उच्च एन्क्रिप्शन मानक

उच्च एन्क्रिप्शन मानक (एईएस), जिसे इसके मूल नाम रिजेंडेल से भी जाना जाता है, 2001 में अमेरिकी राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) द्वारा स्थापित इलेक्ट्रॉनिक डेटा के  कूटलेखन के लिए एक विनिर्देश है।

एईएस रिजेंडेल ब्लॉक सिफर का एक प्रकार है जिसे  बेल्जियम के दो क्रिप्टोग्राफर,  जोन डेमन और  विन्सेंट रिजमेन द्वारा विकसित किया गया है, जिन्होंने  उच्च कूटलेखन मानक प्रक्रिया के दौरान एनआईएसटी को एक प्रस्ताव प्रस्तुत किया। रिजेंडेल विभिन्न कुंजी और ब्लॉक आकार वाले सिफर का परिवार है। एईएस के लिए, एनआईएसटी ने रिजेंडेल परिवार के तीन सदस्यों का चयन किया, जिनमें से प्रत्येक का ब्लॉक आकार 128 बिट्स था, लेकिन तीन अलग-अलग कुंजी लंबाई: 128, 192 और 256 बिट्स थी।

एईएस अमेरिकी सरकार द्वारा अपनाया गया है। यह डेटा कूटलेखन मानक (डीईएस) को प्रतिस्थापित करता है, जिसे 1977 में प्रकाशित किया गया था। एईएस द्वारा वर्णित कलन एक  सममित-कुंजी कलन है, जिसका अर्थ है कि एक ही कुंजी का उपयोग डेटा को एन्क्रिप्ट करने और डिक्रिप्ट करने दोनों के लिए किया जाता है।

संयुक्त राष्ट्र अमेरिका में, उच्च एन्क्रिप्शन मानक की घोषणा राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा यूएस संघीय सूचना प्रसंस्करण मानक PUB 197 (FIPS 197) के रूप में 26 नवंबर, 2001 को की गई थी। इस घोषणा ने पांच साल की मानकीकरण प्रक्रिया का पालन किया जिसमें रिजेंडेल सिफर को सबसे उपयुक्त के रूप में चुने जाने से पहले पंद्रह प्रतिस्पर्धी डिजाइन प्रस्तुत और मूल्यांकन किए गए थे।

अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल आयोग 18033-3 मानक सूची में एईएस सम्मिलित है। संयुक्त स्टेट अमेरिका के वाणिज्य सचिव द्वारा अनुमोदन के बाद 26 मई, 2002 को एईएस अमेरिकी संघीय सरकार के मानक के रूप में प्रभावी हो गया। एईएस कई अलग-अलग एन्क्रिप्शन पैकेजों में उपलब्ध है, और एनएसए अनुमोदित क्रिप्टोग्राफ़िक मॉड्यूल में उपयोग किए जाने पर शीर्ष गुप्त जानकारी के लिए यू.एस. राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा अनुमोदित पहला (और केवल) सार्वजनिक रूप से सुलभ सिफ़र है।

निश्चित मानक
उच्च एन्क्रिप्शन मानक (एईएस) प्रत्येक में परिभाषित किया गया है:


 * एफआईपीएस पीयूबी 197: उच्च एन्क्रिप्शन मानक (एईएस)
 * ISO/IEC 18033-3: ब्लॉक सिफर

सिफर का विवरण
एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है।
 * एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है। [11] अपने पूर्ववर्ती डीईएस के विपरीत, एईएस फिस्टल नेटवर्क का उपयोग नहीं करता है। एईएस रिजेंडेल का एक संस्करण है, जिसमें 128 बिट्स का एक निश्चित  ब्लॉक आकार (क्रिप्टोग्राफी) और 128, 192 या 256 बिट्स का एक प्रमुख आकार है। इसके विपरीत, रिजेंडेल प्रति से ब्लॉक और  कुंजी आकार के साथ निर्दिष्ट किया गया है जो न्यूनतम 128 और अधिकतम 256 बिट्स के साथ 32 बिट्स का कोई भी गुणक हो सकता है। अधिकांश एईएस गणना एक विशेष परिमित क्षेत्र अंकगणित में की जाती हैं।

एईएस 16 बाइट्स के 4 × 4 स्तंभ-प्रमुख आदेश  ऐरे पर काम करता है $$b_0, b_1, ..., b_{15}$$ अवस्था कहा जाता है:

\begin{bmatrix} b_0 & b_4 & b_8 & b_{12} \\ b_1 & b_5 & b_9 & b_{13} \\ b_2 & b_6 & b_{10} & b_{14} \\ b_3 & b_7 & b_{11} & b_{15} \end{bmatrix} $$ एईएस सिफर  के लिए उपयोग किया जाने वाला कुंजी आकार परिवर्तन राउंड की संख्या को निर्दिष्ट करता है जो इनपुट को परिवर्तित करता है, जिसे  प्लेनटेक्स्ट कहा जाता है, अंतिम आउटपुट में, जिसे सिफरटेक्स्ट कहा जाता है। राउंड की संख्या इस प्रकार है:


