Возвращение в будущее: размеры блоков

Американский Национальный институт стандартов и технологий (NIST) в последнее время очень занят вопросами криптографии. Он не только активно работает в области постквантовой криптографии (PQC), но также занимается стандартизацией легкого шифра Ascon, а в ближайшее время планирует начать масштабную работу по изучению пороговой криптографии. В конце 2024 года NIST объявил о намерении пересмотреть и стандартизировать вариант AES с размером блока 256 бит.

Нежелательные последствия

То, что столкновения происходят чаще при меньшем размере блока, означает, что приложениям нужно было ограничивать количество блоков, которые они могли шифровать. Это означает, что мы используем только один ключ 128 бит для шифрования относительно небольшого количества данных.

На практике это ограничение на то, сколько можно зашифровать с одним ключом, становится равным 2^32 блокам или всего 64 гигабайта (что меньше, чем большинство жестких дисков в ноутбуке сегодня), когда AES используется в его самом популярном сценарии (называемом режимом AES-GCM).

Это означает, что нам нужно чаще менять ключи наших шифров или использовать другой метод вызова AES.

AES очень быстр на аппаратном уровне

Поэтому было бы неплохо использовать его для создания функций хеширования (которые обычно очень медленные). Из блочных шифров можно строить функции хеширования, но они не очень безопасны (или более сложны в построении), если у блочного шифра нет большого размера блока (например, 256 бит).

Несоответствие между размером блока и размером ключа для алгоритма AES привело к теоретическому «атаке» (в очень специфической ситуации) на алгоритм AES с размером ключа 256 бит в 2009 году благодаря Бирюкову и Ховратовичу.

Таким образом, AES-256 с его размером блока 128 бит не был так хорош, как можно было бы ожидать. С другой стороны, использование Rijndael с размером ключа 256 бит и размером блока 256 бит могло бы избежать этой «атаки».

В заключение

NIST объявил о пересмотре того, что в retrospect была ошибкой, допущенной им в 2001 году. AES действительно следовало стандартизировать с вариантом размера блока 256 бит.

Если бы у криптографов была машина времени DeLorean, они бы вернулись примерно на 25 лет назад и изменили конкурс AES так, чтобы окончательное решение позволило использовать AES с размером блока 256 бит.