उच्च एन्क्रिप्शन मानक

उन्नत एन्क्रिप्शन मानक (AES), जिसे इसके मूल नाम Rijndael, 2001 में अमेरिकी राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) द्वारा स्थापित इलेक्ट्रॉनिक डेटा के कूटलेखन  के लिए एक विनिर्देश है। एईएस रिजेंडेल ब्लॉक सिफर  का एक प्रकार है दो  बेल्जियम  क्रिप्टोग्राफर,  जोन डेमन  और  विन्सेंट रिजमेन  द्वारा विकसित, जिन्होंने एक प्रस्ताव प्रस्तुत किया  उन्नत एन्क्रिप्शन मानक प्रक्रिया  के दौरान NIST के लिए। रिजेंडेल विभिन्न कुंजी और ब्लॉक आकार वाले सिफर का परिवार है। एईएस के लिए, एनआईएसटी ने रिजेंडेल परिवार के तीन सदस्यों का चयन किया, जिनमें से प्रत्येक का ब्लॉक आकार 128 बिट्स था, लेकिन तीन अलग-अलग कुंजी लंबाई: 128, 192 और 256 बिट्स।

एईएस को संयुक्त राज्य अमेरिका की संघीय सरकार द्वारा अपनाया गया है|यू.एस. सरकार। यह डेटा एन्क्रिप्शन मानक  (DES) का स्थान लेता है, जिसे 1977 में प्रकाशित किया गया था। एईएस द्वारा वर्णित एल्गोरिथ्म एक  सममित-कुंजी एल्गोरिथ्म  है, जिसका अर्थ है कि एक ही कुंजी का उपयोग डेटा को एन्क्रिप्ट करने और डिक्रिप्ट करने दोनों के लिए किया जाता है।

संयुक्त राज्य अमेरिका में, 26 नवंबर, 2001 को NIST द्वारा U.S. संघीय सूचना प्रसंस्करण मानक  PUB 197 (FIPS 197) के रूप में AES की घोषणा की गई थी। इस घोषणा ने पांच साल की मानकीकरण प्रक्रिया का पालन किया जिसमें रिजेंडेल सिफर को सबसे उपयुक्त के रूप में चुने जाने से पहले पंद्रह प्रतिस्पर्धी डिजाइन प्रस्तुत और मूल्यांकन किए गए थे। AES मानकीकरण के लिए अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल कमीशन सूची में शामिल है, मानकीकरण मानकों के लिए अंतर्राष्ट्रीय संगठन की सूची, 18000-19999|18033-3 मानक। संयुक्त राज्य अमेरिका के वाणिज्य सचिव  द्वारा अनुमोदन के बाद 26 मई, 2002 को एईएस अमेरिकी संघीय सरकार के मानक के रूप में प्रभावी हो गया। एईएस कई अलग-अलग एन्क्रिप्शन पैकेजों में उपलब्ध है, और एनएसए अनुमोदित क्रिप्टोग्राफ़िक मॉड्यूल में उपयोग किए जाने पर वर्गीकृत सूचना जानकारी के लिए यू.एस. राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा अनुमोदित पहला (और केवल) सार्वजनिक रूप से सुलभ  सिफ़र  है।

निश्चित मानक
उन्नत एन्क्रिप्शन मानक (एईएस) प्रत्येक में परिभाषित किया गया है:


 * FIPS PUB 197: उन्नत एन्क्रिप्शन मानक (AES) * ISO/IEC 18033-3: ब्लॉक सिफर

सिफर का विवरण
एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है। अपने पूर्ववर्ती डीईएस के विपरीत, एईएस फिस्टल नेटवर्क  का उपयोग नहीं करता है। एईएस रिजेंडेल का एक प्रकार है, जिसमें 128  काटा ्स का एक निश्चित  ब्लॉक आकार (क्रिप्टोग्राफी)  और 128, 192 या 256 बिट्स का एक प्रमुख आकार है। इसके विपरीत, रिजेंडेल प्रति से ब्लॉक और  कुंजी आकार  के साथ निर्दिष्ट किया गया है जो न्यूनतम 128 और अधिकतम 256 बिट्स के साथ 32 बिट्स का कोई भी गुणक हो सकता है। अधिकांश एईएस गणना एक विशेष  परिमित क्षेत्र अंकगणित  में की जाती है।

एईएस 16 बाइट्स के 4 × 4 स्तंभ-प्रमुख आदेश  ऐरे पर काम करता है $$b_0, b_1, ..., b_{15}$$ राज्य कहा जाता है:

\begin{bmatrix} b_0 & b_4 & b_8 & b_{12} \\ b_1 & b_5 & b_9 & b_{13} \\ b_2 & b_6 & b_{10} & b_{14} \\ b_3 & b_7 & b_{11} & b_{15} \end{bmatrix} $$ एईएस सिफर  के लिए उपयोग किया जाने वाला कुंजी आकार परिवर्तन राउंड की संख्या को निर्दिष्ट करता है जो इनपुट को परिवर्तित करता है, जिसे  सादे पाठ  कहा जाता है, अंतिम आउटपुट में, जिसे सिफरटेक्स्ट कहा जाता है। राउंड की संख्या इस प्रकार है:


