Onderzoekers leggen kwetsbaarheid in AES-encryptie bloot

Onderzoekers van de K.U. Leuven en Microsoft Research hebben een zwak punt in de breed toegepaste Advanced Encryption Standard ontdekt. Via een nieuwe aanvalsmethode kan een AES-sleutel viermaal sneller gekraakt worden.

De drie onderzoekers, Andrey Bogdanov van de K.U.Leuven, Dmitry Khovratovich van Microsoft Research en Christian Rechberger van diverse Franse onderwijsinstituten, zeggen een 'intelligente' aanvalsmethode te hebben gevonden om AES-sleutels te kraken. De methode zou werken bij alle AES-versies ongeacht de sleutellengte. Via de nieuwe methode kan de AES-sleutel viermaal sneller bepaald worden, waardoor AES-128 in feite als AES-126 zou moeten worden bepaald. Hoe de onderzoekers het kraken van de sleutels hebben versneld, is onbekend.

Ondanks de vondst van de onderzoekers blijft AES een uitermate lastig te kraken versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden. De onderzoekers stellen dan ook dat AES niet direct in gevaar is, maar dat het eerste zwakke punt in de encryptiestandaard is gevonden.

AES is een breed toegepaste encryptiestandaard en wordt onder andere toegepast voor het versleutelen van internetverkeer, het dataverkeer op draadloze netwerken en data op harde schijven. De basis van AES vormt het Rijndael-algoritme, dat werd ontwikkeld door de Belgische cryptografen Joan Daemen van ST Microelectronics en professor Vincent Rijmen van de K.U.Leuven.

Het Rijndael-algoritme werd in 2000 door het NIST verkozen als opvolger van de DES-standaard en kreeg de naam Advanced Encryption Standard. AES werd door diverse organisaties tot standaard verheven. Onder andere de NSA gebruikt voor het versleutelen van staatsgeheimen.

Onderzoekers hebben al jaren geprobeerd kwetsbaarheden in AES bloot te leggen en er zijn tot nu toe geen serieuze gaten in het encryptie-algoritme geschoten. Alleen in 2009 werd er een probleem ontdekt als er met AES data versleuteld werd met behulp van vier verschillende sleutels. Daarbij moest de aanvaller een verband tussen deze sleutels leggen, waardoor de 'known-key distinguishing attack'-methode uitsluitend voor wiskundigen interessant bleek en geen invloed had op de praktijk.

Door Dimitri Reijerman

Redacteur

Feedback • 17-08-2011 14:0766

17-08-2011 • 14:07

66 Linkedin

Lees meer

Vlaamse kinderen in universitair onderzoek gaan liever lezen dan internetten Nieuws van 8 juli 2014
StarTech introduceert 2,5"-driveslee met keylock Nieuws van 26 juni 2012
Amerikaanse veiligheidsdienst zet 'veilige Android' online Nieuws van 20 januari 2012
Onderzoekers: xml-encryptie is niet veilig Nieuws van 24 oktober 2011
Roberts M. gebruikte waarschijnlijk TrueCrypt Nieuws van 3 januari 2011
Hoofdverdachte in kinderpornozaak zou encryptie-expert zijn Nieuws van 13 december 2010
TDK introduceert mini-ssd's met aes-encryptie Nieuws van 31 maart 2010
Synology kondigt DiskStation DS410 aan Nieuws van 21 maart 2010
Corsair introduceert usb-stick met cijferslot Nieuws van 19 februari 2010
Fujitsu introduceert 500GB-notebookschijf met 256bit aes-encryptie Nieuws van 11 november 2008
Dell, Seagate en Mcafee werken samen bij versleutelen schijven Nieuws van 10 november 2008
NXP komt met nieuwe microcontroller voor Mifare-smartcards Nieuws van 27 oktober 2008
Meer producten en artikelen
Privacy Beveiliging Encryptie

Reacties (66)

-Moderatie-faq
66
63
35
7
0
13
Wijzig sortering
Upquark
17 augustus 2011 14:16
Ondanks de vondst van de onderzoekers blijft AES een uitermate lastig te kraken versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden.
Hm, ik kom uit op een dikke 25 miljard jaar:

8*10^38 / 10^12 / 10^9 / (60*60*24*365) ~= 25,3 * 10^9 jaar
yiNXs
@Upquark17 augustus 2011 14:24
Dat is als ze de sleutel op de "laatste plek" zouden vinden natuurlijk, maar gedeeld door 2 voor een goed gemiddelde is nog steeds bizar hoog natuurlijk.
downtime
@Upquark17 augustus 2011 14:21
Zijn er dan al computers die een miljard sleutels per seconde kunnen nalopen?

