Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers leggen kwetsbaarheid in AES-encryptie bloot

Onderzoekers van de K.U. Leuven en Microsoft Research hebben een zwak punt in de breed toegepaste Advanced Encryption Standard ontdekt. Via een nieuwe aanvalsmethode kan een AES-sleutel viermaal sneller gekraakt worden.

De drie onderzoekers, Andrey Bogdanov van de K.U.Leuven, Dmitry Khovratovich van Microsoft Research en Christian Rechberger van diverse Franse onderwijsinstituten, zeggen een 'intelligente' aanvalsmethode te hebben gevonden om AES-sleutels te kraken. De methode zou werken bij alle AES-versies ongeacht de sleutellengte. Via de nieuwe methode kan de AES-sleutel viermaal sneller bepaald worden, waardoor AES-128 in feite als AES-126 zou moeten worden bepaald. Hoe de onderzoekers het kraken van de sleutels hebben versneld, is onbekend.

Ondanks de vondst van de onderzoekers blijft AES een uitermate lastig te kraken versleuteling via een brute force-benadering: het aantal vereiste berekeningen bedraagt 8 met 38 nullen. Zelfs een biljoen computers die ieder een miljard sleutels per seconde kunnen nalopen zouden circa twee miljard jaar nodig hebben om de juiste AES-128-sleutel te vinden. De onderzoekers stellen dan ook dat AES niet direct in gevaar is, maar dat het eerste zwakke punt in de encryptiestandaard is gevonden.

AES is een breed toegepaste encryptiestandaard en wordt onder andere toegepast voor het versleutelen van internetverkeer, het dataverkeer op draadloze netwerken en data op harde schijven. De basis van AES vormt het Rijndael-algoritme, dat werd ontwikkeld door de Belgische cryptografen Joan Daemen van ST Microelectronics en professor Vincent Rijmen van de K.U.Leuven.

Het Rijndael-algoritme werd in 2000 door het NIST verkozen als opvolger van de DES-standaard en kreeg de naam Advanced Encryption Standard. AES werd door diverse organisaties tot standaard verheven. Onder andere de NSA gebruikt voor het versleutelen van staatsgeheimen.

Onderzoekers hebben al jaren geprobeerd kwetsbaarheden in AES bloot te leggen en er zijn tot nu toe geen serieuze gaten in het encryptie-algoritme geschoten. Alleen in 2009 werd er een probleem ontdekt als er met AES data versleuteld werd met behulp van vier verschillende sleutels. Daarbij moest de aanvaller een verband tussen deze sleutels leggen, waardoor de 'known-key distinguishing attack'-methode uitsluitend voor wiskundigen interessant bleek en geen invloed had op de praktijk.

Door Dimitri Reijerman

Redacteur

17-08-2011 • 14:07

66 Linkedin Google+

Reacties (66)

Wijzig sortering
Maarja, dat is wel een beetje irrelevant voor de huidig encrypted bestanden.
Dit appeltje hoeft niet met quantum computers gekraakt te worden. 128bits zal voor een quantum computer niet veel voorstellen. Maar vergeet niet dat de nieuwe sleutels ook zullen aangemaakt worden met quantum computers. (bijv. 2100000000000000-etc )

Als er dus geen theoretisch maximum aan de sleutelgrootte is zal de versleuteling navenant sterker worden en in principe net zo lang duren om te kraken.

De grootste zwakheid zit volgens mij in de bruikbaarheid van de sleutel. Als de sleutel onevenredig groot moet zijn zal dit een probleem opleveren met de doorvoersnelheid (tenzij deze evenredig meegroeit met de wet van Moore).

Als ik via https een boek bestel bij bol.com en het duurt een uur voordat de ciphertext / sleutel is doorgestuurd loopt dit behoorlijk uit de pas met praktische versleuteling.

Vergeet niet dat als zelfs een bericht binnen 10 jaar te kraken valt dit onwerkbaar is. Stel dat Churchill het bevel tot de aanval (D-Day) doorgeeft en de Duitsers dit pas na 1000 jaar konden kraken de boodschap geen waarde meer heeft.

Het grootte voordeel van AES is in het publieke sleutelgedeelte. Vroeger werd een groot deel (en energie) gestoken in sleutels. Koeriers moesten sleutels handmatig over de wereld verdelen via diplomatenkoffers etc. Door gebruik van een public key kan de overdracht een stuk goedkoper plaatsvinden.

