उच्च एन्क्रिप्शन मानक

उच्च एन्क्रिप्शन मानक (एईएस), जिसे इसके मूल नाम रिजेंडेल से भी जाना जाता है, 2001 में अमेरिकी राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) द्वारा स्थापित इलेक्ट्रॉनिक डेटा के  कूटलेखन के लिए एक विशेष विवरण है।

एईएस रिजेंडेल ब्लॉक सिफर का एक प्रकार है जिसे  बेल्जियम के दो क्रिप्टोग्राफर,  जोन डेमन और  विन्सेंट रिजमेन द्वारा विकसित किया गया है, जिन्होंने  उच्च एन्क्रिप्शन मानक प्रक्रिया के दौरान NIST को एक प्रस्ताव प्रस्तुत किया। रिजेंडेल विभिन्न कुंजी और ब्लॉक आकार वाले सिफर का परिवार है। एईएस के लिए, एनआईएसटी ने रिजेंडेल परिवार के तीन सदस्यों का चयन किया, जिनमें से प्रत्येक का ब्लॉक आकार 128 बिट्स था, लेकिन तीन अलग-अलग कुंजी लंबाई: 128, 192 और 256 बिट्स थी।

एईएस अमेरिकी सरकार द्वारा अपनाया गया है। यह डेटा एन्क्रिप्शन मानक (डीईएस) को प्रतिस्थापित करता है, जिसे 1977 में प्रकाशित किया गया था। एईएस द्वारा वर्णित कलन एक  सममित-कुंजी कलन है, जिसका अर्थ है कि एक ही कुंजी का उपयोग डेटा को एन्क्रिप्ट करने और डिक्रिप्ट करने दोनों के लिए किया जाता है।

संयुक्त स्टेट अमेरिका में, उच्च एन्क्रिप्शन मानक की घोषणा राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा यूएस संघीय सूचना प्रसंस्करण मानक PUB 197 (FIPS 197) के रूप में 26 नवंबर, 2001 को की गई थी। इस घोषणा ने पांच साल की मानकीकरण प्रक्रिया का पालन किया जिसमें रिजेंडेल सिफर को सबसे उपयुक्त के रूप में चुने जाने से पहले पंद्रह प्रतिस्पर्धी डिजाइन प्रस्तुत और मूल्यांकन किए गए थे।

अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल आयोग 18033-3 मानक सूची में एईएस शामिल है। संयुक्त स्टेट अमेरिका के वाणिज्य सचिव द्वारा अनुमोदन के बाद 26 मई, 2002 को एईएस अमेरिकी संघीय सरकार के मानक के रूप में प्रभावी हो गया। एईएस कई अलग-अलग एन्क्रिप्शन पैकेजों में उपलब्ध है, और एनएसए अनुमोदित क्रिप्टोग्राफ़िक मॉड्यूल में उपयोग किए जाने पर शीर्ष गुप्त जानकारी के लिए यू.एस. राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा अनुमोदित पहला (और केवल) सार्वजनिक रूप से सुलभ सिफ़र है।

निश्चित मानक
उच्च एन्क्रिप्शन मानक (एईएस) प्रत्येक में परिभाषित किया गया है:


 * एफआईपीएस पीयूबी 197: उच्च एन्क्रिप्शन मानक (एईएस)
 * ISO/IEC 18033-3: ब्लॉक सिफर

सिफर का विवरण
एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है।
 * एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है। [11] अपने पूर्ववर्ती डीईएस के विपरीत, एईएस फिस्टल नेटवर्क का उपयोग नहीं करता है। एईएस रिजेंडेल का एक संस्करण है, जिसमें 128 बिट्स का एक निश्चित  ब्लॉक आकार (क्रिप्टोग्राफी) और 128, 192 या 256 बिट्स का एक प्रमुख आकार है। इसके विपरीत, रिजेंडेल प्रति से ब्लॉक और  कुंजी आकार के साथ निर्दिष्ट किया गया है जो न्यूनतम 128 और अधिकतम 256 बिट्स के साथ 32 बिट्स का कोई भी गुणक हो सकता है। अधिकांश एईएस गणना एक विशेष परिमित क्षेत्र अंकगणित में की जाती हैं।

एईएस 16 बाइट्स के 4 × 4 स्तंभ-प्रमुख आदेश  ऐरे पर काम करता है $$b_0, b_1, ..., b_{15}$$ अवस्था कहा जाता है:

\begin{bmatrix} b_0 & b_4 & b_8 & b_{12} \\ b_1 & b_5 & b_9 & b_{13} \\ b_2 & b_6 & b_{10} & b_{14} \\ b_3 & b_7 & b_{11} & b_{15} \end{bmatrix} $$ एईएस सिफर  के लिए उपयोग किया जाने वाला कुंजी आकार परिवर्तन राउंड की संख्या को निर्दिष्ट करता है जो इनपुट को परिवर्तित करता है, जिसे  प्लेनटेक्स्ट कहा जाता है, अंतिम आउटपुट में, जिसे सिफरटेक्स्ट कहा जाता है। राउंड की संख्या इस प्रकार है:


 * 128-बिट कुंजियों के लिए 10 राउंड।
 * 192-बिट कुंजियों के लिए 12 राउंड।
 * 256-बिट कुंजियों के लिए 14 राउंड।

प्रत्येक दौर में कई प्रसंस्करण चरण होते हैं, जिसमें एक एन्क्रिप्शन कुंजी पर ही निर्भर करता है। उसी एन्क्रिप्शन कुंजी का उपयोग करके सिफरटेक्स्ट को मूल प्लेनटेक्स्ट में वापस बदलने के लिए रिवर्स राउंड का एक सेट लागू किया जाता है।

कलन विधि का उच्च-स्तरीय विवरण

 * 1) कुंजी विस्तार – एईएस कुंजी अनुसूची का उपयोग करके सिफर कुंजी से गोल कुंजियाँ प्राप्त की जाती हैं। एईएस को प्रत्येक राउंड प्लस एक और के लिए एक अलग 128-बिट राउंड की ब्लॉक की आवश्यकता होती है।
 * 2) प्रारंभिक दौर कुंजी जोड़:
 * 3) कुंजी की गोल जोड़ – स्टेट के प्रत्येक बाइट को  बिटवाइज़ एक्सोर  का उपयोग करके गोल कुंजी के एक बाइट के साथ जोड़ा जाता है।
 * 9, 11 या 13 राउंड:
 * 1) सबबाइट्स – एक रेखीय मानचित्र | गैर-रैखिक प्रतिस्थापन चरण जहां प्रत्येक बाइट को  रिजेंडेल एस-बॉक्स  के अनुसार दूसरे के साथ बदल दिया जाता है।
 * 2) शिफ्ट पंक्तियाँ – एक परिवर्तन चरण जहां स्टेट की अंतिम तीन पंक्तियों को एक निश्चित संख्या में चक्रीय रूप से स्थानांतरित किया जाता है।
 * 3) कॉलम मिलान – एक रैखिक मिश्रण संचालन जो स्टेट के कॉलम पर संचालित होता है, प्रत्येक कॉलम में चार बाइट्स को जोड़ता है।
 * 4) कुंजी की गोल जोड़
 * 5) फाइनल राउंड (कुल मिलाकर 10, 12 या 14 राउंड बनाना):
 * 6) सबबाइट्स
 * 7) शिफ्ट पंक्तियाँ
 * 8) कुंजी की गोल जोड़

SubBytes }} चरण
सबबाइट्स चरण में, स्टेट सरणी में प्रत्येक बाइट $$a_{i,j}$$ को 8-बिट प्रतिस्थापन बॉक्स  का उपयोग करके सबबाइट $$S(a_{i,j})$$ में  बदल दिया जाता है।  ध्यान दें कि राउंड 0 से पहले, स्टेट ऐरे केवल प्लेनटेक्स्ट/इनपुट है। यह संचालन सिफर में गैर-रैखिकता प्रदान करता है। उपयोग किया गया एस-बॉक्स $GF(2^{8})$ पर गुणात्मक प्रतिलोम से प्राप्त होता है, जिसे अच्छी गैर-रैखिकता गुणों के लिए जाना जाता है। सरल बीजगणितीय गुणों के आधार पर हमलों से बचने के लिए, व्युत्क्रम समारोह को एक व्युत्क्रमणीय एफ़िन परिवर्तन के साथ जोड़कर एस-बॉक्स का निर्माण किया जाता है। एस-बॉक्स को किसी निश्चित बिंदु से बचने के लिए भी चुना जाता है (और ऐसा ही एक अव्यवस्था है), अर्थात्, $$ S(a_{i,j}) \neq a_{i,j} $$ और कोई भी विपरीत निश्चित बिंदु, अर्थात्, $$ S(a_{i,j}) \oplus a_{i,j} \neq \text{FF}_{16} $$. डिक्रिप्शन करते समय, आईएनवी उप बाइट्स चरण (का व्युत्क्रम सबबाइट्स) का उपयोग किया जाता है, जिसके लिए पहले सजातीय परिवर्तन के व्युत्क्रम को लेने की आवश्यकता होती है और फिर गुणक व्युत्क्रम को खोजने की आवश्यकता होती है।

ShiftRows }} चरण
शिफ्ट पंक्तियाँ }} चरण स्टेट की पंक्तियों पर संचालित होता है; यह एक निश्चित ऑफसेट (संगणक विज्ञान) द्वारा प्रत्येक पंक्ति में बाइट्स को चक्रीय रूप से बदलता है। एईएस के लिए, पहली पंक्ति अपरिवर्तित छोड़ दी गई है। दूसरी पंक्ति के प्रत्येक बाइट को एक बाईं ओर स्थानांतरित कर दिया जाता है। इसी तरह, तीसरी और चौथी पंक्तियों को क्रमशः दो और तीन के ऑफसेट द्वारा स्थानांतरित किया जाता है। इस तरह, के उत्पादन की स्थिति के प्रत्येक स्तंभ ShiftRows चरण इनपुट स्थिति के प्रत्येक स्तंभ से बाइट्स से बना है। इस चरण का महत्व स्तंभों को स्वतंत्र रूप से एन्क्रिप्ट किए जाने से बचाना है, जिस स्थिति में एईएस चार स्वतंत्र ब्लॉक सिफर में अपकृष्ट हो जाएगा।