 * 128-बिट कुंजियों के लिए 10 राउंड।
 * 192-बिट कुंजियों के लिए 12 राउंड।
 * 256-बिट कुंजियों के लिए 14 राउंड।

प्रत्येक दौर में कई प्रसंस्करण चरण होते हैं, जिसमें एक एन्क्रिप्शन कुंजी पर ही निर्भर करता है। उसी एन्क्रिप्शन कुंजी का उपयोग करके सिफरटेक्स्ट को मूल प्लेनटेक्स्ट में वापस बदलने के लिए रिवर्स राउंड का एक सेट लागू किया जाता है।

एल्गोरिथ्म का उच्च-स्तरीय विवरण

 * 1) KeyExpansion – एईएस कुंजी अनुसूची का उपयोग करके सिफर कुंजी से गोल कुंजियाँ प्राप्त की जाती हैं। एईएस को प्रत्येक राउंड प्लस एक और के लिए एक अलग 128-बिट राउंड की ब्लॉक की आवश्यकता होती है।
 * 2) प्रारंभिक दौर कुंजी जोड़:
 * 3) AddRoundKey – राज्य के प्रत्येक बाइट को  बिटवाइज़ एक्सोर  का उपयोग करके गोल कुंजी के एक बाइट के साथ जोड़ा जाता है।
 * 9, 11 या 13 राउंड:
 * 1) SubBytes – एक रेखीय मानचित्र | गैर-रैखिक प्रतिस्थापन चरण जहां प्रत्येक बाइट को  रिजेंडेल एस-बॉक्स  के अनुसार दूसरे के साथ बदल दिया जाता है।
 * 2) ShiftRows – एक परिवर्तन चरण जहां राज्य की अंतिम तीन पंक्तियों को एक निश्चित संख्या में चक्रीय रूप से स्थानांतरित किया जाता है।
 * 3) MixColumns – एक रैखिक मिश्रण ऑपरेशन जो राज्य के कॉलम पर संचालित होता है, प्रत्येक कॉलम में चार बाइट्स को जोड़ता है।
 * 4) AddRoundKey
 * 5) फाइनल राउंड (कुल मिलाकर 10, 12 या 14 राउंड बनाना):
 * 6) SubBytes
 * 7) ShiftRows
 * 8) AddRoundKey

SubBytes }} चरण
में SubBytes चरण, प्रत्येक बाइट $$a_{i,j}$$ राज्य सरणी में एक के साथ बदल दिया गया है SubByte $$S(a_{i,j})$$ 8-बिट प्रतिस्थापन बॉक्स  का उपयोग करना। ध्यान दें कि राउंड 0 से पहले, स्टेट ऐरे केवल प्लेनटेक्स्ट/इनपुट है। यह ऑपरेशन सिफर में गैर-रैखिकता प्रदान करता है। इस्तेमाल किया गया एस-बॉक्स  गुणात्मक प्रतिलोम  ओवर से लिया गया है $GF(2^{8})$, अच्छे गैर-रैखिक गुणों के लिए जाना जाता है। सरल बीजगणितीय गुणों के आधार पर हमलों से बचने के लिए, व्युत्क्रम समारोह को एक व्युत्क्रमणीय एफ़िन परिवर्तन के साथ जोड़कर एस-बॉक्स का निर्माण किया जाता है। एस-बॉक्स को किसी निश्चित बिंदु से बचने के लिए भी चुना जाता है (और ऐसा ही एक अव्यवस्था है), यानी, $$ S(a_{i,j}) \neq a_{i,j} $$, और कोई भी विपरीत निश्चित बिंदु, यानी, $$ S(a_{i,j}) \oplus a_{i,j} \neq \text{FF}_{16} $$. डिक्रिप्शन करते समय, InvSubBytes चरण (का उलटा SubBytes) का उपयोग किया जाता है, जिसके लिए पहले affine परिवर्तन के व्युत्क्रम को लेने की आवश्यकता होती है और फिर गुणक व्युत्क्रम को खोजने की आवश्यकता होती है।