 * 128-बिट कुंजियों के लिए 10 राउंड।
 * 192-बिट कुंजियों के लिए 12 राउंड।
 * 256-बिट कुंजियों के लिए 14 राउंड।

प्रत्येक चरण में कई प्रसंस्करण चरण होते हैं, जिसमें एक एन्क्रिप्शन कुंजी पर ही निर्भर करता है। उसी एन्क्रिप्शन कुंजी का उपयोग करके सिफरटेक्स्ट को मूल प्लेनटेक्स्ट में वापस बदलने के लिए रिवर्स राउंड का एक सेट लागू किया जाता है।

कलन विधि का उच्च-स्तरीय विवरण

 * 1) कुंजी विस्तार – एईएस कुंजी अनुसूची का उपयोग करके सिफर कुंजी से गोल कुंजियाँ प्राप्त की जाती हैं। एईएस को प्रत्येक राउंड प्लस एक और के लिए एक अलग 128-बिट राउंड की ब्लॉक की आवश्यकता होती है।
 * 2) प्रारंभिक चरण कुंजी जोड़:
 * 3) कुंजी की गोल जोड़ – स्टेट के प्रत्येक बाइट को  बिटवाइज़ एक्सोर  का उपयोग करके गोल कुंजी के एक बाइट के साथ जोड़ा जाता है।
 * 9, 11 या 13 राउंड:
 * 1) सबबाइट्स – एक रेखीय मानचित्र | गैर-रैखिक प्रतिस्थापन चरण जहां प्रत्येक बाइट को  रिजेंडेल एस-बॉक्स  के अनुसार दूसरे के साथ बदल दिया जाता है।
 * 2) शिफ्ट पंक्तियाँ – एक परिवर्तन चरण जहां स्टेट की अंतिम तीन पंक्तियों को एक निश्चित संख्या में चक्रीय रूप से स्थानांतरित किया जाता है।
 * 3) कॉलम मिलान – एक रैखिक मिश्रण संचालन जो स्टेट के कॉलम पर संचालित होता है, प्रत्येक कॉलम में चार बाइट्स को जोड़ता है।
 * 4) कुंजी की गोल जोड़
 * 5) फाइनल राउंड (कुल मिलाकर 10, 12 या 14 राउंड बनाना):
 * 6) सबबाइट्स
 * 7) शिफ्ट पंक्तियाँ
 * 8) कुंजी की गोल जोड़

सबबाइट्स स्टेप
सबबाइट्स चरण में, स्टेट सरणी में प्रत्येक बाइट $$a_{i,j}$$ को 8-बिट प्रतिस्थापन बॉक्स  का उपयोग करके सबबाइट $$S(a_{i,j})$$ में  बदल दिया जाता है।  ध्यान दें कि राउंड 0 से पहले, स्टेट ऐरे केवल प्लेनटेक्स्ट/इनपुट है। यह संचालन सिफर में गैर-रैखिकता प्रदान करता है। उपयोग किया गया एस-बॉक्स $GF(2^{8})$ पर गुणात्मक प्रतिलोम से प्राप्त होता है, जिसे अच्छी गैर-रैखिकता गुणों के लिए जाना जाता है। सरल बीजगणितीय गुणों के आधार पर हमलों से बचने के लिए, व्युत्क्रम समारोह को एक व्युत्क्रमणीय एफ़िन परिवर्तन के साथ जोड़कर एस-बॉक्स का निर्माण किया जाता है। एस-बॉक्स को किसी निश्चित बिंदु से बचने के लिए भी चुना जाता है (और ऐसा ही एक अव्यवस्था है), अर्थात्, $$ S(a_{i,j}) \neq a_{i,j} $$ और कोई भी विपरीत निश्चित बिंदु, अर्थात्, $$ S(a_{i,j}) \oplus a_{i,j} \neq \text{FF}_{16} $$. डिक्रिप्शन करते समय, आईएनवी उप बाइट्स चरण (का व्युत्क्रम सबबाइट्स) का उपयोग किया जाता है, जिसके लिए पहले सजातीय परिवर्तन के व्युत्क्रम को लेने की आवश्यकता होती है और फिर गुणक व्युत्क्रम को खोजने की आवश्यकता होती है।