Niettemin zullen we voor bepaalde dingen altijd nog teruggrijpen op 1-time keypads (zie bijvoorbeeld launchcodes van icbm's) Deze zijn nog moeilijker te kraken (mits goed gedaan).

edit: typo

[Reactie gewijzigd door bigbrother1984 op 18 augustus 2011 18:04]

dat is dus één van de grootste misvattingen van public key encryptie, ook deze is namelijk vatbaar voor een zgn "man in the middle attack". Het verschil zit hem in het feit dat er bij communicatie tussen N nodes geen N*(N-1) sleutels hoeven te worden verdeeld maar slechts N. In je browser zit bijvoorbeeld gewoon een public key ingebakken die waarschijnlijk gewoon per koerier van verisign naar de ontwikkelaars van je browser is gebracht.

owja en daarnaast is AES ook nog eens geen public key encryptie maar private key, de bekende public key varianten zijn namelijk : RSA , elgamal en eliptic curves

[Reactie gewijzigd door Silverstein op 22 augustus 2011 17:00]

AES-256 is inmiddels gemeengoed geworden, en dat is 2^128 KEER zo moeilijk te kraken als AES-128:

A device that could check a billion billion (10^18) AES keys per second (if such a device could ever be made) would in theory require about 3×10^51 years to exhaust the 256-bit key space
Inderdaad, het lijkt niet zozeer op een kwetsbaarheid tot kraken maar meer een software matige versnelling om elke combinatie uit te proberen, ipv hardware matig.
Het artikel dat tweakers.net als bron gebruikt bevat weinig details, en ik heb weinig zin om de paper van de onderzoekers echt te bestuderen, maar ik vind de paper zo snel overkomen alsof ze maar ongeveer 1/4 van de keys hoeven te proberen. Dat is dus expliciet geen versnelling van een brute force aanval, maar een aanval die minder mogelijkheden hoeft te proberen vanwege een wiskundige zwakheid in AES.

Het is in dat geval dus geen "versnelling" zoals jij vermoedt, maar echt een kwetsbaarheid, hoe klein ook.
Zelfs als dat zou gebeuren is nog niet gezegd dat die twee kwestbaarheden combineren. Stel dat een andere aanval 3x sneller is dan brute-force. Als je de twee technieken kunt combineren dan ben je 12x sneller, als je ze niet kunt combineren dan blijf je steken bij deze factor 4.

En er zijn miljoenen redenen denkbaar waarom je twee aanvallen niet kunt combineren. Stel dat de ene aanval eist dat je sleutels in de volgorde A,Z,B,Y probeert, en de andere in de volgorde A,C,E,G, dan kun je ze al niet combineren.
Waarop baseer je die wijsheid dat de standaard nooit doorbroken zal worden, kun je in een glazen bol kijken.

Er is nu een eerste foutje ontdekt en wie weet komen er over 1 of 5 jaar anderen naar voren. Je kan dus geen uitspraken doen over iets wat in de toekomst kan gebeuren.
Deze standaard zal volgens mij nooit gebroken worden, tótdat er een grote doorbraak is in het veld van computing power. Quantum computers vormen alweer het mogelijke antwoord, maar wie weet wanneer we dat zullen meemaken.
Nouja, dat valt nog te bezien. De mogelijkheden van quantum computers worden nogal eens opgeblazen.

De realiteit is dat hoewel quantum computers 2n berekeningen tegelijk kunnen doen, je slechts één antwoord kunt uitlezen, en het willekeurig is welke van de 2n antwoorden je krijgt.

Dat maakt quantum computers compleet onbruikbaar voor alle klassieke aanpakken. Alleen met algoritmes die specifiek zijn gemaakt voor QCs zodanig dat de zinnige antwoorden veel waarschijnlijker zijn dan de onzinnige antwoorden kun je iets bereiken op QCs.

Voor RSA bestaat zo'n algoritme gebaseerd op [url=http://en.wikipedia.org/wiki/Shor's_algorithm[/url]Shor's algorithm[/url]; dit algoritme is zodanig snel dat RSA vrijwel waardeloos is zodra er QCs beschikbaar zijn die groot genoeg zijn (dat is voorlopig nog niet in zicht overigens).

Voor AES daarentegen is het beste wat we tot nu toe bedacht hebben een toepassing van Grover's algorithm, wat de complexiteit kwadratisch doet dalen. Dat reduceert AES-256 effectief tot AES-128, wat met de huidige middelen nog steeds effectief onkraakbaar is.
Theoretisch kan ieder sleutel in no time gevonden worden
Bedenkt ook dat slechts 1% van de keyspace nog steeds 36 nullen heeft....
...en denk dan eens na...
...en zeg het dan nog eens.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True