ShiftRows }} चरण
ShiftRows }} चरण राज्य की पंक्तियों पर संचालित होता है; यह एक निश्चित ऑफसेट (कंप्यूटर विज्ञान)  द्वारा प्रत्येक पंक्ति में बाइट्स को चक्रीय रूप से बदलता है। एईएस के लिए, पहली पंक्ति अपरिवर्तित छोड़ दी गई है। दूसरी पंक्ति के प्रत्येक बाइट को एक बाईं ओर स्थानांतरित कर दिया जाता है। इसी तरह, तीसरी और चौथी पंक्तियों को क्रमशः दो और तीन के ऑफसेट द्वारा स्थानांतरित किया जाता है। इस तरह, के उत्पादन की स्थिति के प्रत्येक स्तंभ ShiftRows कदम इनपुट स्थिति के प्रत्येक स्तंभ से बाइट्स से बना है। इस कदम का महत्व स्तंभों को स्वतंत्र रूप से एन्क्रिप्ट किए जाने से बचाना है, जिस स्थिति में एईएस चार स्वतंत्र ब्लॉक सिफर में पतित हो जाएगा।

MixColumns }} चरण
में MixColumns कदम, राज्य के प्रत्येक स्तंभ के चार बाइट्स एक व्युत्क्रमणीय रैखिक परिवर्तन  का उपयोग करके संयुक्त होते हैं। MixColumns }} फ़ंक्शन इनपुट के रूप में चार बाइट्स लेता है और चार बाइट्स आउटपुट करता है, जहां प्रत्येक इनपुट बाइट सभी चार आउटपुट बाइट्स को प्रभावित करता है। के साथ साथ ShiftRows, MixColumns सिफर में  प्रसार (क्रिप्टोग्राफी)  प्रदान करता है।

इस ऑपरेशन के दौरान, प्रत्येक कॉलम को एक निश्चित मैट्रिक्स का उपयोग करके रूपांतरित किया जाता है (कॉलम द्वारा मैट्रिक्स को बाएं-गुणा करने से राज्य में कॉलम का नया मान मिलता है):



\begin{bmatrix} b_{0,j} \\ b_{1,j} \\ b_{2,j} \\ b_{3,j} \end{bmatrix} = \begin{bmatrix} 2 & 3 & 1 & 1 \\ 1 & 2 & 3 & 1 \\ 1 & 1 & 2 & 3 \\ 3 & 1 & 1 & 2 \end{bmatrix} \begin{bmatrix} a_{0,j} \\ a_{1,j} \\ a_{2,j} \\ a_{3,j} \end{bmatrix} \qquad 0 \le j \le 3 $$ मैट्रिक्स गुणा गुणा और प्रविष्टियों के जोड़ से बना है। प्रविष्टियां बाइट्स हैं जिन्हें क्रम के बहुपद के गुणांक के रूप में माना जाता है $$x^7$$. जोड़ बस XOR है। गुणन सापेक्ष अलघुकरणीय बहुपद है $$x^8+x^4+x^3+x+1$$. यदि थोड़ा-थोड़ा संसाधित किया जाता है, तो स्थानांतरण के बाद, एक सशर्त अनन्य या 1B के साथ16 अगर स्थानांतरित मूल्य FF से बड़ा है तो प्रदर्शन किया जाना चाहिए16 (बहुपद उत्पन्न करने के घटाव द्वारा अतिप्रवाह को सही किया जाना चाहिए)। ये सामान्य गुणन के विशेष मामले हैं $$\operatorname{GF}(2^8)$$.

अधिक सामान्य अर्थ में, प्रत्येक स्तंभ को एक बहुपद के रूप में माना जाता है $$\operatorname{GF}(2^8)$$ और फिर गुणा मॉड्यूलो है $${01}_{16} \cdot z^4+{01}_{16}$$ एक निश्चित बहुपद के साथ $$c(z) = {03}_{16} \cdot z^3 + {01}_{16} \cdot z^2 +{01}_{16} \cdot z + {02}_{16}$$. गुणांक उनके हेक्साडेसिमल  समतुल्य में बिट बहुपदों के द्विआधारी प्रतिनिधित्व के रूप में प्रदर्शित होते हैं $$\operatorname{GF}(2)[x]$$. MixColumns }} कदम को परिमित क्षेत्र  में दिखाए गए विशेष  एमडीएस मैट्रिक्स  द्वारा गुणन के रूप में भी देखा जा सकता है $$\operatorname{GF}(2^8)$$. रिजेंडेल मिक्स कॉलम लेख में इस प्रक्रिया का आगे वर्णन किया गया है।

AddRoundKey }}
में AddRoundKey कदम, उपकुंजी राज्य के साथ संयुक्त है। प्रत्येक दौर के लिए, रिजेंडेल कुंजी अनुसूची का उपयोग करके मुख्य कुंजी (क्रिप्टोग्राफी)  से एक उपकुंजी प्राप्त की जाती है। रिजेंडेल की मुख्य अनुसूची; प्रत्येक उपकुंजी राज्य के समान आकार की है। उपकुंजी को बिटवाइज़ एक्सक्लूसिव या का उपयोग करके राज्य के प्रत्येक बाइट को उपकुंजी के संबंधित बाइट के साथ जोड़कर जोड़ा जाता है।