शिफ्ट रो स्टेप
शिफ्ट रो स्टेप स्टेट की पंक्तियों पर संचालित होता है; यह एक निश्चित ऑफसेट (संगणक विज्ञान) द्वारा प्रत्येक पंक्ति में बाइट्स को चक्रीय रूप से बदलता है। एईएस के लिए, पहली पंक्ति अपरिवर्तित छोड़ दी गई है। दूसरी पंक्ति के प्रत्येक बाइट को एक बाईं ओर स्थानांतरित कर दिया जाता है। इसी तरह, तीसरी और चौथी पंक्तियों को क्रमशः दो और तीन के ऑफसेट द्वारा स्थानांतरित किया जाता है। इस तरह, के उत्पादन की स्थिति के प्रत्येक स्तंभ ShiftRows चरण इनपुट स्थिति के प्रत्येक स्तंभ से बाइट्स से बना है। इस चरण का महत्व स्तंभों को स्वतंत्र रूप से एन्क्रिप्ट किए जाने से बचाना है, जिस स्थिति में एईएस चार स्वतंत्र ब्लॉक सिफर में अपकृष्ट हो जाएगा।

मिक्स कॉलम स्टेप
मिक्स कॉलम चरण में, स्टेट के प्रत्येक स्तंभ के चार बाइट्स एक व्युत्क्रमणीय रैखिक परिवर्तन  का उपयोग करके संयोजित किए जाते हैं। मिक्स कॉलम }} फलन इनपुट के रूप में चार बाइट्स लेता है और चार बाइट्स आउटपुट करता है, जहां प्रत्येक इनपुट बाइट सभी चार आउटपुट बाइट्स को प्रभावित करता है। शिफ्ट पंक्तियाँ,के साथ साथ मिक्स कॉलम सिफर में  प्रसार (क्रिप्टोग्राफी)  प्रदान करता है।

इस संचालन के दौरान, प्रत्येक कॉलम को एक निश्चित आव्यूह का उपयोग करके रूपांतरित किया जाता है (कॉलम द्वारा आव्यूह को बाएं-गुणा करने से स्टेट में कॉलम का नया मान मिलता है):



\begin{bmatrix} b_{0,j} \\ b_{1,j} \\ b_{2,j} \\ b_{3,j} \end{bmatrix} = \begin{bmatrix} 2 & 3 & 1 & 1 \\ 1 & 2 & 3 & 1 \\ 1 & 1 & 2 & 3 \\ 3 & 1 & 1 & 2 \end{bmatrix} \begin{bmatrix} a_{0,j} \\ a_{1,j} \\ a_{2,j} \\ a_{3,j} \end{bmatrix} \qquad 0 \le j \le 3 $$ आव्यूह गुणन, प्रविष्टियों के गुणा और जोड़ से बना है। प्रविष्टियां बाइट्स हैं जिन्हें क्रम $$x^7$$ के बहुपद के गुणांक के रूप में माना जाता है. ऐसा ही जोड़ XOR है। गुणन सापेक्ष अलघुकरणीय बहुपद $$x^8+x^4+x^3+x+1$$ है. यदि थोड़ा-थोड़ा करके संसाधित किया जाता है, तो स्थानांतरण के बाद, 1B16 के साथ एक सशर्त XOR का प्रदर्शन किया जाना चाहिए यदि स्थानांतरित मान FF16 से बड़ा है (अतिप्रवाह को बहुपद उत्पन्न करने के घटाव द्वारा ठीक किया जाना चाहिए)। ये $$\operatorname{GF}(2^8)$$ सामान्य गुणन के विशेष मामले हैं.

अधिक सामान्य अर्थ में, प्रत्येक स्तंभ को $$\operatorname{GF}(2^8)$$ पर एक बहुपद के रूप में माना जाता है और फिर इसे गुणा किया जाता है $${01}_{16} \cdot z^4+{01}_{16}$$ और  एक निश्चित बहुपद के साथ $$c(z) = {03}_{16} \cdot z^3 + {01}_{16} \cdot z^2 +{01}_{16} \cdot z + {02}_{16}$$ तो गुणा मॉड्यूलो है. गुणांक उनके हेक्साडेसिमल  समतुल्य $$\operatorname{GF}(2)[x]$$. MixColumns }} से बिट बहुपदों के द्विआधारी प्रतिनिधित्व के बराबर प्रदर्शित होते हैं। चरण को  परिमित क्षेत्र  में दिखाए गए विशेष  एमडीएस आव्यूह $$\operatorname{GF}(2^8)$$ द्वारा गुणन के रूप में भी देखा जा सकता है. रिजेंडेल मिक्स कॉलम लेख में इस प्रक्रिया का आगे वर्णन किया गया है।

एंड राउंड की
ऐडराउंडकीय चरण में, उपकुंजी स्टेट के साथ समायोजन है। प्रत्येक चरण के लिए, रिजेंडेल कुंजी अनुसूची का उपयोग करके मुख्य कुंजी (क्रिप्टोग्राफी)  से एक उपकुंजी प्राप्त की जाती है। रिजेंडेल की मुख्य अनुसूची; प्रत्येक उपकुंजी स्टेट के समान आकार की है। उपकुंजी को बिटवाइज़ एक्सक्लूसिव या का उपयोग करके स्टेट के प्रत्येक बाइट को उपकुंजी के संबंधित बाइट के साथ जोड़कर जोड़ा जाता है।