मिक्स कॉलम }} चरण
में मिक्स कॉलम चरण, स्टेट के प्रत्येक स्तंभ के चार बाइट्स एक व्युत्क्रमणीय रैखिक परिवर्तन  का उपयोग करके संयोजित किए जाते हैं। MixColumns }} फलन इनपुट के रूप में चार बाइट्स लेता है और चार बाइट्स आउटपुट करता है, जहां प्रत्येक इनपुट बाइट सभी चार आउटपुट बाइट्स को प्रभावित करता है। ShiftRows,के साथ साथ MixColumns सिफर में  प्रसार (क्रिप्टोग्राफी)  प्रदान करता है।

इस संचालन के दौरान, प्रत्येक कॉलम को एक निश्चित आव्यूह का उपयोग करके रूपांतरित किया जाता है (कॉलम द्वारा आव्यूह को बाएं-गुणा करने से स्टेट में कॉलम का नया मान मिलता है):



\begin{bmatrix} b_{0,j} \\ b_{1,j} \\ b_{2,j} \\ b_{3,j} \end{bmatrix} = \begin{bmatrix} 2 & 3 & 1 & 1 \\ 1 & 2 & 3 & 1 \\ 1 & 1 & 2 & 3 \\ 3 & 1 & 1 & 2 \end{bmatrix} \begin{bmatrix} a_{0,j} \\ a_{1,j} \\ a_{2,j} \\ a_{3,j} \end{bmatrix} \qquad 0 \le j \le 3 $$ आव्यूह गुणा, गुणा और प्रविष्टियों के जोड़ से बना है। प्रविष्टियां बाइट्स हैं जिन्हें क्रम $$x^7$$के बहुपद के गुणांक के रूप में माना जाता है. ऐसा ही जोड़ XOR है। गुणन सापेक्ष अलघुकरणीय बहुपद $$x^8+x^4+x^3+x+1$$ है. यदि थोड़ा-थोड़ा करके संसाधित किया जाता है, तो स्थानांतरण के बाद, 1B16 के साथ एक सशर्त XOR का प्रदर्शन किया जाना चाहिए यदि स्थानांतरित मान FF16 से बड़ा है (अतिप्रवाह को बहुपद उत्पन्न करने के घटाव द्वारा ठीक किया जाना चाहिए)। ये $$\operatorname{GF}(2^8)$$ सामान्य गुणन के विशेष मामले हैं.

अधिक सामान्य अर्थ में, प्रत्येक स्तंभ को $$\operatorname{GF}(2^8)$$ पर एक बहुपद के रूप में माना जाता है और फिर इसे गुणा किया जाता है $${01}_{16} \cdot z^4+{01}_{16}$$ और  एक निश्चित बहुपद के साथ $$c(z) = {03}_{16} \cdot z^3 + {01}_{16} \cdot z^2 +{01}_{16} \cdot z + {02}_{16}$$ तो गुणा मॉड्यूलो है. गुणांक उनके हेक्साडेसिमल  समतुल्य $$\operatorname{GF}(2)[x]$$. MixColumns }} से बिट बहुपदों के द्विआधारी प्रतिनिधित्व के बराबर प्रदर्शित होते हैं। चरण को  परिमित क्षेत्र  में दिखाए गए विशेष  एमडीएस आव्यूह $$\operatorname{GF}(2^8)$$ द्वारा गुणन के रूप में भी देखा जा सकता है. रिजेंडेल मिक्स कॉलम लेख में इस प्रक्रिया का आगे वर्णन किया गया है।

AddRoundKey }}
AddRoundKey चरण, उपकुंजी स्टेट के साथ संयुक्त है। प्रत्येक दौर के लिए, रिजेंडेल कुंजी अनुसूची का उपयोग करके मुख्य कुंजी (क्रिप्टोग्राफी)  से एक उपकुंजी प्राप्त की जाती है। रिजेंडेल की मुख्य अनुसूची; प्रत्येक उपकुंजी स्टेट के समान आकार की है। उपकुंजी को बिटवाइज़ एक्सक्लूसिव या का उपयोग करके स्टेट के प्रत्येक बाइट को उपकुंजी के संबंधित बाइट के साथ जोड़कर जोड़ा जाता है।