सिफर
का अनुकूलन 32-बिट या बड़े शब्दों वाले सिस्टम पर, इस सिफर के निष्पादन को गति देना संभव है SubBytes तथा ShiftRows के साथ कदम MixColumns चरण उन्हें टेबल लुकअप के अनुक्रम में बदलकर। इसके लिए चार 256-प्रविष्टि 32-बिट टेबल (एक साथ 4096 बाइट्स पर कब्जा) की आवश्यकता है। इसके बाद 16 टेबल लुकअप ऑपरेशन और 12 32-बिट एक्सक्लूसिव-या ऑपरेशंस के साथ एक राउंड किया जा सकता है, इसके बाद चार 32-बिट एक्सक्लूसिव-या ऑपरेशंस में AddRoundKey कदम। वैकल्पिक रूप से, टेबल लुकअप ऑपरेशन को एक सिंगल 256-एंट्री 32-बिट टेबल (1024 बाइट्स पर कब्जा कर लिया गया) के साथ सर्कुलर रोटेशन ऑपरेशंस के साथ किया जा सकता है।

बाइट-उन्मुख दृष्टिकोण का उपयोग करके, इसे संयोजित करना संभव है SubBytes, ShiftRows, तथा MixColumns सिंगल राउंड ऑपरेशन में कदम।

सुरक्षा
राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने रिजेंडेल सहित सभी एईएस फाइनलिस्ट की समीक्षा की और कहा कि वे सभी यू.एस. सरकार के गैर-वर्गीकृत डेटा के लिए पर्याप्त सुरक्षित थे। जून 2003 में, अमेरिकी सरकार ने घोषणा की कि AES का उपयोग वर्गीकृत जानकारी की सुरक्षा के लिए किया जा सकता है: एईएस एल्गोरिद्म (यानी, 128, 192 और 256) की सभी प्रमुख लंबाई की डिजाइन और ताकत गुप्त स्तर तक वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त हैं। टॉप सीक्रेट जानकारी के लिए 192 या 256 कुंजी लंबाई के उपयोग की आवश्यकता होगी। राष्ट्रीय सुरक्षा प्रणालियों और/या जानकारी की रक्षा करने के उद्देश्य से उत्पादों में एईएस के कार्यान्वयन को उनके अधिग्रहण और उपयोग से पहले एनएसए द्वारा समीक्षा और प्रमाणित किया जाना चाहिए। 

एईएस में 128-बिट कुंजियों के लिए 10 राउंड, 192-बिट कुंजियों के लिए 12 राउंड और 256-बिट कुंजियों के लिए 14 राउंड हैं।

2006 तक, सबसे प्रसिद्ध हमले 128-बिट कुंजियों के लिए 7 राउंड, 192-बिट कुंजियों के लिए 8 राउंड और 256-बिट कुंजियों के लिए 9 राउंड थे।

ज्ञात हमले
क्रिप्टोग्राफ़र्स के लिए, एक क्रिप्ट विश्लेषण  ब्रेक  पशु बल का आक्रमण  की तुलना में कुछ भी तेज है - यानी, अनुक्रम में प्रत्येक संभावित कुंजी के लिए एक परीक्षण डिक्रिप्शन करना। एक विराम में ऐसे परिणाम शामिल हो सकते हैं जो वर्तमान तकनीक के साथ अक्षम्य हैं। अव्यावहारिक होने के बावजूद, सैद्धांतिक विराम कभी-कभी भेद्यता पैटर्न में अंतर्दृष्टि प्रदान कर सकते हैं। व्यापक रूप से कार्यान्वित ब्लॉक-सिफर एन्क्रिप्शन एल्गोरिथम के खिलाफ सार्वजनिक रूप से ज्ञात ब्रूट-फोर्स का सबसे बड़ा सफल हमला 2006 में डिस्ट्रीब्यूटेड.नेट द्वारा 64-बिट  कारण ले  कुंजी के खिलाफ था। कुंजी की लंबाई के प्रत्येक अतिरिक्त बिट के लिए कुंजी स्थान 2 के एक कारक से बढ़ जाता है, और यदि कुंजी का हर संभव मूल्य परिवर्तनीय है, तो यह औसत ब्रूट-बल कुंजी खोज समय के दोगुने में बदल जाता है। इसका मतलब यह है कि ब्रूट-फोर्स सर्च का प्रयास कुंजी की लंबाई के साथ तेजी से बढ़ता है। कुंजी की लंबाई अपने आप में हमलों के खिलाफ सुरक्षा का संकेत नहीं देती है, क्योंकि बहुत लंबी कुंजियों वाले सिफर हैं जो कमजोर पाए गए हैं।