Als die er nog niet zijn dan moet je misschien nog een paar jaar aan die berekening toevoegen.

[Reactie gewijzigd door downtime op 17 augustus 2011 14:23]

Anoniem: 62011
@Upquark17 augustus 2011 14:25
In de berekening zijn ze vergeten mee te nemen dat computers steeds sneller worden.
Als computers iedere 2 jaar 2x zo snel worden dan zijn computers over 100 jaar 1.125.899.906.842.624 x zo snel. :+

[Reactie gewijzigd door Anoniem: 62011 op 17 augustus 2011 14:31]

kramer65
18 augustus 2011 09:49
Ben ik de enige die zich bij dit soort berichten meteen afvraagt of we al een beetje dichterbij het openen van Insurance.aes256 zijn?

Toen dat openbaar werd gemaakt had ik het idee dat dat bestand hoe dan ook nog binnen mijn levensloop gekraakt zal worden. Ik heb niet echt verstand van encryptie, maar ik had altijd het idee dat alles wel te kraken was. Nu ik echter de zin lees dat
zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen circa twee miljard jaar nodig zouden hebben om de juiste AES-128-sleutel te vinden.
, dan begin ik daar toch wel aan te twijfelen. Temeer omdat het bestand van onze Julian dan ook nog eens 256 bits is.. :)
Anoniem: 84969
@kramer6518 augustus 2011 11:50
Ik denk niet dat jij de enige bent, maar als ik zou was zou ik, als je er in geïnteresseerd bent, wel even wat meer gaan lezen over versleutelingen.

De term "alles is te kraken" is deels correct, want dat is namelijk wel met de aanname "met genoeg tijd en resources". En in dit geval is genoeg tijd dus 2 miljard jaar, en genoeg resources een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen.

Overigens betekend dat niet dat het allemaal wel zo veilig is, hoor. Het zou best kunnen dat er over 1/2/5/10 jaar een zwakheid wordt gevonden waarmee dat hele AES gewoon nuteloos is geworden en je geen brute-force meer nodig hebt om het te kraken.

Edit: overigens is het met dat voorbeeld veel plausibeler dat ze op de een of andere manier een computer kraken waar de sleutel op opgeslagen is dan dat ze het bestand op de een of andere manier kraken. Social engineering en/of de computer kraken is vele malen gemakkelijker dan zo'n AES-encryptie kraken. Zeker als het op een standaard Windows XP computer staat die in het bezit is van een script kiddie (kleine kans, maar goed, gaat om het voorbeeld). Je kan bijvoorbeeld je belangrijke document nog wel zo goed opbergen in de beste kluis van de wereld, maar als je het sleuteltje en de cijfercombinatie gewoon in je ladenkastje legt, heeft dat ook geen zin meer.

[Reactie gewijzigd door Anoniem: 84969 op 18 augustus 2011 11:56]

demichiel
17 augustus 2011 18:39
Zoals al zoveel gezegd, gaat de rekenkracht van computers met rasse schreden vooruitgaan. Wat denk ik over het hoofd wordt gezien, is het feit dat dit niet alleen geldt voor de brute force computers, maar ook voor de encryptende computers.

Het Rijndael algoritme is zo succesvol omdat het hardwarematig snel te checken is. Zelfs met goedkopere of tragere hardware (denk aan kaartlezers etc.). Over een paar jaar gaan deze machines ook een pak sneller zijn en kan men bijvoorbeeld overschakelen naar een standaard 256 bit encryptie of zelfs een 512 bit encryptie.