सिफर का अनुकूलन
32-बिट या बड़े शब्दों वाले सिस्टम पर,सबबाइट्स और शिफ्टरोज़ चरणों को मिक्स कॉलम चरण के साथ तालिका लुकअप के सीक्वेंस में बदलकर इस सिफर के निष्पादन को गति देना संभव है। इसके बाद 16 टेबल लुकअप ऑपरेशंस और 12 32-बिट एक्सक्लूसिव-या ऑपरेशंस के साथ एक राउंड किया जा सकता है, इसके बाद ऐडराउंडकीय स्टेप में चार 32-बिट एक्सक्लूसिव-या ऑपरेशंस किए जा सकते हैं। वैकल्पिक रूप से, टेबल लुकअप ऑपरेशन को एक सिंगल 256-एंट्री 32-बिट टेबल (1024 बाइट्स पर कब्जा कर लिया गया) के साथ सर्कुलर रोटेशन ऑपरेशंस के साथ किया जा सकता है।

बाइट-ओरिएंटेड दृष्टिकोण का उपयोग करके, सबबाइट्स, शिफ्टरोज़ और मिक्स कॉलम चरणों को एक ही राउंड ऑपरेशन में जोड़ना संभव है।

सुरक्षा
राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने रिजेंडेल सहित सभी एईएस फाइनलिस्ट की समीक्षा की और कहा कि वे सभी यू.एस. सरकार के गैर-वर्गीकृत डेटा के लिए पर्याप्त सुरक्षित थे। जून 2003 में, अमेरिकी सरकार ने घोषणा की कि एईएस का उपयोग वर्गीकृत जानकारी की सुरक्षा के लिए किया जा सकता है: एईएस कलन विधि (अर्थात्, 128, 192 और 256) की सभी प्रमुख लंबाई की डिजाइन और ताकत गुप्त स्तर तक वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त हैं। टॉप सीक्रेट जानकारी के लिए 192 या 256 कुंजी लंबाई के उपयोग की आवश्यकता होगी। राष्ट्रीय सुरक्षा प्रणालियों और/या सूचना की रक्षा के लिए लक्षित उत्पादों में एईएस के कार्यान्वयन की उनके अधिग्रहण और उपयोग से पहले समीक्षा की जानी चाहिए और एनएसए द्वारा प्रमाणित किया जाना चाहिए।

एईएस में 128-बिट कुंजियों के लिए 10 राउंड, 192-बिट कुंजियों के लिए 12 राउंड और 256-बिट कुंजियों के लिए 14 राउंड हैं।

2006 तक, सबसे प्रसिद्ध आक्रमण 128-बिट कुंजियों के लिए 7 राउंड, 192-बिट कुंजियों के लिए 8 राउंड और 256-बिट कुंजियों के लिए 9 राउंड थे।

ज्ञात आक्रमण
क्रिप्टोग्राफ़र्स के लिए, एक क्रिप्ट विश्लेषण  ब्रेक  ब्रूट-फोर्स आक्रमण की तुलना में कुछ भी तेज है - अर्थात्, अनुक्रम में प्रत्येक संभावित कुंजी के लिए एक परीक्षण डिक्रिप्शन करना। एक विराम में ऐसे परिणाम सम्मिलित हो सकते हैं जो वर्तमान तकनीक के साथ अक्षम्य हैं। अव्यावहारिक होने के बाद भी, सैद्धांतिक विराम कभी-कभी भेद्यता पैटर्न में अंतर्दृष्टि प्रदान कर सकते हैं। व्यापक रूप से कार्यान्वित ब्लॉक-सिफर एन्क्रिप्शन कलन विधि के विरुद्ध सार्वजनिक रूप से ज्ञात ब्रूट-फोर्स का सबसे बड़ा सफल हमला 2006 में डिस्ट्रीब्यूटेड.नेट द्वारा 64-बिट  आरसी5 कुंजी के विरुद्ध था।

कुंजी की लंबाई के प्रत्येक अतिरिक्त बिट के लिए कुंजी स्थान 2 के एक कारक से बढ़ जाता है, और यदि कुंजी का हर संभव मूल्य परिवर्तनीय है, तो यह औसत ब्रूट-बल कुंजी खोज समय के दोगुने में बदल जाता है। इसका अर्थ यह है कि ब्रूट-फोर्स सर्च का प्रयास कुंजी की लंबाई के साथ तेजी से बढ़ता है। कुंजी की लंबाई अपने आप में हमलों के विरुद्ध सुरक्षा का संकेत नहीं देती है, क्योंकि बहुत लंबी कुंजियों वाले सिफर हैं जो कमजोर पाए गए हैं।

एईएस में काफी सरल बीजगणितीय संरचना है। 2002 में, एक्सएसएल आक्रमण नामक एक सैद्धांतिक आक्रमण की घोषणा निकोलस कौरटोइस और  जोसेफ पीप्रज़िक द्वारा की गई थी, जो आंशिक रूप से इसके अरैखिक घटकों की कम जटिलता के कारण एईएस कलन विधि में कमजोरी दिखाने के लिए थी। तब से, अन्य कागजात ने दिखाया है कि हमला, जैसा कि मूल रूप से प्रस्तुत किया गया है, असाध्य है; ब्लॉक सिफर पर एक्सएसएल हमला देखें।