एईएस में काफी सरल बीजगणितीय ढांचा है। 2002 में, एक्सएसएल हमले नामक एक सैद्धांतिक हमले की घोषणा निकोलस कौरटोइस  और  जोसेफ पीप्रज़िक  द्वारा की गई थी, जो आंशिक रूप से इसके अरैखिक घटकों की कम जटिलता के कारण एईएस एल्गोरिथम में कमजोरी दिखाने के लिए थी। तब से, अन्य कागजात ने दिखाया है कि हमला, जैसा कि मूल रूप से प्रस्तुत किया गया है, असाध्य है; XSL अटैक#एप्लीकेशन टू ब्लॉक सिफर देखें।

एईएस चयन प्रक्रिया के दौरान, प्रतिस्पर्धी एल्गोरिदम के डेवलपर्स ने रिजेंडेल के एल्गोरिदम के बारे में लिखा था, हम सुरक्षा-महत्वपूर्ण अनुप्रयोगों में [इसके] उपयोग के बारे में चिंतित हैं। अक्टूबर 2000 में, हालांकि, एईएस चयन प्रक्रिया के अंत में, प्रतिस्पर्धी एल्गोरिथम दो मछली  के एक डेवलपर,  ब्रूस श्नेयर  ने लिखा था कि जब उन्होंने सोचा था कि किसी दिन रिजेंडेल पर सफल शैक्षणिक हमले विकसित किए जाएंगे, तो उन्हें विश्वास नहीं था कि कोई भी कभी खोज पाएगा एक हमला जो किसी को रिजेंडेल यातायात को पढ़ने की अनुमति देगा। मई 2009 तक, पूर्ण एईएस के खिलाफ एकमात्र सफल प्रकाशित हमले कुछ विशिष्ट कार्यान्वयनों पर साइड-चैनल हमले थे। 2009 में, एक नए संबंधित-कुंजी हमले की खोज की गई जो एईएस के प्रमुख कार्यक्रम की सरलता का फायदा उठाती है और इसमें 2 की जटिलता है119. दिसंबर 2009 में इसे 2 में सुधार किया गया था99.5. यह 2009 में एलेक्स बिरुकोव,  दिमित्री खोवराटोविच  और इविका निकोलीक द्वारा 2 की जटिलता के साथ खोजे गए हमले का अनुवर्ती है।96 प्रत्येक 2 में से एक के लिए35 कुंजियाँ। हालांकि, संबंधित-कुंजी हमले किसी भी ठीक से डिज़ाइन किए गए क्रिप्टोग्राफ़िक प्रोटोकॉल में चिंता का विषय नहीं हैं, क्योंकि एक ठीक से डिज़ाइन किए गए प्रोटोकॉल (यानी, कार्यान्वयन सॉफ्टवेयर) संबंधित कुंजियों की अनुमति नहीं देने का ध्यान रखेंगे, अनिवार्य रूप से संबंधित-कुंजी हमले से संबंधित-कुंजी हमलों को रोकना और संबंधितता के लिए चाबियों के चयन का हमलावर का साधन।

एक और हमला ब्रूस श्नेयर द्वारा ब्लॉग किया गया था 30 जुलाई 2009 को, और प्रीप्रिंट  के रूप में जारी किया गया 3 अगस्त 2009 को। एलेक्स बिरुकोव, ऑर डंकेलमैन, नाथन केलर, दिमित्री खोव्रतोविच और आदि शमीर  द्वारा किया गया यह नया हमला एईएस-256 के खिलाफ है जो केवल दो संबंधित चाबियों और 2 का उपयोग करता है।39 9-राउंड संस्करण की पूर्ण 256-बिट कुंजी पुनर्प्राप्त करने का समय, या 245 समय 10-राउंड संस्करण के लिए एक मजबूत प्रकार के संबंधित उपकुंजी हमले के साथ, या 211-राउंड संस्करण के लिए 70 समय। 256-बिट एईएस 14 राउंड का उपयोग करता है, इसलिए ये हमले पूर्ण एईएस के खिलाफ प्रभावी नहीं हैं।

मजबूत संबंधित कुंजी वाले इन हमलों की व्यावहारिकता की आलोचना की गई है, उदाहरण के लिए, 2010 में विंसेंट रिजमेन द्वारा लिखित AES-128 पर चुने गए-कुंजी-संबंध-इन-द-बीच हमलों पर पेपर द्वारा। नवंबर 2009 में, एईएस-128 के कम 8-राउंड संस्करण के खिलाफ पहला ज्ञात-कुंजी विशिष्ट हमला  प्रीप्रिंट के रूप में जारी किया गया था। यह ज्ञात-कुंजी विभेदक हमला रिबाउंड में सुधार है, या एईएस-जैसे क्रमपरिवर्तन के खिलाफ मध्य-से-शुरुआत का हमला है, जो एक तथाकथित सुपर-एस-बॉक्स के आवेदन के रूप में क्रमचय के दो लगातार दौरों को देखता है।. यह AES-128 के 8-राउंड संस्करण पर काम करता है, जिसकी समय जटिलता 2 है48, और मेमोरी जटिलता 2 है 32। 128-बिट एईएस 10 राउंड का उपयोग करता है, इसलिए यह हमला पूर्ण एईएस-128 के खिलाफ प्रभावी नहीं है।