Waarmee ik maar wil zeggen dat dit algoritme alle mogelijkheden heeft om mee te groeien met Moore, waar in de comments nogal snel word aan voorbijgegaan.

Onder andere de beveiliging voor de Amerikaanse geheime documenten gebruikt AES-256 idpv AES-128.
Argantonis
@demichiel7 september 2011 23:35
Maarja, dat is wel een beetje irrelevant voor de huidig encrypted bestanden.
zeroxcool
18 augustus 2011 08:51
Het is wel degelijk bekend hoe de 2-bits verkleining van key grootte werkt, de onzuiverheid is uitgelegd tijdens de Crypto 2011 Rump sessions. Hier vind je de presentatie: http://rump2011.cr.yp.to/...0cfd2323e53fbb9a62a81.pdf
Turbots
17 augustus 2011 14:12
Deze standaard zal volgens mij nooit gebroken worden, tótdat er een grote doorbraak is in het veld van computing power. Quantum computers vormen alweer het mogelijke antwoord, maar wie weet wanneer we dat zullen meemaken.

Toch leuk dat mensen er nog steeds onderzoek naar doen (én resultaten behalen, al zijn ze bescheiden)
87Vortex87
@Turbots17 augustus 2011 14:16
Inderdaad, kwantum computing zal dit appeltje wel schillen. Laatst nog een artikel gelezen dat het mogelijk is om met 50% beschikbare informatie op kwantumniveau alle te bedenken vragen van 100% van die informatiebron gewoon te beantwoorden zijn. Dus dat gaat nog wel gekraakt worden als er kwantuminformatie beschikbaar komt.

Edit: @hieronder: check deze link even mbt kwantuminformatie. Daar ontstaat nu eerste wetenschappelijke bewijs voor wat wel degelijk zijn weerslag kan hebben op kwantum computing. Natuurlijk wel in de (verre) toekomst, niet morgen. ;)

[Reactie gewijzigd door 87Vortex87 op 17 augustus 2011 15:15]

sirdupre
@87Vortex8717 augustus 2011 16:52
Laatst nog een artikel gelezen dat het mogelijk is om met 50% beschikbare informatie op kwantumniveau alle te bedenken vragen van 100% van die informatiebron gewoon te beantwoorden zijn.

Dat klinkt best wel ongeloofwaardig, want dat zou onder andere betekenen dat kwantum computers onbeslisbare problemen, zoals het halting probleem, kunnen oplossen. Hiermee zou de Church-Turing these verworpen zijn (alles wat berekenbaar is, is te berekenen met een turingmachine), wat een nogal grote doorbraak met enorme impact zou zijn. Het artikel praat ook alleen over beschikbare informatie, niet het beantwoorden van alle vragen die je mogelijk over die informatie kunt stellen.
MSalters
@sirdupre18 augustus 2011 12:45
Het is goed voorstelbaar dat Church-Turing verworpen gaat worden door quantumcomputers. Het is simpelweg nog teveel een research onderwerp; elke voorspelling over de houdbaarheid van de hypothese is een gok.
djexplo
@87Vortex8717 augustus 2011 15:12
Quantum computing is voornamelijk een hoax die alleen word gebruikt om investeerders aan te trekken en subsidies te kijken.

Bij D-Wave kan je er trouwens gewoon 1'tje bestellen (helaas wel 100x zo traag als een pentium 4):
http://kwc.org/blog/archives/2007/2007-02-14.dwave_demo.html
http://www.dwavesys.com/en/technology.html

Zie ook http://www.forbes.com/sit...d-waves-quantum-computer/

[Reactie gewijzigd door djexplo op 17 augustus 2011 15:18]

GamingZeUs
@djexplo17 augustus 2011 19:32
Misschien momenteel maar quantum computing maakt bepaalde algoritme mogelijk die de complexiteit van het berekenen van dingen enorm omlaag brengt. Neem bijvoorbeeld: Shor's algoritme.