एईएस चयन प्रक्रिया के दौरान, प्रतिस्पर्धी कलन विधि के निर्माणकर्ता ने रिजेंडेल के कलन विधि के बारे में लिखा था, हम सुरक्षा-महत्वपूर्ण अनुप्रयोगों में [इसके] उपयोग के बारे में चिंतित हैं। अक्टूबर 2000 में, चूंकि, एईएस चयन प्रक्रिया के अंत में, प्रतिस्पर्धी कलन विधि त्वोफिश के एक डेवलपर,  ब्रूस श्नेयर ने लिखा था कि जब उन्होंने सोचा था कि किसी दिन रिजेंडेल पर सफल शैक्षणिक आक्रमण विकसित किए जाएंगे, तो उन्हें विश्वास नहीं था कि कोई भी कभी खोज पाएगा एक हमला जो किसी को रिजेंडेल यातायात को पढ़ने की अनुमति देगा।

मई 2009 तक, पूर्ण एईएस के विरुद्ध एकमात्र सफल प्रकाशित आक्रमण कुछ विशिष्ट कार्यान्वयनों पर साइड-चैनल आक्रमण थे। 2009 में, एक नए संबंधित-कुंजी आक्रमण की खोज की गई जो एईएस के प्रमुख कार्यक्रम की सरलता का फायदा उठाती है और इसमें 2119 की जटिलता है. दिसंबर 2009 में इसे सुधार कर 299.5 किया गया था. यह 2009 में एलेक्स बिरुकोव,  दिमित्री खोवराटोविच और इविका निकोलीक द्वारा खोजे गए एक आक्रमण का अनुवर्ती है, जिसमें प्रत्येक 235 में से एक के लिए कुंजियाँ 296 की जटिलता है। चूंकि, संबंधित-कुंजी आक्रमण किसी भी ठीक से डिज़ाइन किए गए क्रिप्टोग्राफ़िक प्रोटोकॉल में चिंता का विषय नहीं हैं, क्योंकि एक ठीक से डिज़ाइन किए गए प्रोटोकॉल (अर्थात्, कार्यान्वयन सॉफ्टवेयर) संबंधित कुंजियों की अनुमति नहीं देने का ध्यान रखेंगे, अनिवार्य रूप से संबंधितता के लिए कुंजियों के चयन के हमलावर के साधनों को बाधित करके।

एक और हमला ब्रूस श्नेयर द्वारा ब्लॉग किया गया था

30 जुलाई 2009 को, और प्रीप्रिंट के रूप में जारी किया गया था

3 अगस्त 2009 को एलेक्स बिरुकोव, ऑर डंकेलमैन, नाथन केलर, दिमित्री खोव्रतोविच और आदि शमीर द्वारा किया गया यह नया हमला एईएस-256 के विरुद्ध है जो केवल दो संबंधित कुजियों और 239 का उपयोग करता है। 9-राउंड संस्करण की पूर्ण 256-बिट कुंजी पुनर्प्राप्त करने का समय, या 245 बार 10-राउंड संस्करण के लिए एक मजबूत प्रकार के संबंधित उपकुंजी आक्रमण के साथ, या 270 1-राउंड संस्करण के लिए 256-बिट एईएस 14 राउंड का उपयोग करता है, इसलिए ये आक्रमण पूर्ण एईएस के विरुद्ध प्रभावी नहीं हैं।

मजबूत संबंधित कुंजी वाले इन हमलों की व्यावहारिकता की आलोचना की गई है, उदाहरण के लिए, 2010 में विंसेंट रिजमेन द्वारा लिखित एईएस-128 पर चुने गए-कुंजी-संबंध-इन-द-बीच हमलों पर पेपर द्वारा।

नवंबर 2009 में, एईएस-128 के कम 8-राउंड संस्करण के विरुद्ध पहला ज्ञात-कुंजी विशिष्ट हमला प्रीप्रिंट के रूप में जारी किया गया था।

यह ज्ञात-कुंजी विभेदक हमला रिबाउंड में सुधार है, या एईएस-जैसे क्रमपरिवर्तन के विरुद्ध मध्य-से-शुरुआत का हमला है, जो एक तथाकथित सुपर-एस-बॉक्स के आवेदन के रूप में क्रमचय के दो लगातार चरणों को देखता है।. यह एईएस-128 के 8-राउंड संस्करण पर काम करता है, जिसकी समय जटिलता 248 है, और मेमोरी जटिलता और 232 की मेमोरी जटिलता। 128-बिट एईएस 10 राउंड का उपयोग करता है, इसलिए यह हमला पूर्ण एईएस-128 के विरुद्ध प्रभावी नहीं है।

