Muchos criptosistemas de clave pública tienen algún tipo de seguridad demostrable. Por ejemplo, el criptosistema Rabin es probablemente tan difícil como factorizar.
Me pregunto si existe ese tipo de seguridad comprobable para los criptosistemas de clave secreta, como AES. Si no es así, ¿cuál es la evidencia de que romper tales criptosistemas es difícil? (aparte de la resistencia a los ataques de prueba y error)
Observación: estoy familiarizado con las operaciones AES (AddRoundKey, SubBytes, ShiftRows y MixColumns). Parece que la dureza de AES proviene de la operación MixColumns, que a su vez debe heredar su dificultad de algún problema difícil sobre Galois Fields (y, por lo tanto, el álgebra). De hecho, puedo volver a formular mi pregunta como: "¿Qué problema algebraico difícil garantiza la seguridad de AES?"
fuente
Como dijo David, no tenemos tales reducciones para AES. Sin embargo, esto no significa que Rabin o RSA cryptosystem sean más seguros que AES. De hecho, confiaría en la seguridad (al menos unidireccional, probablemente también pseudoaleatoria) de los cifrados de bloque como AES / DES, etc. (tal vez con un poco más de rondas que las utilizadas habitualmente) más que la suposición de que la factorización es difícil, precisamente porque no hay una estructura algebraica y, por lo tanto, es más difícil imaginar que habrá algún tipo de algoritmo innovador.
Se pueden construir cifrados de bloque directamente a partir de funciones unidireccionales, lo cual es una suposición mínima para gran parte de la criptografía, pero la construcción resultante será terriblemente ineficiente y, por lo tanto, no se utilizará.
fuente
Dado que uno puede convertir cualquier esquema de cifrado de clave pública en un esquema de clave secreta de forma genérica, puede obtener esquemas de clave secreta con garantías de seguridad comprobables similares.
Pero esa respuesta es pedante: para el típico blockcipher desplegado no tenemos un análisis de seguridad demostrable en el sentido de reducción a problema computacional. Se han presentado propuestas para blockciphers con reducciones de seguridad, pero el equipaje computacional necesario para facilitar una reducción los hace poco competitivos con esquemas más eficientes como los algoritmos AES.
Curiosamente, la comunidad de seguridad comprobable generalmente ha acordado que es correcto tomar la seguridad de blockcipher (permutación pseudoaleatoria) como una suposición, y luego reducirla al analizar protocolos de nivel superior que emplean a blockcipher como componente. Es decir, a diferencia de otros desafíos en el diseño de protocolos seguros, parece suficiente confiar en la intuición de seguridad de los criptoanalistas cuando se trata de blockciphers.
fuente