van het algoritme komt en niet door snellere computers. Je hebt gelijk dat het een relatief gevolgloze kwetsbaarheid is.
Ah je kan hem 4x sneller kraken maar het duurt nog steeds retelang, denk dat we hier ons niet echt druk om hoeven te maken 
versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden. De onderzoekers stellen dan ook dat AES niet direct in gevaar is, maar dat het eerste zwakke punt in de encryptiestandaard is gevonden.
versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden. De onderzoekers stellen dan ook dat AES niet direct in gevaar is, maar dat het eerste zwakke punt in de encryptiestandaard is gevonden.
Hm, ik kom uit op een dikke 25 miljard jaar:Ondanks de vondst van de onderzoekers blijft AES een uitermate lastig te kraken versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden.
8*10^38 / 10^12 / 10^9 / (60*60*24*365) ~= 25,3 * 10^9 jaar
Zijn er dan al computers die een miljard sleutels per seconde kunnen nalopen?
Als die er nog niet zijn dan moet je misschien nog een paar jaar aan die berekening toevoegen.
Als die er nog niet zijn dan moet je misschien nog een paar jaar aan die berekening toevoegen.
[Reactie gewijzigd door downtime op 17 augustus 2011 14:23]
Dat is als ze de sleutel op de "laatste plek" zouden vinden natuurlijk, maar gedeeld door 2 voor een goed gemiddelde is nog steeds bizar hoog natuurlijk.
In de berekening zijn ze vergeten mee te nemen dat computers steeds sneller worden.
Als computers iedere 2 jaar 2x zo snel worden dan zijn computers over 100 jaar 1.125.899.906.842.624 x zo snel.
Als computers iedere 2 jaar 2x zo snel worden dan zijn computers over 100 jaar 1.125.899.906.842.624 x zo snel.
[Reactie gewijzigd door pinobot op 17 augustus 2011 14:31]
Als die 3 onderzoekers student zijn zitten ze in ieder geval gebeiteld voor hun diploma uitreiking
Cryptografie wordt pas in de master op de TU/e gegeven.
Cryptoanalyse (over deze complexe ciphers) gaat een stuk verder en is promotiemateriaal en hoger.
Helaas
* AceAceAce oud cryptostudent
Cryptoanalyse (over deze complexe ciphers) gaat een stuk verder en is promotiemateriaal en hoger.
Helaas
* AceAceAce oud cryptostudent
...dus als je het voor je master doet (afstudeeropdracht ofzo), zit je alsnog gebeiteld 
In eerste instantie schrok ik even, een factor 4 sneller klinkt best indrukwekkend, tot je hoort dat het alsnog miljoenen mensenlevens lang duurt voor de key gevonden wordt.
En dan nog: voor die tijd stap je vast al eens over op 256bit encryptie of misschien wel 512bits, ik bedoel: zolang het algoritme zelf niet gekraakt wordt, maar slechts met brute forcen de sleutel achterhaal wordt, hebben we niks te vrezen. Als je eens in de miljoen jaar je key aanpast zit je veilig
Serker nog: bij dit soort beveiligingen is de menselijke factor de onveiligste. Iemand die ergens een briefje ophangt met de juiste key, een keylogger die je per ongeluk downloadt en installeert... Daar moet je bang voor zijn.
In eerste instantie schrok ik even, een factor 4 sneller klinkt best indrukwekkend, tot je hoort dat het alsnog miljoenen mensenlevens lang duurt voor de key gevonden wordt.
En dan nog: voor die tijd stap je vast al eens over op 256bit encryptie of misschien wel 512bits, ik bedoel: zolang het algoritme zelf niet gekraakt wordt, maar slechts met brute forcen de sleutel achterhaal wordt, hebben we niks te vrezen. Als je eens in de miljoen jaar je key aanpast zit je veilig
Serker nog: bij dit soort beveiligingen is de menselijke factor de onveiligste. Iemand die ergens een briefje ophangt met de juiste key, een keylogger die je per ongeluk downloadt en installeert... Daar moet je bang voor zijn.
Onderzoekers zijn meestal postdoc-ers
OFF-TOPIC - The Sun used to be fainter in the past, which is possibly the reason life on Earth has only existed for about 1 billion years on land. The increase in solar temperatures is such that in about another billion years the surface of the Earth will likely become too hot for liquid water to exist, ending all terrestrial life.
Uhm ja 10 Miljard of 25 Miljard jaar wij zullen als mensen het hier op aarde in ieder geval niet meer meemaken
Uhm ja 10 Miljard of 25 Miljard jaar wij zullen als mensen het hier op aarde in ieder geval niet meer meemaken
Ha, tegen de tijd dat jullie achter-achter-achter-klein kinderen mijn sleutel gekraakt hebben is mijn computer al tot stof vergaan, dus zo'n vaart loopt het niet
Met het verschil dat het kennen van een echte kwetsbaarheid in AES, beter inzicht verschaft in de werking ervan. Die algoritmes zijn zo ingewikkeld, dat het een huzarenstukje is om één die berekeningen manueel te doen en twee er nog een gat in te vinden. Beter inzicht in de werking, kan er natuurlijk ook voor zorgen dat andere mensen andere gaten vinden en zo AES uiteindelijk op de knieën krijgen.
Is de lengte van je wachtwoord wat omgezet wordt in een 128-bit sleutel nog van belang?het aantal vereiste berekeningen bedraagt 8 met 38 nullen.
[Reactie gewijzigd door Soldaatje op 17 augustus 2011 15:20]
ja, maar minder...
als je een wachtwoord kiest van 1 letter, hoef ik maar 26 keer te gokken
als je een wachtwoord kiest van 1 letter, hoef ik maar 26 keer te gokken
52, Hoofdletter gevoelig
Zoals al zoveel gezegd, gaat de rekenkracht van computers met rasse schreden vooruitgaan. Wat denk ik over het hoofd wordt gezien, is het feit dat dit niet alleen geldt voor de brute force computers, maar ook voor de encryptende computers.
Het Rijndael algoritme is zo succesvol omdat het hardwarematig snel te checken is. Zelfs met goedkopere of tragere hardware (denk aan kaartlezers etc.). Over een paar jaar gaan deze machines ook een pak sneller zijn en kan men bijvoorbeeld overschakelen naar een standaard 256 bit encryptie of zelfs een 512 bit encryptie.
Waarmee ik maar wil zeggen dat dit algoritme alle mogelijkheden heeft om mee te groeien met Moore, waar in de comments nogal snel word aan voorbijgegaan.
Onder andere de beveiliging voor de Amerikaanse geheime documenten gebruikt AES-256 idpv AES-128.
Het Rijndael algoritme is zo succesvol omdat het hardwarematig snel te checken is. Zelfs met goedkopere of tragere hardware (denk aan kaartlezers etc.). Over een paar jaar gaan deze machines ook een pak sneller zijn en kan men bijvoorbeeld overschakelen naar een standaard 256 bit encryptie of zelfs een 512 bit encryptie.
Waarmee ik maar wil zeggen dat dit algoritme alle mogelijkheden heeft om mee te groeien met Moore, waar in de comments nogal snel word aan voorbijgegaan.
Onder andere de beveiliging voor de Amerikaanse geheime documenten gebruikt AES-256 idpv AES-128.
Maarja, dat is wel een beetje irrelevant voor de huidig encrypted bestanden.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
