imgp968k

Jest jeszcze jeden kłopot, ale dotyczy on głównie kryptografów. Nawet gdyby znane formy ataku udoskonalić na tyle, by poważnie rozważać złamanie AES, najprawdopodobniej atak taki wymagałby liczby kroków rzędu 2^m oraz 2¹⁰⁰ bajtów pamięci. Taki zasób środków pozwoliłby złamać szyfr, a ściślej: zredukować jego poziom bezpieczeństwa do 120 bitów. AES przestał by spełniać nasze wymagania, ale nawet gdyby miał chronić nasze pieniądze, to i tak jeszcze nie spędzało by nam snu z powiek. Tak kosztowne ataki dziś nie są jeszcze możliwe w praktyce i prawdopodobnie nie będą w ciągu najbliższych 50 lat (zobacz podrozdział 3.7).

Bardziej nas niepokoi prostota struktury algebraicznej AES [34], Szyfr ten można przedstawić w postaci stosunkowo prostego domkniętego równania algebraicznego nad skończonym układem 256 elementów. Nie jest to atak, lecz tylko prostu zapis, ale gdyby rozwiązanie takich równań okazało się możliwe, to AES byłby złamany. Ta perspektywa otwiera całkiem nową drogę do ataków. Żaden inny znany nam szyfr blokowy nie ma tak prostej postaci algebraicznej. W tej chwili nie wiemy, czy otworzy to ten szyfr na ataki, czy nie, ale już ta niewiedza jest dostatecznym powodem do ograniczenia zaufania. Wyobraźmy sobie najgorszy możliwy scenariusz: za pięć lat, kiedy AES będzie w powszechnym użyciu, będziemy siedzieć w auli słuchając doktoranta jakiegoś innego kierunku matematyki, który zacznie tak: „Tego popołudnia nie miałem nic do roboty, więc zajrzałem do książki o kryptografii, którą przyniósł mój kolega. Znalazłem w niej wzory bardzo podobne do tych, które badałem w całkiem innym projekcie...”. Dwadzieścia minut później prezentacja kończy się stwierdzeniem: „Tak więc odnalezienie klucza na moim komputerze zajmuje około dwóch godzin”.

jnku AES jest wyjątkowym szyfr, w tym też AES, może

j    ------ ' * ~ >1*1 * *    aicu\u na nbj. i \jjlcl ly iii lAaz-uy 11, w tj^in i    ✓

W w    w- — — m w w m • M % | y | % / kW ■, ■ m . ■ ■ ■ ■ m ■ \ ■ ■ m i ■ ł ■ ■ i £ y j i « i ■ ■ ■ y j w i i c ■ / i ■ i i ł \ / i y j | ^ j lKh w - — — ^

wy rodzaj ataków. Specjaliści od kryptografii nie mają na tym polu żadnego doświadczenia, żaden

w przyszłości zaatakowany. Jednak prosta struktura algebraiczna AES otwiera go na całkiem no

\A7\/ rf\f\~7Ck\ ałol/Au/ Q    ^    ^A I_______.    1    . _ i_____A ~    tCk

j    ^łr■    uu Mypiugićim me mają na tym poiu zauncgu uubwiau^v..._M,

z nich nie twierdził, że cokolwiek wie o wspomnianych wyrażeniach. Być może są na świecie osoby, które potrafią je przekształcać, ale nie ma powodu by stwierdzać, że mają oni jakiekolwie