100x zo traag als een P4 is danook een rasechte appels met peren vergelijking.
Supremo
@87Vortex8717 augustus 2011 15:24
Pfff, al die vragen zijn al beantwoord: 42!
Anoniem: 296652
@87Vortex8718 augustus 2011 17:45
Dit appeltje hoeft niet met quantum computers gekraakt te worden. 128bits zal voor een quantum computer niet veel voorstellen. Maar vergeet niet dat de nieuwe sleutels ook zullen aangemaakt worden met quantum computers. (bijv. 2100000000000000-etc )

Als er dus geen theoretisch maximum aan de sleutelgrootte is zal de versleuteling navenant sterker worden en in principe net zo lang duren om te kraken.

De grootste zwakheid zit volgens mij in de bruikbaarheid van de sleutel. Als de sleutel onevenredig groot moet zijn zal dit een probleem opleveren met de doorvoersnelheid (tenzij deze evenredig meegroeit met de wet van Moore).

Als ik via https een boek bestel bij bol.com en het duurt een uur voordat de ciphertext / sleutel is doorgestuurd loopt dit behoorlijk uit de pas met praktische versleuteling.

Vergeet niet dat als zelfs een bericht binnen 10 jaar te kraken valt dit onwerkbaar is. Stel dat Churchill het bevel tot de aanval (D-Day) doorgeeft en de Duitsers dit pas na 1000 jaar konden kraken de boodschap geen waarde meer heeft.

Het grootte voordeel van AES is in het publieke sleutelgedeelte. Vroeger werd een groot deel (en energie) gestoken in sleutels. Koeriers moesten sleutels handmatig over de wereld verdelen via diplomatenkoffers etc. Door gebruik van een public key kan de overdracht een stuk goedkoper plaatsvinden.

Niettemin zullen we voor bepaalde dingen altijd nog teruggrijpen op 1-time keypads (zie bijvoorbeeld launchcodes van icbm's) Deze zijn nog moeilijker te kraken (mits goed gedaan).

edit: typo

[Reactie gewijzigd door Anoniem: 296652 op 18 augustus 2011 18:04]

Anoniem: 181529
@Anoniem: 29665222 augustus 2011 16:46
dat is dus één van de grootste misvattingen van public key encryptie, ook deze is namelijk vatbaar voor een zgn "man in the middle attack". Het verschil zit hem in het feit dat er bij communicatie tussen N nodes geen N*(N-1) sleutels hoeven te worden verdeeld maar slechts N. In je browser zit bijvoorbeeld gewoon een public key ingebakken die waarschijnlijk gewoon per koerier van verisign naar de ontwikkelaars van je browser is gebracht.

owja en daarnaast is AES ook nog eens geen public key encryptie maar private key, de bekende public key varianten zijn namelijk : RSA , elgamal en eliptic curves

[Reactie gewijzigd door Anoniem: 181529 op 22 augustus 2011 17:00]

Squ1zZy
@Turbots17 augustus 2011 14:24
Ik zou niet zeggen dat deze standaard nooit wordt gebroken. AES dateerd uit 1998 en de computers worden steeds sneller. Als er nu ook "kwetsbaarheden" worden gevonden zoals deze en zo de brute-force kunnen verkorten dan duurt het ook niet lang meer voor ze een nieuwe standaard moeten zoeken.

Of vraag china of je de System Tianhe 1‏ mag gebruiken om te brute-forcen :)
aap
@Squ1zZy17 augustus 2011 15:05
Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden.
Stel dat de computers een miljoen keer sneller worden , dan nog duurt het duizend jaar om met meer dan alle computers ter wereld tezamen AES te kraken.

Kortom, er is meer dan de wet van Moore voor nodig om AES in onze levensduur obsolete te maken.
Max Hunt
@aap17 augustus 2011 16:49
Als het gaat om brute-force en je verdubbelt de rekenkracht elke anderhalf jaar dan hebben we over 75 jaar (50 verdubbelingen) computers die 1,1 triljoen keer zo snel zijn als dat ze nu zijn.
Durandal
@Max Hunt17 augustus 2011 17:38
Niet alleen dat, maar het -aantal- computers vermeerdert ook exponentieel, en de onderlinge communicatie ook.
Ik geef het nog geen 50 jaar ( in theorie ).
Anoniem: 35352
@Durandal17 augustus 2011 21:27
50 jaar zou wel een groot succes zijn t.o.v. van de levensvatbaarheid van de voorganger van AES!
bazkar
@Durandal19 augustus 2011 18:12
AES-256 is inmiddels gemeengoed geworden, en dat is 2^128 KEER zo moeilijk te kraken als AES-128:

A device that could check a billion billion (10^18) AES keys per second (if such a device could ever be made) would in theory require about 3×10^51 years to exhaust the 256-bit key space
Xanaroth
@Turbots17 augustus 2011 14:19
Inderdaad, het lijkt niet zozeer op een kwetsbaarheid tot kraken maar meer een software matige versnelling om elke combinatie uit te proberen, ipv hardware matig.

In dat opzicht zou deze 4x hooguit een paar generaties verschil kunnen geven tot wanneer de standaard niet langer veilig kan worden beschouwd - iets wat zowiezo een kwestie van tijd is zolang er vooruitgang is in technologie.


Aan de andere kant, als er eenmaal een dergelijke ingang is gevonden is de kans groot dat men daarop verder kan bouwen door een echte zwakte te vinden, of het verder te versnellen door optimalisatie van de nieuwe methode.
deadinspace
@Xanaroth18 augustus 2011 13:38
Inderdaad, het lijkt niet zozeer op een kwetsbaarheid tot kraken maar meer een software matige versnelling om elke combinatie uit te proberen, ipv hardware matig.
Het artikel dat tweakers.net als bron gebruikt bevat weinig details, en ik heb weinig zin om de paper van de onderzoekers echt te bestuderen, maar ik vind de paper zo snel overkomen alsof ze maar ongeveer 1/4 van de keys hoeven te proberen. Dat is dus expliciet geen versnelling van een brute force aanval, maar een aanval die minder mogelijkheden hoeft te proberen vanwege een wiskundige zwakheid in AES.

Het is in dat geval dus geen "versnelling" zoals jij vermoedt, maar echt een kwetsbaarheid, hoe klein ook.
SuperDre
@Turbots17 augustus 2011 18:37
totdat ze misschien weer een andere kwetsbaarheid vinden...
MSalters
@SuperDre18 augustus 2011 12:50
Zelfs als dat zou gebeuren is nog niet gezegd dat die twee kwestbaarheden combineren. Stel dat een andere aanval 3x sneller is dan brute-force. Als je de twee technieken kunt combineren dan ben je 12x sneller, als je ze niet kunt combineren dan blijf je steken bij deze factor 4.

En er zijn miljoenen redenen denkbaar waarom je twee aanvallen niet kunt combineren. Stel dat de ene aanval eist dat je sleutels in de volgorde A,Z,B,Y probeert, en de andere in de volgorde A,C,E,G, dan kun je ze al niet combineren.
Geekomatic
@Turbots17 augustus 2011 21:17
Ja, een factor 4 is exponentieel gezien echt niks.
bbob
@Turbots18 augustus 2011 10:01
Waarop baseer je die wijsheid dat de standaard nooit doorbroken zal worden, kun je in een glazen bol kijken.

Er is nu een eerste foutje ontdekt en wie weet komen er over 1 of 5 jaar anderen naar voren. Je kan dus geen uitspraken doen over iets wat in de toekomst kan gebeuren.
deadinspace
@Turbots18 augustus 2011 13:25
Deze standaard zal volgens mij nooit gebroken worden, tótdat er een grote doorbraak is in het veld van computing power. Quantum computers vormen alweer het mogelijke antwoord, maar wie weet wanneer we dat zullen meemaken.
Nouja, dat valt nog te bezien. De mogelijkheden van quantum computers worden nogal eens opgeblazen.

De realiteit is dat hoewel quantum computers 2n berekeningen tegelijk kunnen doen, je slechts één antwoord kunt uitlezen, en het willekeurig is welke van de 2n antwoorden je krijgt.