पूर्ण एईएस पर पहला कुंजी-वसूली हमला  एंड्री बोगडानोव, दिमित्री खोव्रतोविच और क्रिश्चियन रेचबर्गर द्वारा किया गया था, और 2011 में प्रकाशित किया गया था। यह हमला एक दोतरफा हमला है और क्रूर बल से लगभग चार गुना तेज है। इसके लिए 2 की आवश्यकता हैAES-128 कुंजी को पुनर्प्राप्त करने के लिए 126.2 संचालन। एईएस-192 और एईएस-256 के लिए, 2190.2 और 2क्रमशः 254.6 संचालन की आवश्यकता है। इस परिणाम को और सुधार कर 2 कर दिया गया है126.0 एईएस-128 के लिए, 2189.9 एईएस-192 और 2 के लिए254.3 एईएस-256 के लिए, जो कि AES के विरुद्ध प्रमुख पुनर्प्राप्ति हमले में वर्तमान सर्वोत्तम परिणाम हैं।

यह एक बहुत छोटा लाभ है, क्योंकि 126-बिट कुंजी (128-बिट्स के बजाय) को अभी भी वर्तमान और निकटवर्ती हार्डवेयर पर क्रूर बल लगाने में अरबों साल लगेंगे। इसके अलावा, लेखक एईएस पर अपनी तकनीक का उपयोग करके 128-बिट कुंजी के साथ सर्वश्रेष्ठ हमले की गणना करते हैं, जिसमें 2 भंडारण की आवश्यकता होती है88 डेटा के बिट। यह लगभग 38 ट्रिलियन टेराबाइट डेटा के लिए काम करता है, जो 2016 में ग्रह पर सभी कंप्यूटरों पर संग्रहीत सभी डेटा से अधिक है। इस प्रकार, एईएस सुरक्षा पर कोई व्यावहारिक प्रभाव नहीं है। अंतरिक्ष जटिलता को बाद में 2 में सुधार दिया गया है56 बिट्स, जो 9007 टेराबाइट्स है (अभी भी 2 की समय जटिलता रखते हुए126.2).

एडवर्ड स्नोडेन#वैश्विक निगरानी खुलासों के अनुसार, एनएसए शोध कर रहा है कि क्या केंडल ताऊ रैंक सहसंबंध गुणांक  पर आधारित एक क्रिप्टोग्राफ़िक हमला एईएस को तोड़ने में मदद कर सकता है। वर्तमान में, कोई ज्ञात व्यावहारिक हमला नहीं है जो सही ढंग से लागू होने पर एईएस द्वारा एन्क्रिप्ट किए गए डेटा को पढ़ने के लिए कुंजी के ज्ञान के बिना किसी को अनुमति देगा।

साइड-चैनल हमले
साइड-चैनल हमले सिफर को ब्लैक बॉक्स  के रूप में हमला नहीं करते हैं, और इस प्रकार क्लासिकल संदर्भ में परिभाषित सिफर सुरक्षा से संबंधित नहीं हैं, लेकिन व्यवहार में महत्वपूर्ण हैं। वे हार्डवेयर या सॉफ्टवेयर सिस्टम पर सिफर के कार्यान्वयन पर हमला करते हैं जो अनजाने में डेटा लीक कर देते हैं। एईएस के विभिन्न कार्यान्वयनों पर ऐसे कई ज्ञात हमले हैं।

अप्रैल 2005 में, डेनियल जे. बर्नस्टीन|डी. जे. बर्नस्टीन ने कैश-टाइमिंग हमले की घोषणा की जिसका उपयोग उन्होंने ओपनएसएसएल  के एईएस एन्क्रिप्शन का उपयोग करने वाले कस्टम सर्वर को तोड़ने के लिए किया। हमले के लिए 200 मिलियन से अधिक चुने हुए सादे टेक्स्ट की आवश्यकता थी। रेफरी> कस्टम सर्वर को जितना संभव हो उतना समय की जानकारी देने के लिए डिज़ाइन किया गया था (सर्वर एन्क्रिप्शन ऑपरेशन द्वारा लिए गए मशीन चक्रों की संख्या वापस रिपोर्ट करता है)। हालाँकि, जैसा कि बर्नस्टीन ने बताया, सर्वर के टाइमस्टैम्प की सटीकता को कम करना, या उन्हें सर्वर की प्रतिक्रियाओं से समाप्त करना, हमले को नहीं रोकता है: क्लाइंट केवल अपनी स्थानीय घड़ी के आधार पर राउंड-ट्रिप टाइमिंग का उपयोग करता है, और बढ़े हुए शोर की भरपाई करता है बड़ी संख्या में नमूनों का औसत।