सिफर
का अनुकूलन 32-बिट या बड़े शब्दों वाले सिस्टम पर, इस सिफर के निष्पादन को गति देना संभव है SubBytes तथा ShiftRows के साथ चरण MixColumns चरण उन्हें टेबल लुकअप के अनुक्रम में बदलकर। इसके लिए चार 256-प्रविष्टि 32-बिट टेबल (एक साथ 4096 बाइट्स पर कब्जा) की आवश्यकता है। इसके बाद 16 टेबल लुकअप संचालन और 12 32-बिट एक्सक्लूसिव-या ऑपरेशंस के साथ एक राउंड किया जा सकता है, इसके बाद चार 32-बिट एक्सक्लूसिव-या ऑपरेशंस में AddRoundKey चरण। वैकल्पिक रूप से, टेबल लुकअप संचालन को एक सिंगल 256-एंट्री 32-बिट टेबल (1024 बाइट्स पर कब्जा कर लिया गया) के साथ सर्कुलर रोटेशन ऑपरेशंस के साथ किया जा सकता है।

बाइट-उन्मुख दृष्टिकोण का उपयोग करके, इसे संयोजित करना संभव है SubBytes, ShiftRows, तथा MixColumns सिंगल राउंड संचालन में चरण।

सुरक्षा
राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने रिजेंडेल सहित सभी एईएस फाइनलिस्ट की समीक्षा की और कहा कि वे सभी यू.एस. सरकार के गैर-वर्गीकृत डेटा के लिए पर्याप्त सुरक्षित थे। जून 2003 में, अमेरिकी सरकार ने घोषणा की कि एईएस का उपयोग वर्गीकृत जानकारी की सुरक्षा के लिए किया जा सकता है: एईएस एल्गोरिद्म (अर्थात्, 128, 192 और 256) की सभी प्रमुख लंबाई की डिजाइन और ताकत गुप्त स्तर तक वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त हैं। टॉप सीक्रेट जानकारी के लिए 192 या 256 कुंजी लंबाई के उपयोग की आवश्यकता होगी। राष्ट्रीय सुरक्षा प्रणालियों और/या जानकारी की रक्षा करने के उद्देश्य से उत्पादों में एईएस के कार्यान्वयन को उनके अधिग्रहण और उपयोग से पहले एनएसए द्वारा समीक्षा और प्रमाणित किया जाना चाहिए। 

एईएस में 128-बिट कुंजियों के लिए 10 राउंड, 192-बिट कुंजियों के लिए 12 राउंड और 256-बिट कुंजियों के लिए 14 राउंड हैं।

2006 तक, सबसे प्रसिद्ध हमले 128-बिट कुंजियों के लिए 7 राउंड, 192-बिट कुंजियों के लिए 8 राउंड और 256-बिट कुंजियों के लिए 9 राउंड थे।

ज्ञात हमले
क्रिप्टोग्राफ़र्स के लिए, एक क्रिप्ट विश्लेषण  ब्रेक  पशु बल का आक्रमण  की तुलना में कुछ भी तेज है - अर्थात्, अनुक्रम में प्रत्येक संभावित कुंजी के लिए एक परीक्षण डिक्रिप्शन करना। एक विराम में ऐसे परिणाम शामिल हो सकते हैं जो वर्तमान तकनीक के साथ अक्षम्य हैं। अव्यावहारिक होने के बावजूद, सैद्धांतिक विराम कभी-कभी भेद्यता पैटर्न में अंतर्दृष्टि प्रदान कर सकते हैं। व्यापक रूप से कार्यान्वित ब्लॉक-सिफर एन्क्रिप्शन एल्गोरिथम के खिलाफ सार्वजनिक रूप से ज्ञात ब्रूट-फोर्स का सबसे बड़ा सफल हमला 2006 में डिस्ट्रीब्यूटेड.नेट द्वारा 64-बिट  कारण ले  कुंजी के खिलाफ था। कुंजी की लंबाई के प्रत्येक अतिरिक्त बिट के लिए कुंजी स्थान 2 के एक कारक से बढ़ जाता है, और यदि कुंजी का हर संभव मूल्य परिवर्तनीय है, तो यह औसत ब्रूट-बल कुंजी खोज समय के दोगुने में बदल जाता है। इसका मतलब यह है कि ब्रूट-फोर्स सर्च का प्रयास कुंजी की लंबाई के साथ तेजी से बढ़ता है। कुंजी की लंबाई अपने आप में हमलों के खिलाफ सुरक्षा का संकेत नहीं देती है, क्योंकि बहुत लंबी कुंजियों वाले सिफर हैं जो कमजोर पाए गए हैं।

एईएस में काफी सरल बीजगणितीय ढांचा है। 2002 में, एक्सएसएल हमले नामक एक सैद्धांतिक हमले की घोषणा निकोलस कौरटोइस  और  जोसेफ पीप्रज़िक  द्वारा की गई थी, जो आंशिक रूप से इसके अरैखिक घटकों की कम जटिलता के कारण एईएस एल्गोरिथम में कमजोरी दिखाने के लिए थी। तब से, अन्य कागजात ने दिखाया है कि हमला, जैसा कि मूल रूप से प्रस्तुत किया गया है, असाध्य है; XSL अटैक#एप्लीकेशन टू ब्लॉक सिफर देखें।

एईएस चयन प्रक्रिया के दौरान, प्रतिस्पर्धी एल्गोरिदम के डेवलपर्स ने रिजेंडेल के एल्गोरिदम के बारे में लिखा था, हम सुरक्षा-महत्वपूर्ण अनुप्रयोगों में [इसके] उपयोग के बारे में चिंतित हैं। अक्टूबर 2000 में, हालांकि, एईएस चयन प्रक्रिया के अंत में, प्रतिस्पर्धी एल्गोरिथम दो मछली  के एक डेवलपर,  ब्रूस श्नेयर  ने लिखा था कि जब उन्होंने सोचा था कि किसी दिन रिजेंडेल पर सफल शैक्षणिक हमले विकसित किए जाएंगे, तो उन्हें विश्वास नहीं था कि कोई भी कभी खोज पाएगा एक हमला जो किसी को रिजेंडेल यातायात को पढ़ने की अनुमति देगा। मई 2009 तक, पूर्ण एईएस के खिलाफ एकमात्र सफल प्रकाशित हमले कुछ विशिष्ट कार्यान्वयनों पर साइड-चैनल हमले थे। 2009 में, एक नए संबंधित-कुंजी हमले की खोज की गई जो एईएस के प्रमुख कार्यक्रम की सरलता का फायदा उठाती है और इसमें 2 की जटिलता है119. दिसंबर 2009 में इसे 2 में सुधार किया गया था99.5. यह 2009 में एलेक्स बिरुकोव,  दिमित्री खोवराटोविच  और इविका निकोलीक द्वारा 2 की जटिलता के साथ खोजे गए हमले का अनुवर्ती है।96 प्रत्येक 2 में से एक के लिए35 कुंजियाँ। हालांकि, संबंधित-कुंजी हमले किसी भी ठीक से डिज़ाइन किए गए क्रिप्टोग्राफ़िक प्रोटोकॉल में चिंता का विषय नहीं हैं, क्योंकि एक ठीक से डिज़ाइन किए गए प्रोटोकॉल (अर्थात्, कार्यान्वयन सॉफ्टवेयर) संबंधित कुंजियों की अनुमति नहीं देने का ध्यान रखेंगे, अनिवार्य रूप से संबंधित-कुंजी हमले से संबंधित-कुंजी हमलों को रोकना और संबंधितता के लिए चाबियों के चयन का हमलावर का साधन।

एक और हमला ब्रूस श्नेयर द्वारा ब्लॉग किया गया था 30 जुलाई 2009 को, और प्रीप्रिंट  के रूप में जारी किया गया 3 अगस्त 2009 को। एलेक्स बिरुकोव, ऑर डंकेलमैन, नाथन केलर, दिमित्री खोव्रतोविच और आदि शमीर  द्वारा किया गया यह नया हमला एईएस-256 के खिलाफ है जो केवल दो संबंधित चाबियों और 2 का उपयोग करता है।39 9-राउंड संस्करण की पूर्ण 256-बिट कुंजी पुनर्प्राप्त करने का समय, या 245 समय 10-राउंड संस्करण के लिए एक मजबूत प्रकार के संबंधित उपकुंजी हमले के साथ, या 211-राउंड संस्करण के लिए 70 समय। 256-बिट एईएस 14 राउंड का उपयोग करता है, इसलिए ये हमले पूर्ण एईएस के खिलाफ प्रभावी नहीं हैं।

मजबूत संबंधित कुंजी वाले इन हमलों की व्यावहारिकता की आलोचना की गई है, उदाहरण के लिए, 2010 में विंसेंट रिजमेन द्वारा लिखित एईएस-128 पर चुने गए-कुंजी-संबंध-इन-द-बीच हमलों पर पेपर द्वारा। नवंबर 2009 में, एईएस-128 के कम 8-राउंड संस्करण के खिलाफ पहला ज्ञात-कुंजी विशिष्ट हमला  प्रीप्रिंट के रूप में जारी किया गया था। यह ज्ञात-कुंजी विभेदक हमला रिबाउंड में सुधार है, या एईएस-जैसे क्रमपरिवर्तन के खिलाफ मध्य-से-शुरुआत का हमला है, जो एक तथाकथित सुपर-एस-बॉक्स के आवेदन के रूप में क्रमचय के दो लगातार दौरों को देखता है।. यह एईएस-128 के 8-राउंड संस्करण पर काम करता है, जिसकी समय जटिलता 2 है48, और मेमोरी जटिलता 2 है 32। 128-बिट एईएस 10 राउंड का उपयोग करता है, इसलिए यह हमला पूर्ण एईएस-128 के खिलाफ प्रभावी नहीं है।

पूर्ण एईएस पर पहला कुंजी-वसूली हमला  एंड्री बोगडानोव, दिमित्री खोव्रतोविच और क्रिश्चियन रेचबर्गर द्वारा किया गया था, और 2011 में प्रकाशित किया गया था। यह हमला एक दोतरफा हमला है और क्रूर बल से लगभग चार गुना तेज है। इसके लिए 2 की आवश्यकता हैएईएस-128 कुंजी को पुनर्प्राप्त करने के लिए 126.2 संचालन। एईएस-192 और एईएस-256 के लिए, 2190.2 और 2क्रमशः 254.6 संचालन की आवश्यकता है। इस परिणाम को और सुधार कर 2 कर दिया गया है126.0 एईएस-128 के लिए, 2189.9 एईएस-192 और 2 के लिए254.3 एईएस-256 के लिए, जो कि एईएस के विरुद्ध प्रमुख पुनर्प्राप्ति हमले में वर्तमान सर्वोत्तम परिणाम हैं।

यह एक बहुत छोटा लाभ है, क्योंकि 126-बिट कुंजी (128-बिट्स के बजाय) को अभी भी वर्तमान और निकटवर्ती हार्डवेयर पर क्रूर बल लगाने में अरबों साल लगेंगे। इसके अलावा, लेखक एईएस पर अपनी तकनीक का उपयोग करके 128-बिट कुंजी के साथ सर्वश्रेष्ठ हमले की गणना करते हैं, जिसमें 2 भंडारण की आवश्यकता होती है88 डेटा के बिट। यह लगभग 38 ट्रिलियन टेराबाइट डेटा के लिए काम करता है, जो 2016 में ग्रह पर सभी संगणकों पर संग्रहीत सभी डेटा से अधिक है। इस प्रकार, एईएस सुरक्षा पर कोई व्यावहारिक प्रभाव नहीं है। अंतरिक्ष जटिलता को बाद में 2 में सुधार दिया गया है56 बिट्स, जो 9007 टेराबाइट्स है (अभी भी 2 की समय जटिलता रखते हुए126.2).

एडवर्ड स्नोडेन#वैश्विक निगरानी खुलासों के अनुसार, एनएसए शोध कर रहा है कि क्या केंडल ताऊ रैंक सहसंबंध गुणांक  पर आधारित एक क्रिप्टोग्राफ़िक हमला एईएस को तोड़ने में मदद कर सकता है। वर्तमान में, कोई ज्ञात व्यावहारिक हमला नहीं है जो सही ढंग से लागू होने पर एईएस द्वारा एन्क्रिप्ट किए गए डेटा को पढ़ने के लिए कुंजी के ज्ञान के बिना किसी को अनुमति देगा।

साइड-चैनल हमले
साइड-चैनल हमले सिफर को ब्लैक बॉक्स  के रूप में हमला नहीं करते हैं, और इस प्रकार क्लासिकल संदर्भ में परिभाषित सिफर सुरक्षा से संबंधित नहीं हैं, लेकिन व्यवहार में महत्वपूर्ण हैं। वे हार्डवेयर या सॉफ्टवेयर सिस्टम पर सिफर के कार्यान्वयन पर हमला करते हैं जो अनजाने में डेटा लीक कर देते हैं। एईएस के विभिन्न कार्यान्वयनों पर ऐसे कई ज्ञात हमले हैं।

अप्रैल 2005 में, डेनियल जे. बर्नस्टीन|डी. जे. बर्नस्टीन ने कैश-टाइमिंग हमले की घोषणा की जिसका उपयोग उन्होंने ओपनएसएसएल  के एईएस एन्क्रिप्शन का उपयोग करने वाले कस्टम सर्वर को तोड़ने के लिए किया। हमले के लिए 200 मिलियन से अधिक चुने हुए सादे टेक्स्ट की आवश्यकता थी। रेफरी> कस्टम सर्वर को जितना संभव हो उतना समय की जानकारी देने के लिए डिज़ाइन किया गया था (सर्वर एन्क्रिप्शन संचालन द्वारा लिए गए मशीन चक्रों की संख्या वापस रिपोर्ट करता है)। हालाँकि, जैसा कि बर्नस्टीन ने बताया, सर्वर के टाइमस्टैम्प की सटीकता को कम करना, या उन्हें सर्वर की प्रतिक्रियाओं से समाप्त करना, हमले को नहीं रोकता है: क्लाइंट केवल अपनी स्थानीय घड़ी के आधार पर राउंड-ट्रिप टाइमिंग का उपयोग करता है, और बढ़े हुए शोर की भरपाई करता है बड़ी संख्या में नमूनों का औसत।

अक्टूबर 2005 में, डेग आर्ने ओस्विक, आदि शमीर और एरान ट्रोमर ने एक पेपर प्रस्तुत किया जिसमें ओपनएसएसएल और लिनक्स के एईएस में कार्यान्वयन के खिलाफ कई कैश-टाइमिंग हमलों का प्रदर्शन किया गया।  विभाजन एन्क्रिप्शन समारोह। कुल 65 मिलीसेकंड में केवल 800 संचालनों के बाद एन्क्रिप्शन को ट्रिगर करने के बाद एक हमला पूरी एईएस कुंजी प्राप्त करने में सक्षम था। इस हमले के लिए हमलावर को उसी सिस्टम या प्लेटफॉर्म पर प्रोग्राम चलाने में सक्षम होना चाहिए जो एईएस कर रहा है।

दिसंबर 2009 में कुछ हार्डवेयर कार्यान्वयनों पर एक हमला प्रकाशित किया गया था जिसमें विभेदक दोष विश्लेषण का उपयोग किया गया था और 2 की जटिलता के साथ एक कुंजी की पुनर्प्राप्ति की अनुमति देता है। 32। नवंबर 2010 में एंड्रे बैंगरटर, डेविड गुल्लाश और स्टीफ़न क्रैन ने एक पेपर प्रकाशित किया, जिसमें सिफर टेक्स्ट या प्लेन टेक्स्ट की आवश्यकता के बिना एईएस-128 से गुप्त कुंजियों की लगभग वास्तविक समय पुनर्प्राप्ति के लिए एक व्यावहारिक दृष्टिकोण का वर्णन किया गया था। दृष्टिकोण एईएस-128 कार्यान्वयन पर भी काम करता है जो संपीड़न तालिकाओं का उपयोग करता है, जैसे कि OpenSSL। पहले के कुछ हमलों की तरह, इसके लिए एईएस एन्क्रिप्शन का प्रदर्शन करने वाले सिस्टम पर अनपेक्षित कोड चलाने की क्षमता की आवश्यकता होती है, जो रूट खाते को कमांड करने की तुलना में मैलवेयर संक्रमण से कहीं अधिक आसानी से प्राप्त किया जा सकता है। मार्च 2016 में, अशोक कुमार सी., रवि प्रकाश गिरि और बर्नार्ड मेनेजेस ने एईएस कार्यान्वयन पर एक साइड-चैनल हमला प्रस्तुत किया, जो प्लेनटेक्स्ट/सिफरटेक्स्ट के केवल 6-7 ब्लॉकों में पूर्ण 128-बिट एईएस कुंजी को पुनर्प्राप्त कर सकता है, जो कि एक महत्वपूर्ण सुधार है। पिछले कार्य जिनमें 100 से 10 लाख के बीच एन्क्रिप्शन की आवश्यकता होती है। प्रस्तावित हमले के लिए एक मिनट के भीतर चलने वाले मानक उपयोगकर्ता विशेषाधिकार और कुंजी-पुनर्प्राप्ति एल्गोरिदम की आवश्यकता होती है।

कई आधुनिक सीपीयू में अंतर्निहित एईएस निर्देश सेट  होता है, जो समय-संबंधी साइड-चैनल हमलों से बचाता है।

एनआईएसटी/सीएसईसी सत्यापन
CMVP (CMVP) संयुक्त स्टेट सरकार के राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) संगणक सुरक्षा प्रभाग और कनाडा सरकार के  संचार सुरक्षा प्रतिष्ठान  (CSE) द्वारा संयुक्त रूप से संचालित है। NIST  FIPS 140-2  के लिए मान्य क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग संयुक्त स्टेट सरकार द्वारा संवेदनशील लेकिन अवर्गीकृत (SBU) या उससे ऊपर के वर्गीकरण वाले सभी डेटा के एन्क्रिप्शन के लिए आवश्यक है। NSTISSP #11 से, सूचना आश्वासन के अधिग्रहण को नियंत्रित करने वाली राष्ट्रीय नीति: "वर्गीकृत जानकारी की सुरक्षा के लिए एन्क्रिप्शन उत्पादों को NSA द्वारा प्रमाणित किया जाएगा, और संवेदनशील जानकारी की सुरक्षा के लिए लक्षित एन्क्रिप्शन उत्पादों को NIST FIPS 140-2 के अनुसार प्रमाणित किया जाएगा।" कनाडा सरकार भी अपने विभागों के अवर्गीकृत अनुप्रयोगों में FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल के उपयोग की अनुशंसा करती है।

हालांकि एनआईएसटी प्रकाशन 197 ("एफआईपीएस 197") एईएस एल्गोरिथम को कवर करने वाला अनूठा दस्तावेज है, विक्रेता आमतौर पर एफआईपीएस 140  के तहत सीएमवीपी से संपर्क करते हैं और एक ही समय में कई एल्गोरिदम (जैसे ट्रिपल डीईएस|ट्रिपल डीईएस या एसएचए1) को मान्य करने के लिए कहते हैं।. इसलिए, क्रिप्टोग्राफ़िक मॉड्यूल मिलना दुर्लभ है जो विशिष्ट रूप से FIPS 197 मान्य हैं और NIST स्वयं आमतौर पर FIPS 197 मान्य मॉड्यूल को अपनी सार्वजनिक वेब साइट पर अलग से सूचीबद्ध करने में समय नहीं लेता है। इसके बजाय, FIPS 197 सत्यापन को आमतौर पर केवल FIPS अनुमोदित के रूप में सूचीबद्ध किया जाता है: FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल की वर्तमान सूची में एईएस संकेतन (विशिष्ट FIPS 197 प्रमाणपत्र संख्या के साथ)।