Dat maakt quantum computers compleet onbruikbaar voor alle klassieke aanpakken. Alleen met algoritmes die specifiek zijn gemaakt voor QCs zodanig dat de zinnige antwoorden veel waarschijnlijker zijn dan de onzinnige antwoorden kun je iets bereiken op QCs.

Voor RSA bestaat zo'n algoritme gebaseerd op [url=http://en.wikipedia.org/wiki/Shor's_algorithm[/url]Shor's algorithm[/url]; dit algoritme is zodanig snel dat RSA vrijwel waardeloos is zodra er QCs beschikbaar zijn die groot genoeg zijn (dat is voorlopig nog niet in zicht overigens).

Voor AES daarentegen is het beste wat we tot nu toe bedacht hebben een toepassing van Grover's algorithm, wat de complexiteit kwadratisch doet dalen. Dat reduceert AES-256 effectief tot AES-128, wat met de huidige middelen nog steeds effectief onkraakbaar is.
Anoniem: 296748
17 augustus 2011 14:12
Kwetsbaarheid, kwetsbaarheid... jullie maakten me even bang zeg.

Dit is geen kwetsbaarheid, het is gewoon 2 jaar voorsprong met hardware (ieder jaar 2 keer zo snel). Da's jammer voor degenen die op de rand van hun eigen veiligheidsregels zitten, maar bepaald geen grote blunder of rampzalige ontdekking.

Als je echt veilig wil zitten had je zowiezo wel 256 bits gekozen, als dat nu 254 wordt maakt dat niets uit (vandaar dat je 256 bits kiest, speelruimte overhouden). AES 256 is pas te kraken als er een hele grote "kwetsbaarheid" in zit; een miljard keer sneller kraken levert nog niets op.
yiNXs
@Anoniem: 29674817 augustus 2011 14:22
Het is ook best verraderlijk als je leest dat het 4x zo snel gekraakt kan worden, totdat je er weer even aan herinnert wordt dat dit maar 2 bits over het geheel is.

Het had best pijnlijk geweest als het een grotere doorbraak was, aangezien intel nu bijvoorbeeld AES hardware ondersteuning in de nieuwste processors heeft gebouwd, zo vertrouwd en gestandaardiseerd is deze encryptie op het moment.
Als je echt veilig wil zitten had je zowiezo wel 256 bits gekozen
Ik hou wel van de methode die truecrypt gebruikt, de gemixte encryptiemethodes. Als een van de twee encrypties makkelijk gekraakt blijkt te worden is er altijd nog de ander.

Snel is anders natuurlijk, maar dat reflecteert zichzelf meteen ook richting de breekbaarheid.
PPie
@yiNXs17 augustus 2011 15:40
Ik hou wel van de methode die truecrypt gebruikt, de gemixte encryptiemethodes. Als een van de twee encrypties makkelijk gekraakt blijkt te worden is er altijd nog de ander.
Je loopt echter ook een risico dat door een gechainde encryptie het geheel zwakker is dan de afzonderlijke encrypties.
Kijk bijvoorbeeld eens naar 3DES (3xDES achter elkaar), als je 3 verschillende keys gebruikt zou je 3x56=168 bits key lengte verwachten, maar het zijn er effectief maar 112.
Zie http://en.wikipedia.org/wiki/3des
Zoiets kan ook bij andere encryptie algorithmen...
Shondoit
@PPie17 augustus 2011 16:32
Ik noem dat nou niet bepaald een risico.
56 bits is nog altijd meer dan 112 bits.

De effectiviteit van 3DES neemt af doordat het kwetsbaar is voor een Meet-in-the-Middle attack.
Dit gaat er van uit dat je zowel een stuk plain text als de bijbehorende cipher text tot je beschikking hebt.
Hoewel de effectieve beveiliging 112 bits is, heeft de hacker nog steeds 168 bits te kraken wanneer hij geen plain text heeft.