अक्टूबर 2005 में, डेग आर्ने ओस्विक, आदि शमीर और एरान ट्रोमर ने एक पेपर प्रस्तुत किया जिसमें ओपनएसएसएल और लिनक्स के एईएस में कार्यान्वयन के खिलाफ कई कैश-टाइमिंग हमलों का प्रदर्शन किया गया।  विभाजन एन्क्रिप्शन समारोह। कुल 65 मिलीसेकंड में केवल 800 ऑपरेशनों के बाद एन्क्रिप्शन को ट्रिगर करने के बाद एक हमला पूरी AES कुंजी प्राप्त करने में सक्षम था। इस हमले के लिए हमलावर को उसी सिस्टम या प्लेटफॉर्म पर प्रोग्राम चलाने में सक्षम होना चाहिए जो एईएस कर रहा है।

दिसंबर 2009 में कुछ हार्डवेयर कार्यान्वयनों पर एक हमला प्रकाशित किया गया था जिसमें विभेदक दोष विश्लेषण का उपयोग किया गया था और 2 की जटिलता के साथ एक कुंजी की पुनर्प्राप्ति की अनुमति देता है। 32। नवंबर 2010 में एंड्रे बैंगरटर, डेविड गुल्लाश और स्टीफ़न क्रैन ने एक पेपर प्रकाशित किया, जिसमें सिफर टेक्स्ट या प्लेन टेक्स्ट की आवश्यकता के बिना एईएस-128 से गुप्त कुंजियों की लगभग वास्तविक समय पुनर्प्राप्ति के लिए एक व्यावहारिक दृष्टिकोण का वर्णन किया गया था। दृष्टिकोण AES-128 कार्यान्वयन पर भी काम करता है जो संपीड़न तालिकाओं का उपयोग करता है, जैसे कि OpenSSL। पहले के कुछ हमलों की तरह, इसके लिए एईएस एन्क्रिप्शन का प्रदर्शन करने वाले सिस्टम पर अनपेक्षित कोड चलाने की क्षमता की आवश्यकता होती है, जो रूट खाते को कमांड करने की तुलना में मैलवेयर संक्रमण से कहीं अधिक आसानी से प्राप्त किया जा सकता है। मार्च 2016 में, अशोक कुमार सी., रवि प्रकाश गिरि और बर्नार्ड मेनेजेस ने एईएस कार्यान्वयन पर एक साइड-चैनल हमला प्रस्तुत किया, जो प्लेनटेक्स्ट/सिफरटेक्स्ट के केवल 6-7 ब्लॉकों में पूर्ण 128-बिट एईएस कुंजी को पुनर्प्राप्त कर सकता है, जो कि एक महत्वपूर्ण सुधार है। पिछले कार्य जिनमें 100 से 10 लाख के बीच एन्क्रिप्शन की आवश्यकता होती है। प्रस्तावित हमले के लिए एक मिनट के भीतर चलने वाले मानक उपयोगकर्ता विशेषाधिकार और कुंजी-पुनर्प्राप्ति एल्गोरिदम की आवश्यकता होती है।

कई आधुनिक सीपीयू में अंतर्निहित एईएस निर्देश सेट  होता है, जो समय-संबंधी साइड-चैनल हमलों से बचाता है।

एनआईएसटी/सीएसईसी सत्यापन
CMVP (CMVP) संयुक्त राज्य सरकार के राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) कंप्यूटर सुरक्षा प्रभाग और कनाडा सरकार के  संचार सुरक्षा प्रतिष्ठान  (CSE) द्वारा संयुक्त रूप से संचालित है। NIST  FIPS 140-2  के लिए मान्य क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग संयुक्त राज्य सरकार द्वारा संवेदनशील लेकिन अवर्गीकृत (SBU) या उससे ऊपर के वर्गीकरण वाले सभी डेटा के एन्क्रिप्शन के लिए आवश्यक है। NSTISSP #11 से, सूचना आश्वासन के अधिग्रहण को नियंत्रित करने वाली राष्ट्रीय नीति: "वर्गीकृत जानकारी की सुरक्षा के लिए एन्क्रिप्शन उत्पादों को NSA द्वारा प्रमाणित किया जाएगा, और संवेदनशील जानकारी की सुरक्षा के लिए लक्षित एन्क्रिप्शन उत्पादों को NIST FIPS 140-2 के अनुसार प्रमाणित किया जाएगा।" कनाडा सरकार भी अपने विभागों के अवर्गीकृत अनुप्रयोगों में FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल के उपयोग की अनुशंसा करती है।

