Атака Методом Перебора. Насколько Мы Можем Быть Уверены, Что Никто Не Взломает 128-Битный Ключ?

В контекст включая блочный шифр, такой как AES-128, исключая квантовые компьютеры, криптоаналитический прорыв в AES и атаки на реализацию (плохой TRNG, DPA...), и гаечный ключ, насколько мы можем быть уверены в том, что при поиске по ключу, "никто не взломает 128-битный ключ"до 2100 года. Предположим, дела как обычно для человечества — использование 1-летнего глобального производства электроэнергии, 1-летнего промышленного производства для оборудования (используемого в течение многолетнего периода).

Полное раскрытие: я пытаюсь бросить вызов своим собственным полусырое мнение.

Обновлено: Я оставляю этот вопрос открытым, если мы разрешаем многоцелевые атаки, когда один и тот же известный открытый текст доступен в зашифрованном виде множеством случайных 128-битных ключей. Это имеет огромное значение, но особенности блочного шифра становятся менее важными, и это хорошо.

Примечание: у нас есть связанный вопрос там; но он рассматривал размер ключа 256 бит, методы, адекватные этому размеру, не обязательно должны быть точными и не привели к окончательному или даже ясному выводу о 128-битном ключе; плюс ответам уже почти 6 лет, и с тех пор было выполнено гораздо больше SHA-256, чем я мог предположить в то время.

Примечание. У нас есть еще один связанный вопрос. там на уровне 128-битного ключа, но он ограничивается в настоящее время доступен технология. Здесь мы должны учитывать предсказуемую технологию, более правдоподобную, чем квантовые компьютеры, которые можно использовать для такого криптоанализа.

^{Примечание: установлены лимиты 2100 и другие (вместо исходного). в будущем человечества как вида) ради того, чтобы сделать количественный ответ более фальсифицируемым. Скажем, глобальный апокалипсис 1 марта, потому что военный субподрядчик нарушил правило високосного года.}

#грубая атака #размер ключа

Похоже, этот вопрос задает нам вопрос о том, насколько быстро будут расти компьютеры. Отсутствие криптоаналитического прорыва и отсутствие квантовых вычислений, по сути, означает отсутствие атаки быстрее, чем грубая сила.

Так сможет ли человечество в какой-то момент в будущем, обладая значительными ресурсами, подобрать 128-битный ключ?

Я бы ответил, возможно. 256-битный ключ Почти однозначно нет.

Очевидно, что предсказывать сложно, особенно будущее, но если предположить, что человечество не самоуничтожится, оно продолжит прогрессировать, и вполне разумно предположить, что оно приблизится к пределам возможного.

Основная дискуссия о теоретических пределах грубой силы ведется в области минимальных энергетических затрат. Я подозреваю, что нам может не хватать физиков на бирже криптостеков, поэтому я попробую. https://en.m.wikipedia.org/wiki/Landauer%27s_principle

Для грубого взлома ключа необходимо перечислить ключи. И это требует изменения битов. Каждое изменение бита стирает некоторую информацию, и для этого требуется минимальное количество энергии. Предел Лаудера

Для грубого перебора 128-битного кода при комнатной температуре получается 262,7 Twh (годовое потребление электроэнергии в Испании), это много. Но это не то, чего человечество не может достичь. Снижая температуру, мы можем улучшить эту ситуацию. Некоторые говорят, что мы могли бы построить компьютер другого типа, который не стирает информацию, и на него это ограничение не распространяется. Хотя такой компьютер мог бы противоречить духу вопроса, исключающему квантовые компьютеры.

Таким образом, на самом деле у нас нет каких-либо хороших теоретических ограничений, которые могли бы помешать человечеству в конечном итоге подобрать 128-битный ключ. Что приводит к моему ответу. Может быть.

Для 256 бит тот же предел энергии вывел бы брутфорс далеко за рамки возможного.

Я считаю, что смогу решить проблему, основываясь на современном состоянии полупроводников и классической физики. Я имею в виду исключить квантовые компьютеры и квантовые устройства. Мы дошли до того, что если вы хотите удвоить скорость, вам нужно удвоить мощность, поэтому современные CMOS подходят к концу, но вы все еще можете дразнить аргументом мощности.

Предположим, что для переключения затвора требуется один электрон; однако, чтобы иметь «усиление» в системе, вам нужно больше, чем один электрон, потому что усиление транзистора происходит за счет сокращения канала (люди, которые рисуют инвертор в виде пары резисторов, оказывают медвежью услугу). По этой причине я буду считать, что каждый транзистор забирает 3 электрона по 1В. Далее я буду предполагать прямую запрещенную зону и бесконечную емкость подложки для связи 1:1 для мгновенного открытия затвора, поэтому я игнорирую время инверсии подложки (которое является физически ограничивающим фактором).

Теперь мне нужно сделать предположение об аппаратном обеспечении (извините), и я буду использовать AES-128 только потому, что могу решить проблему. У меня есть 5 S-Box по 890 электронов на попытку каждый (у меня есть внутренний эталон S-Box, который вычисляет мультипликативную инверсию, и я только что рассчитал это на основе количества вентилей). Rcon стоит мне 112, еще 314 за оставшуюся часть ключевого расписания. Накладные расходы на смешанные столбцы и криптослова составляют около 1480. Для государственных регистров это обходится мне в общей сложности в 16384. Это дает мне в общей сложности 22740 электронов за раунд за 10 раундов.

Результат — 3,6433е-15 Вт за попытку. Это означает, что для исследования всего пространства ключей требуется 1,2398e+24 Вт. Это примерно 2 года нынешнего мирового энергосбережения. Если предположить, что вам нужно 2$^{127}$, это в общей сложности составит 6,198e+23 Вт, или годовую мировую энергию. Эти числа представляют собой нижнее граничное условие текущего поведения полупроводников, которые работают в соответствии с классической физикой.

С вероятностью 99% любой ключ AES любого размера будет взломан, возможно, при нашей жизни.

Полная чепуха предполагать, что нам придется кипятить озера или строить сферы Дайсона, чтобы восстановить ключ AES. Все эти оценки пакетов back of fag предназначены для грубого подбора ключа. Весьма вероятно, что нам этого не придется. Появился дифференциальный анализ, который произвел революцию в криптографии. Технологии и наука неизбежно будут развиваться дальше, и ключевое восстановление станет возможным.

Крайне наивно предсказывать будущее с такой слепой самонадеянностью. Помните тех предсказателей судьбы, которые с такой уверенностью предсказывали, что легкие человека взорвутся, если мы будем двигаться со скоростью выше 6 миль в час? А те немецкие криптографы, которые организовали войну в Атлантике, были уверены в полной секретности? Были ли они неправы!

Из формулы хрупкости есть интересное следствие. Настоящие генераторы случайных чисел относительно просты в изготовлении. Когда Верхняя сторона нашей сферы Дайсона находится в состоянии войны с Нижней стороной, стратегическая связь может снова вернуться к использованию древних одноразовых блокнотов, подчиняющихся уравнению хрупкости.