Ik ben geen expert, maar het lijkt mij moeilijker om met gelaagde encryptie een Meet-in-the-Middle attack uit te voeren, omdat je de resultaten van één encryptie niet kunt hergebruiken voor de volgende laag. (waardoor dus de effectieve beveiliging mogelijk gelijk is aan de theoretische beveiliging: de sleutel lengtes bij elkaar opgeteld)
yiNXs
@PPie17 augustus 2011 17:46
Het zou heel raar zijn als dat zo zou werken. Het geheel kan nooit zwakker zijn dan de afzonderlijke encrypties, want ze zijn niet afhankelijk van elkaar. Het is in principe waar dat als je 2x 128 bit encryptie gebruikt dat het niet (per definitie) gelijk staat aan 1x 256 bit, maar 2x 128 bit is in geen enkel geval onveiliger dan 1x 128 bit. Het gevaar bij 3DES zit 'm vooral ook in het feit dat je 3x de zelfde encryptie gebruikt, nog geheel onafhankelijk van de al ontdekte zwaktes van deze encryptie (de reden dat het ook vervangen is). Bij een gemixt algortime, bedoel ik dus 2 verschillende encrypties, zoals AES+Twofish bijvoorbeeld. Als AES dan ineens makkelijk te kraken blijkt te zijn, dan vormt Twofish nog een blokkade en omgekeerd uiteraard.

Maar even los van dat, zelfs in jou voorbeeld is het zo dat 3xDES nog altijd sterker blijkt te zijn dan 1x DES (56 bit), onafhankelijk van de implementatie en zwaktes.
comecme
@yiNXs17 augustus 2011 15:07
Het is ook best verraderlijk als je leest dat het 4x zo snel gekraakt kan worden, totdat je er weer even aan herinnert wordt dat dit maar 2 bits over het geheel is.
Hoezo? 4 keer zo snel is 4 keer zo snel, ongeacht hoeveel bits dat is.
3DDude
@comecme17 augustus 2011 15:21
2 bits = 4 ;)
00
01
10
11
4 mogelijkheden dus, dat zijn 2 bits ;-)

en hij bedoelt dat het 2 bits te kraken scheelt op bijv een AES 128bit sleutel (dus je hoeft nog maar 126 bits i.p.v. 128 bits te kraken ;) )
hierdoor is het uiteindelijk 4 keer zo snel ;)
Cloud
@Anoniem: 29674817 augustus 2011 14:29
Dit is geen kwetsbaarheid, het is gewoon 2 jaar voorsprong met hardware (ieder jaar 2 keer zo snel). Da's jammer voor degenen die op de rand van hun eigen veiligheidsregels zitten, maar bepaald geen grote blunder of rampzalige ontdekking.
Daar zullen ze heus wel rekening gehouden hebben hoor. Ik denk dat ze gewoon een kleine optimalisatie in het bruteforceproces hebben gevonden, waardoor je dus de zoekruimte sneller kunt beperken. :)

Ze zullen echt niet zo dom geweest zijn om puur te kijken naar hoe snel ze dit vier jaar geleden konden doen, dat vergelijken met nu en dan zeggen dat ze een kwetsbaarheid gevonden hebben.. We hebben het hier over een universiteit, een research centrum van Microsoft en nog een paar onderwijsinstellingen, niet een of andere flapdrol met een grote fantasie :P

edit:
Dat de 'kwetsbaarheid' als je het überhaupt zo kunt noemen, weinig zoden aan de dijk zet mag duidelijk zijn natuurlijk. Maar ja, één kwetsbaarheid moet de eerste zijn natuurlijk. Wie weet zit er nog meer fout in het algoritme. Daarom is het juist goed dat onderzoekers dit soort dingen doen.

edit2:
@Xtrafris
Nee volgens mij bedoelt Yankee dat helemaal niet. Als ik zijn reactie lees zegt hij dat er helemaal geen kwetsbaarheid gevonden is, maar dat het nu alleen sneller kan omdat de cpu-power de wet van Moore volgt. En ja, natuurlijk telt die wet van Moore mee, maar dat heeft niets te maken met de kwetsbaarheid die in dit onderzoek gevonden is. Dat is iets anders.

