AES KDF旁路的可能性有多大？

Question

所以当我开始理解KDF的时候，我想知道一些替代的攻击场景。假设你有一个像AES那样的密码和一个强大的KDF。合法用户使用一个30个字符的强密码：

30焦炭通行证？？> KDF (慢速物料: argon2，scrypt )？> AES256。

通常，攻击者必须从一开始就以暴力开始，然后经过KDF，KDF会使他非常沮丧，然后最后检查AES是否接受最后的位串来解密密文。

但是攻击者知道合法用户使用的是一个非常强大的Pasword和一个像样的KDF，仅仅绕过KDF和蛮力直接强制AES位(需要更长的时间，但更少的减速)会更有效吗？

单词列表->一些随机的256个散列( sha256 )-一些随机的256个散列(Sha256)

使用该方法，攻击者可以对每一个可能的AES密钥进行暴力攻击，长度甚至都不重要。但这将是非常困难的，因为所有的可能性。

这种情况发生的可能性有多大？是否值得这样做呢？

Answer 1

让我们假设一个密码，由几本书中的15个随机长词组成。那么密码的熵很可能会超过256位。(这实际上很难精确计算，因为人工密码创建存在语言/social /physiological问题，但让我们跳过这些问题)。这比AES-256键还多。因此，在这种情况下，似乎值得直接攻击AES密钥，因为它的熵较小。

这将是对AES-256密钥的野蛮攻击。这个网站很好地报道了这一切的徒劳之处。我将添加这链接，并说你将需要比地球上所有的电池更多的能源需求。以宇宙单位的年龄来测量很多时间。这是不可能的，而且真的不值得去做。

这也引发了一个问题:如果你简单地绕过KDF并直接攻击密码密钥，那么KDF是干什么的呢？

Answer 2

给出一个简短的答案：

不，强行使用AES密钥是完全不可行的。

Answer 3

我明白你的意思，但事实是，用蛮力强迫256位键是不值得的。见这答案和这 1。

如果密码是如此长和复杂和/或如果KDF强加了这样一个成本，猜测这是不可能的，一个聪明的攻击者会寻找另一种方法来获得它，例如在目标的机器上放置一个键盘记录器，在他的房子/办公室放置一个隐藏的照相机，敲诈，或酷刑。