पूर्ण एईएस पर पहला कुंजी-वसूली हमला एंड्री बोगडानोव, दिमित्री खोव्रतोविच और क्रिश्चियन रेचबर्गर द्वारा किया गया था, और 2011 में प्रकाशित किया गया था। यह हमला एक दोतरफा हमला है और क्रूर बल से लगभग चार गुना तेज है। AES-128 कुंजी को पुनर्प्राप्त करने के लिए 2126.2 संचालन की आवश्यकता होती है। AES-192 और AES-256 के लिए क्रमशः  2190.2 और 2254.6 संचालन की आवश्यकता है। इस परिणाम को एईएस-128 के लिए  2126.0, एईएस-192 के लिए  2189.9 और एईएस-256 के लिए  2254.3 तक सुधार किया गया है, [28] जो एईएस के विरुद्ध प्रमुख रिकवरी आक्रमण में वर्तमान सर्वोत्तम परिणाम हैं।

यह एक बहुत छोटा लाभ है, क्योंकि 126-बिट कुंजी (128-बिट्स के अतिरिक्त) को अभी भी वर्तमान और निकटवर्ती हार्डवेयर पर क्रूर बल लगाने में अरबों साल लगेंगे। इसके अलावा, लेखकों ने एईएस पर अपनी तकनीक का उपयोग करते हुए 128-बिट कुंजी के साथ 288 बिट डेटा संग्रहीत करने के लिए सबसे सर्वश्रेष्ठ आक्रमण की गणना की। यह लगभग 38 ट्रिलियन टेराबाइट डेटा के लिए काम करता है, जो 2016 में ग्रह पर सभी कंप्यूटरों पर संग्रहीत सभी डेटा से अधिक है। इस प्रकार, एईएस सुरक्षा पर कोई व्यावहारिक प्रभाव नहीं है। अंतरिक्ष जटिलता को बाद में 256 बिट्स बिट्स में सुधार दिया गया है, [28] जो कि 9007 टेराबाइट्स है (जबकि अभी भी 2126.2 की समय जटिलता रखते हुए)।

स्नोडेन दस्तावेजों के अनुसार, एनएसए इस बात पर शोध कर रहा है कि क्या केंडल ताऊ रैंक सहसंबंध गुणांक पर आधारित एक क्रिप्टोग्राफ़िक हमला एईएस को तोड़ने में मदद कर सकता है।

वर्तमान में, कोई ज्ञात व्यावहारिक हमला नहीं है जो सही ढंग से लागू होने पर एईएस द्वारा एन्क्रिप्ट किए गए डेटा को पढ़ने के लिए कुंजी के ज्ञान के बिना किसी को अनुमति देगा।

साइड-चैनल आक्रमण
साइड-चैनल आक्रमण सिफर को ब्लैक बॉक्स  के रूप में हमला नहीं करते हैं, और इस प्रकार पारंपरिक संदर्भ में परिभाषित सिफर सुरक्षा से संबंधित नहीं हैं, लेकिन व्यवहार में महत्वपूर्ण हैं। वे हार्डवेयर या सॉफ्टवेयर सिस्टम पर सिफर के कार्यान्वयन पर हमला करते हैं जो अनजाने में डेटा लीक कर देते हैं। एईएस के विभिन्न कार्यान्वयनों पर ऐसे कई ज्ञात आक्रमण हैं।

अप्रैल 2005 में, डी. जे. बर्नस्टीन ने कैश-टाइमिंग आक्रमण की घोषणा की जिसका उपयोग उन्होंने ओपनएसएसएल के एईएस एन्क्रिप्शन का उपयोग करने वाले कस्टम सर्वर को तोड़ने के लिए किया था। आक्रमण के लिए 200 मिलियन से अधिक चुने हुए सादे टेक्स्ट की आवश्यकता थी।

कस्टम सर्वर को जितना संभव हो उतना समय की जानकारी देने के लिए डिज़ाइन किया गया था (सर्वर एन्क्रिप्शन संचालन द्वारा लिए गए मशीन चक्रों की संख्या वापस रिपोर्ट करता है)। चूँकि, जैसा कि बर्नस्टीन ने बताया, सर्वर के टाइमस्टैम्प की यथार्थता को कम करना, या उन्हें सर्वर की प्रतिक्रियाओं से समाप्त करना, आक्रमण को नहीं रोकता है: ग्राहक बस अपनी स्थानीय घड़ी के आधार पर राउंड-ट्रिप समय का उपयोग करता है, और बड़ी संख्या में नमूनों के औसत से बढ़े हुए शोर की भरपाई करता है।

अक्टूबर 2005 में, डेग आर्ने ओस्विक, अदि शमीर और एरान ट्रोमर ने ओपनएसएसएल और लिनक्स के  के विभाजन एन्क्रिप्शन फलन में पाये गये एईएस में कार्यान्वयन के विरुद्ध कई कैश-टाइमिंग हमलों का प्रदर्शन किया गया। कुल 65 मिलीसेकंड में केवल 800 संचालनों के बाद एन्क्रिप्शन को ट्रिगर करने के बाद एक हमला पूरी एईएस कुंजी प्राप्त करने में सक्षम था। इस आक्रमण के लिए हमलावर को उसी सिस्टम या प्लेटफॉर्म पर प्रोग्राम चलाने में सक्षम होना चाहिए जो एईएस कर रहा है।

दिसंबर 2009 में कुछ हार्डवेयर कार्यान्वयनों पर एक हमला प्रकाशित किया गया था जिसमें विभेदक दोष विश्लेषण का उपयोग किया गया था और 2 32 की जटिलता के साथ एक कुंजी की पुनर्प्राप्ति की अनुमति देता है।

नवंबर 2010 में एंड्रे बैंगरटर, डेविड गुल्लाश और स्टीफ़न क्रैन ने एक पेपर प्रकाशित किया जिसमें सिफर टेक्स्ट या प्लेनटेक्स्ट की आवश्यकता के बिना एईएस-128 से गुप्त कुंजी की "निकट वास्तविक समय" पुनर्प्राप्ति के लिए एक व्यावहारिक दृष्टिकोण का वर्णन किया गया था। दृष्टिकोण AES-128 कार्यान्वयन पर भी काम करता है जो संपीड़न तालिकाओं का उपयोग करता है, जैसे ओपनएसएसएल पहले के कुछ हमलों की तरह, इसके लिए एईएस एन्क्रिप्शन का प्रदर्शन करने वाले सिस्टम पर अनपेक्षित कोड चलाने की क्षमता की आवश्यकता होती है, जो रूट खाते को कमांड करने की तुलना में मैलवेयर संक्रमण से कहीं अधिक आसानी से प्राप्त किया जा सकता है।

मार्च 2016 में, अशोक कुमार सी., रवि प्रकाश गिरि और बर्नार्ड मेनेजेस ने एईएस कार्यान्वयन पर एक साइड-चैनल हमला प्रस्तुत किया, जो प्लेनटेक्स्ट/सिफरटेक्स्ट के केवल 6-7 ब्लॉकों में पूर्ण 128-बिट एईएस कुंजी को पुनर्प्राप्त कर सकता है, जो कि एक महत्वपूर्ण सुधार है। पिछले कार्य जिनमें 100 से 10 लाख के बीच एन्क्रिप्शन की आवश्यकता होती है। प्रस्तावित आक्रमण के लिए एक मिनट के भीतर चलने वाले मानक उपयोगकर्ता विशेषाधिकार और कुंजी-पुनर्प्राप्ति एल्गोरिदम की आवश्यकता होती है।

कई आधुनिक सीपीयू में अंतर्निहित एईएस निर्देश सेट होता है, जो समय-संबंधी साइड-चैनल हमलों से बचाता है।

एनआईएसटी/सीएसईसी सत्यापन
क्रिप्टोग्राफिक मॉड्यूल वैलिडेशन प्रोग्राम (CMVP) संयुक्त स्टेट सरकार के राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) संगणक सुरक्षा प्रभाग और कनाडा सरकार के संचार सुरक्षा प्रतिष्ठान  (CSE) द्वारा संयुक्त रूप से संचालित है। NIST  FIPS 140-2  के लिए मान्य क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग संयुक्त स्टेट सरकार द्वारा संवेदनशील लेकिन अवर्गीकृत (SBU) या उससे ऊपर के वर्गीकरण वाले सभी डेटा के एन्क्रिप्शन के लिए आवश्यक है। NSTISSP #11 से, सूचना आश्वासन के अधिग्रहण को नियंत्रित करने वाली राष्ट्रीय नीति: "वर्गीकृत जानकारी की सुरक्षा के लिए एन्क्रिप्शन उत्पादों को NSA द्वारा प्रमाणित किया जाएगा, और संवेदनशील जानकारी की सुरक्षा के लिए लक्षित एन्क्रिप्शन उत्पादों को NIST FIPS 140-2 के अनुसार प्रमाणित किया जाएगा।"

कनाडा सरकार भी अपने विभागों के अवर्गीकृत अनुप्रयोगों में FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल के उपयोग की अनुशंसा करती है।

चूंकि एनआईएसटी प्रकाशन 197 ("एफआईपीएस 197") एईएस कलन विधि को कवर करने वाला अद्वितीय दस्तावेज है, विक्रेता सामान्यतः एफआईपीएस 140 के तहत सीएमवीपी से संपर्क करते हैं और एक ही समय में कई कलन विधि (जैसे ट्रिपल डीईएस|ट्रिपल डीईएस या एसएचए1) को मान्य करने के लिए कहते हैं।. इसलिए, क्रिप्टोग्राफ़िक मॉड्यूल मिलना दुर्लभ है जो विशिष्ट रूप से FIPS 197 मान्य हैं और NIST स्वयं सामान्यतः FIPS 197 मान्य मॉड्यूल को अपनी सार्वजनिक वेब साइट पर अलग से सूचीबद्ध करने में समय नहीं लेता है। इसके अतिरिक्त, FIPS 197 सत्यापन को सामान्यतः FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल की वर्तमान सूची में "FIPS स्वीकृत: AES" नोटेशन (विशिष्ट FIPS 197 प्रमाणपत्र संख्या के साथ) के रूप में सूचीबद्ध किया गया है।