[Reactie gewijzigd door Cloud op 17 augustus 2011 15:09]

Xtrafris
@Cloud17 augustus 2011 14:59
Ze zullen echt niet zo dom geweest zijn om puur te kijken naar hoe snel ze dit vier jaar geleden konden doen, dat vergelijken met nu en dan zeggen dat ze een kwetsbaarheid gevonden hebben.. We hebben het hier over een universiteit, een research centrum van Microsoft en nog een paar onderwijsinstellingen, niet een of andere flapdrol met een grote fantasie :P
Ehm, dit is ook wat die verdomde yankee bedoeld :P
Processing power wordt volgens de wet van Moore elke 2 jaar ongeveer verdubbeld, dus het 4x versnellen van het kunnen decrypten van AES maakt de standaard simpelweg 4 jaar korter houdbaar.
DCK
@Anoniem: 29674817 augustus 2011 14:43
Het is wel een kwetsbaarheid, omdat deze versnelling door een intrinsieke eigenschap van het algoritme komt en niet door snellere computers. Je hebt gelijk dat het een relatief gevolgloze kwetsbaarheid is.
Eric167
17 augustus 2011 23:16
het aantal vereiste berekeningen bedraagt 8 met 38 nullen.
Dit is volgens mij niet juist. Hierbij gaat men uit dat de sleutel de laatste is.

Theoretisch kan ieder sleutel in no time gevonden worden. Men gaat altijd uit van het doorlopen van alle mogelijkheden. Alleen een sleutel kan zich in overal in de reeks bevinden, dus ook vooraan. De eerste poging zou al succes kunnen hebben.

De tekst zou dus 'het maximaal aantal berekeningen bedraagt 8 met 38 nullen.' moeten zijn.
mr.paaJ
@Eric16718 augustus 2011 00:40
Dan moet je dus de bruteforce techniek kennen en gewoon het laatste wachtwoord in de rij kiezen :Y)

Maar goed, ik denk dat de grootste kracht van de beveiliging vooral het afschrikeffect is, niemand heeft zin iets te starten dat honderden jaren kan gaan duren.

[Reactie gewijzigd door mr.paaJ op 18 augustus 2011 00:42]

mrlammers
@Eric16719 augustus 2011 09:42
Theoretisch kan ieder sleutel in no time gevonden worden
Bedenkt ook dat slechts 1% van de keyspace nog steeds 36 nullen heeft....
...en denk dan eens na...
...en zeg het dan nog eens.
tomvdlee
18 augustus 2011 08:58
Ik gebruik meestal een combinatie van AES, Twofish en Serpent voor versleuteling van belangrijke data. Vraag me af of het ook op deze twee andere van invloed is en of dit dan veiliger is.
Anoniem: 84969
@tomvdlee18 augustus 2011 11:47
Ik pas tweemaal ROT-13 toe, want éénmaal is niet veilig genoeg.

Overigens is het met 3 verschillende methodes versleutelen van je data gewoon overkill. AES is sterk genoeg, zeker als je voor 256 of zelfs 512 gaat. 2 extra versleutelingen levert gewoon extra werk en complicatie op, die niet nodig zijn. Tenzij je erg paranoide bent, natuurlijk, dan kan het niet genoeg zijn.
Anoniem: 164019
18 augustus 2011 12:25
Ik ben benieuwd in hoeverre deze aanval Whirlpool raakt, een hashfunctie gebaseerd op AES. Wellicht een geschikt onderwerp voor een vervolgonderzoek.
deadinspace
18 augustus 2011 13:40
Uit het artikel:
De drie onderzoekers, Andrey Bogdanov van de K.U.Leuven, Dmitry Khovratovich van Microsoft Research en Christian Rechberger van diverse Franse onderwijsinstituten, zeggen een 'intelligente' aanvalsmethode te hebben gevonden om AES-sleutels te kraken. De methode zou werken bij alle AES-versies ongeacht de sleutellengte. Via de nieuwe methode kan de AES-sleutel viermaal sneller bepaald worden, waardoor AES-128 in feite als AES-126 zou moeten worden bepaald. Hoe de onderzoekers het kraken van de sleutels hebben versneld, is onbekend.
Euh, onbekend hoe? De paper van de onderzoekers is gewoon gepubliceerd. 33 pagina's met uitleg over hoe ze deze aanval geconstrueerd hebben.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee