Ads 468x60px

perjantai 19. elokuuta 2011

AES murrettu?

Viime päivinä eri lehtien uutiset ovat raportoineet Microsoftin tutkijoiden tekemästä löydöstä liittyen AES –salausalgoritmiin. Mistä oikein on kysymys? AES on niin sanottu symmetrinen salausalgoritmi, jossa samalla salausavaimella voidaan salata ja purkaa viesti. Sen käyttö tiedon luottamuksellisuuden varmistamiseksi on laajaa. Suurin osa pankkiyhteyksistä hyödyntää AES –salausta samoin kuin yritysten VPN -yhteydet niin yritysten välillä kuin etäkäyttäjien ja yrityksen välillä. USA:n hallitus hyväksyi AES –algoritmin yleiseksi salausalgoritmikseen vuosituhannen alussa ja näin se korvasi vanhemman DES –salauksen. Huolimatta AES:n jo suhteellisen pitkästä iästä, ei siitä tähän mennessä ole käytännössä löytynyt heikkouksia. Joitakin vuosia sitten, tutkijat onnistuivat löytämään teoreettisen haavoittuvuuden algoritmista jota kuitenkin asiantuntijat pitivät aivan liian monimutkaisena jotta sillä olisi ollut käytännön vaikutusta ja koski salausavaimia, joiden pituus on pidempi kuin yleisesti käytössä olevat (128/256bit).

Nyt Microsoftin tutkijoiden tekemää löytyä voidaan siis pitää ensimmäisenä varsinaisena heikkoutena AES:ssa. Tutkijoiden pitkäaikaisen analysoinnin tuloksena löydettyä heikkoutta hyväksikäyttäen AES:n murtaminen onkin nelinkertaisesti helpompaa kuin on uskottu. Tämä tarkoittaa sitä että 128-bittinen AES onkin lähempänä 126-bittistä AES:ia. Huolimatta löydetystä haavoittuvuudesta salauksen murtaminen ulkopuoliselle on edelleen mahdotonta. Vaikka hyökkääjällä olisi käytössään rypäs tämän hetkisiä tehokkaimpia tietokoneita, kestäisi murtaminen edelleen miljoonia, jos ei miljardeja vuosia. Löydetty haavoittuvuus ei siis vielä aiheuta välitöntä uhkaa tai syytä vaihtaa salausalgoritmia. Löytöä ei kuitenkaan voi vähätellä. Yleensä hyökkäykset eivät huonone vaan paranevat ja nyt löydettyä heikkoutta jatkokehittämällä voidaan mahdollisesti tulevaisuudessa löytää vakavampia haavoittuvuuksia, kuten historia on osoittanut.

Tarkka kuvaus löydetystä heikkoudesta löytyy Microsoftin julkaisemasta tutkimuksesta: http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf

Ei kommentteja:

Lähetä kommentti