假设我们有一个硬件AES实现,根据请求,它将使用固定密钥加密或解密欧洲央行模式下的16字节数据块,但拒绝透露其固定密钥。换句话说,神谕。
这个甲骨文有一个缺陷:如果你在设备说输出准备好之前读取硬件的输出寄存器,它将返回中间回合的结果,而不仅仅是第10轮(最后一轮)。
是否有可能攻击这个系统去追踪嵌入的密钥?我猜想这意味着我的问题是关于对Rijndael-128的缩减型变体的选择明文攻击。
发布于 2014-08-18 07:41:55
如果您可以读取加密算法的中间状态,则可以逐一恢复所有的圆形密钥。给定一个AES循环,两个AddRoundKey之间的所有操作(在该轮的开头和第二个)都是可逆的。
例如,第1轮:在AddRoundKey (第2轮)之前获得内部状态,在第1轮开始时返回,使用第一轮键获得明文XORed。
最后,恢复所有的圆键相当于恢复主键。
https://crypto.stackexchange.com/questions/18684
复制相似问题