क्रिप्टोग्राफ़िक एल्गोरिथम सत्यापन कार्यक्रम (CAVP) एईएस एल्गोरिदम के सही कार्यान्वयन के स्वतंत्र सत्यापन की अनुमति देता है। एनआईएसटी सत्यापन पृष्ठ पर सूचीबद्ध होने में सफल सत्यापन परिणाम। यह परीक्षण FIPS 140-2 मॉड्यूल सत्यापन के लिए पूर्व-अपेक्षित है। हालांकि, किसी भी तरह से सफल CAVP सत्यापन का मतलब यह नहीं है कि एल्गोरिथम को लागू करने वाला क्रिप्टोग्राफ़िक मॉड्यूल सुरक्षित है। FIPS 140-2 सत्यापन या NSA द्वारा विशिष्ट अनुमोदन की कमी वाले क्रिप्टोग्राफ़िक मॉड्यूल को अमेरिकी सरकार द्वारा सुरक्षित नहीं माना जाता है और इसका उपयोग सरकारी डेटा की सुरक्षा के लिए नहीं किया जा सकता है।

FIPS 140-2 सत्यापन तकनीकी और आर्थिक रूप से दोनों को प्राप्त करने के लिए चुनौतीपूर्ण है। परीक्षणों की एक मानकीकृत बैटरी के साथ-साथ स्रोत कोड समीक्षा का एक तत्व है जिसे कुछ हफ्तों की अवधि में पारित किया जाना चाहिए। एक अनुमोदित प्रयोगशाला के माध्यम से इन परीक्षणों को करने की लागत बहुत अधिक हो सकती है (उदाहरण के लिए, यूएस $30,000 से अधिक) और सत्यापन के लिए लिखने, परीक्षण करने, दस्तावेज़ बनाने और मॉड्यूल तैयार करने में लगने वाला समय शामिल नहीं है। सत्यापन के बाद, मॉड्यूल को फिर से जमा किया जाना चाहिए और यदि वे किसी भी तरह से बदले जाते हैं तो उनका पुनर्मूल्यांकन किया जाना चाहिए। यह सरल कागजी कार्रवाई अद्यतन से भिन्न हो सकता है यदि सुरक्षा कार्यक्षमता परिवर्तन से प्रभावित होने पर सुरक्षा कार्यक्षमता पुन: परीक्षण के अधिक पर्याप्त सेट में नहीं बदली।

टेस्ट वैक्टर
टेस्ट वैक्टर किसी दिए गए इनपुट और कुंजी के लिए ज्ञात सिफर का एक सेट है। एनआईएसटी एईएस ज्ञात उत्तर परीक्षण (केएटी) वैक्टर के रूप में एईएस टेस्ट वैक्टर के संदर्भ को वितरित करता है।

प्रदर्शन
उच्च गति और कम RAM आवश्यकताएँ एईएस चयन प्रक्रिया के कुछ मानदंड थे। चुने गए एल्गोरिथ्म के रूप में, एईएस ने 8-बिट स्मार्ट कार्ड  से लेकर उच्च-प्रदर्शन वाले संगणकों तक, विभिन्न प्रकार के हार्डवेयर पर अच्छा प्रदर्शन किया।

पेंटियम प्रो पर, एईएस एन्क्रिप्शन के लिए प्रति बाइट में 18 घड़ी चक्र की आवश्यकता होती है, 200 MHz प्रोसेसर के लिए लगभग 11 MiB/s के थ्रूपुट के बराबर।

एईएस निर्देश सेट का समर्थन करने वाले Intel Core  और  AMD Ryzen  CPU पर | एईएस-NI निर्देश सेट एक्सटेंशन, थ्रूपुट कई GiB/s (i7-12700k पर 15 GiB/s से अधिक) हो सकते हैं।

यह भी देखें

 * ब्लॉक_सिफर_मोड_ऑफ_संचालन
 * डिस्क एन्क्रिप्शन
 * नेटवर्क एन्क्रिप्शन
 * व्हर्लपूल (हैश फंक्शन) - विन्सेंट रिजमेन और पाउलो एस.एल.एम. बैरेटो द्वारा बनाया गया हैश फंक्शन
 * मुफ्त और ओपन-सोर्स सॉफ्टवेयर पैकेजों की सूची

टिप्पणियाँ


संदर्भ

 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)

इस पेज में लापता आंतरिक लिंक की सूची

 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
 * वर्गीकृत जानकारी
 * अंतरराष्ट्रीय मानकीकरण संगठन
 * एईएस प्रमुख अनुसूची
 * रैखिक नक्शा
 * गड़बड़ी
 * सजातीय परिवर्तन
 * एकमात्र
 * एक्सएसएल हमला
 * साइड-चैनल हमला
 * संबंधित-कुंजी हमला
 * बाइक्लिक हमला
 * अंतर दोष विश्लेषण
 * SHA1
 * मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर पैकेजों की सूची
 * व्हर्लपूल (हैश फलन)

बाहरी संबंध

 * एईएस algorithm archive information – (old, unmaintained)
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.