AES上的最佳攻击估计

Question

维基百科关于高级加密标准的一篇文章声称对AES-128进行了复杂的2^{126.1}攻击。NIST呼吁对后量子密码术提出建议 (第18页上的表格)估计了2^{143}经典的门，用于针对AES-128的密钥搜索攻击。

1. 维基百科文章中的数字是什么意思？门的数目还是其他什么的？
2. 这些数字从何而来？
3. 蛮力攻击的估计值是多少？我对AES-128的天真估计表明，2^{128}是进行1 AES加密的成本的一倍。

Answer 1

1. 2^{126.1}值是攻击所需的AES加密次数(或等效的计算工作负载)。还存在一个实质性的数据要求，即攻击者选择了密文对后，需要2^{56}匹配的明文/密文对，然后提供相应的明文对。
2. 维基百科的数字来自陶和吴的论文AES双频密码分析方法的改进，该论文建立在博格达诺夫、霍夫拉托维奇和雷奇伯格在他们的论文“全AES的Biclique密码分析”中的基础上。我不知道NIST数据的来源，尽管它们似乎并非完全不合理。用于FPGA的AES的电路效率实现报告称需要数万个门(例如，参见Hernandez等人)。( 低成本高级加密标准(AES) VLSI体系结构:一种最小位串行方法)和这个电路将需要为一个单一的AES加密反复评估多个门。更具体地说，主要的门计数是在S-box的实现中，它需要在十轮中每轮评估16次。
3. 蛮力解密的代价是预期的2^{127}加密(如果我们假设有因果解决方案)，最多需要一到两个匹配的明文/密文对。