क्रिप्टोग्राफ़िक कलन विधि सत्यापन कार्यक्रम (CAVP) एईएस कलन विधि के सही कार्यान्वयन के स्वतंत्र सत्यापन की अनुमति देता है। एनआईएसटी सत्यापन पृष्ठ पर सूचीबद्ध होने में सफल सत्यापन परिणाम। यह परीक्षण FIPS 140-2 मॉड्यूल सत्यापन के लिए पूर्व-अपेक्षित है। चूंकि, किसी भी तरह से सफल CAVP सत्यापन का अर्थ यह नहीं है कि कलन विधि को लागू करने वाला क्रिप्टोग्राफ़िक मॉड्यूल सुरक्षित है। FIPS 140-2 सत्यापन या NSA द्वारा विशिष्ट अनुमोदन की कमी वाले क्रिप्टोग्राफ़िक मॉड्यूल को अमेरिकी सरकार द्वारा सुरक्षित नहीं माना जाता है और इसका उपयोग सरकारी डेटा की सुरक्षा के लिए नहीं किया जा सकता है।

FIPS 140-2 सत्यापन तकनीकी और आर्थिक रूप से दोनों को प्राप्त करने के लिए चुनौतीपूर्ण है। परीक्षणों की एक मानकीकृत बैटरी के साथ-साथ स्रोत कोड समीक्षा का एक तत्व है जिसे कुछ हफ्तों की अवधि में पारित किया जाना चाहिए। एक अनुमोदित प्रयोगशाला के माध्यम से इन परीक्षणों को करने की लागत बहुत अधिक हो सकती है (उदाहरण के लिए, यूएस $30,000 से अधिक) और सत्यापन के लिए लिखने, परीक्षण करने, दस्तावेज़ बनाने और मॉड्यूल तैयार करने में लगने वाला समय सम्मिलित नहीं है। सत्यापन के बाद, मॉड्यूल को फिर से जमा किया जाना चाहिए और यदि वे किसी भी तरह से बदले जाते हैं तो उनका पुनर्मूल्यांकन किया जाना चाहिए। यह सरल कागजी कार्रवाई अद्यतन से भिन्न हो सकता है यदि सुरक्षा कार्यक्षमता परिवर्तन से प्रभावित होने पर सुरक्षा कार्यक्षमता पुन: परीक्षण के अधिक पर्याप्त सेट में नहीं बदली।

टेस्ट वैक्टर
टेस्ट वैक्टर किसी दिए गए इनपुट और कुंजी के लिए ज्ञात सिफर का एक सेट है। एनआईएसटी एईएस ज्ञात उत्तर परीक्षण (केएटी) वैक्टर के रूप में एईएस टेस्ट वैक्टर के संदर्भ को वितरित करता है।

प्रदर्शन
उच्च गति और कम रैम आवश्यकताएँ एईएस चयन प्रक्रिया के कुछ मानदंड थे। चुने गए एल्गोरिथ्म के रूप में, एईएस ने 8-बिट स्मार्ट कार्ड  से लेकर उच्च-प्रदर्शन वाले संगणकों तक, विभिन्न प्रकार के हार्डवेयर पर अच्छा प्रदर्शन किया।

पेंटियम प्रो पर, एईएस एन्क्रिप्शन के लिए प्रति बाइट में 18 घड़ी चक्र की आवश्यकता होती है, जो 200 मेगाहर्ट्ज प्रोसेसर के लिए लगभग 11 एमआईबी/एस के थ्रूपुट के बराबर है।

एईएस-NI निर्देश का समर्थन करने वाले इण्टेल कोर और  एएमडी रेजेन सीपीयू पर थ्रूपुट एकाधिक जीआईबी / एस (i7-12700k पर 15 जीआईबी / एस से अधिक) हो सकता है।।

यह भी देखें

 * ब्लॉक_सिफर_मोड_ऑफ_संचालन
 * डिस्क एन्क्रिप्शन
 * नेटवर्क एन्क्रिप्शन
 * व्हर्लपूल (हैश फंक्शन) - विन्सेंट रिजमेन और पाउलो एस.एल.एम. बैरेटो द्वारा बनाया गया हैश फंक्शन
 * मुफ्त और ओपन-सोर्स सॉफ्टवेयर पैकेजों की सूची

टिप्पणियाँ


संदर्भ

 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)

बाहरी संबंध

 * एईएस algorithm archive information – (old, unmaintained)
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.