En çok kullanılan şifreleme standardı AES de kırılmış!


Inet-tr 2015 için hazırladığım makaleyi yazarken her gün yeni birşey öğreniyorum.
Tezgahtaki programı bir yana bıraktım, kamuya açtığım algoritmayı geliştirmeye odaklandım.
Akademisyenlerden, kendi algoritmamın açıklarını gösterenler oluyor, kapatmaya çalışıyorum. Örneğin, bugün bir akademisyen dostum, şifreleme anahtarında bir iki bitlik bir değişimin bile tüm şifreli metni değiştirmesi gerektiğini aksi taktirde, "İlişkili anahtar saldırısı"na (Related Key Attack) karşı duyarlı olacağını söyledi. Bugün, buna da bir çare geliştirdim.
Kesin olmamakla birlikte, teorik başka bir açık olabileceği de söylendi. Her ne kadar, bu açık, anahtar hakkında bilgi sahibi olmayı gerektiriyorsa da, üzerinde düşünüp araştırma yaparken, çok ilginç bilgilere rastladım:

http://link.springer.com/chapter/10.1007%2F3-540-45708-9_2

adresinde, Amerikan Hükümeti'nin gizli belgeler için kullanmayı tavsiye ettiği AES algoritmasının CBC modunun kırıldığı ispatlanıyor! Bankalara, devlet dairelerine girişte kullandığımız mevcut TLS ve SSL standartları bu şifrelemeden  yararlanıyor.

Dahası, https://en.wikipedia.org/wiki/Transport_Layer_Security#cite_note-Lucky13-30 adresinde, henüz taslak halinde olan, yakında duyurulacak TLS 1.3 standardında bu algoritmaya yer verilmeyeceği de belirtiliyor.

AES CBC, AES'in en hızlı modu; "openssl speed" bechmarklarına göre,  diğer modlara en az 2 kat fark atıyor. Ve hızından dolayı, doğal olarak,  en çok tercih edip kullanılan modeli!

Kısacası, an itibarı ile, güvensiz bir Internette yaşıyoruz.

Bunu, benim gibi, 25 yıllık bilişim profesyoneli olan insanlar bile, ancak, -benim de boyumu fazlasıyla aşan- teorik işlere girip, pek de anlamadığı matematiksel ispatların arasında boğulduğu zaman öğrenebiliyor!

Her geçen gün, "daha güvenli bir şifreleme algoritması" arayışımda ne kadar haklı olduğumu kendime bir kez daha kanıtlıyorum.




Yorumlar

Bu blogdaki popüler yayınlar

Ben utanaydım, ama, bunlar gerçekleşmeyeydi

Visual proofs of Hohha Dynamic XOR Encryption Algorithm