हालांकि एनआईएसटी प्रकाशन 197 ("एफआईपीएस 197") एईएस एल्गोरिथम को कवर करने वाला अनूठा दस्तावेज है, विक्रेता आमतौर पर एफआईपीएस 140  के तहत सीएमवीपी से संपर्क करते हैं और एक ही समय में कई एल्गोरिदम (जैसे ट्रिपल डीईएस|ट्रिपल डीईएस या एसएचए1) को मान्य करने के लिए कहते हैं।. इसलिए, क्रिप्टोग्राफ़िक मॉड्यूल मिलना दुर्लभ है जो विशिष्ट रूप से FIPS 197 मान्य हैं और NIST स्वयं आमतौर पर FIPS 197 मान्य मॉड्यूल को अपनी सार्वजनिक वेब साइट पर अलग से सूचीबद्ध करने में समय नहीं लेता है। इसके बजाय, FIPS 197 सत्यापन को आमतौर पर केवल FIPS अनुमोदित के रूप में सूचीबद्ध किया जाता है: FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल की वर्तमान सूची में AES संकेतन (विशिष्ट FIPS 197 प्रमाणपत्र संख्या के साथ)।

क्रिप्टोग्राफ़िक एल्गोरिथम सत्यापन कार्यक्रम (CAVP) एईएस एल्गोरिदम के सही कार्यान्वयन के स्वतंत्र सत्यापन की अनुमति देता है। एनआईएसटी सत्यापन पृष्ठ पर सूचीबद्ध होने में सफल सत्यापन परिणाम। यह परीक्षण FIPS 140-2 मॉड्यूल सत्यापन के लिए पूर्व-अपेक्षित है। हालांकि, किसी भी तरह से सफल CAVP सत्यापन का मतलब यह नहीं है कि एल्गोरिथम को लागू करने वाला क्रिप्टोग्राफ़िक मॉड्यूल सुरक्षित है। FIPS 140-2 सत्यापन या NSA द्वारा विशिष्ट अनुमोदन की कमी वाले क्रिप्टोग्राफ़िक मॉड्यूल को अमेरिकी सरकार द्वारा सुरक्षित नहीं माना जाता है और इसका उपयोग सरकारी डेटा की सुरक्षा के लिए नहीं किया जा सकता है।

FIPS 140-2 सत्यापन तकनीकी और आर्थिक रूप से दोनों को प्राप्त करने के लिए चुनौतीपूर्ण है। परीक्षणों की एक मानकीकृत बैटरी के साथ-साथ स्रोत कोड समीक्षा का एक तत्व है जिसे कुछ हफ्तों की अवधि में पारित किया जाना चाहिए। एक अनुमोदित प्रयोगशाला के माध्यम से इन परीक्षणों को करने की लागत बहुत अधिक हो सकती है (उदाहरण के लिए, यूएस $30,000 से अधिक) और सत्यापन के लिए लिखने, परीक्षण करने, दस्तावेज़ बनाने और मॉड्यूल तैयार करने में लगने वाला समय शामिल नहीं है। सत्यापन के बाद, मॉड्यूल को फिर से जमा किया जाना चाहिए और यदि वे किसी भी तरह से बदले जाते हैं तो उनका पुनर्मूल्यांकन किया जाना चाहिए। यह सरल कागजी कार्रवाई अद्यतन से भिन्न हो सकता है यदि सुरक्षा कार्यक्षमता परिवर्तन से प्रभावित होने पर सुरक्षा कार्यक्षमता पुन: परीक्षण के अधिक पर्याप्त सेट में नहीं बदली।

टेस्ट वैक्टर
टेस्ट वैक्टर किसी दिए गए इनपुट और कुंजी के लिए ज्ञात सिफर का एक सेट है। एनआईएसटी एईएस ज्ञात उत्तर परीक्षण (केएटी) वैक्टर के रूप में एईएस टेस्ट वैक्टर के संदर्भ को वितरित करता है।

प्रदर्शन
उच्च गति और कम RAM आवश्यकताएँ AES चयन प्रक्रिया के कुछ मानदंड थे। चुने गए एल्गोरिथ्म के रूप में, AES ने 8-बिट स्मार्ट कार्ड  से लेकर उच्च-प्रदर्शन वाले कंप्यूटरों तक, विभिन्न प्रकार के हार्डवेयर पर अच्छा प्रदर्शन किया।

पेंटियम प्रो पर, एईएस एन्क्रिप्शन के लिए प्रति बाइट में 18 घड़ी चक्र की आवश्यकता होती है, 200 MHz प्रोसेसर के लिए लगभग 11 MiB/s के थ्रूपुट के बराबर।

AES निर्देश सेट का समर्थन करने वाले Intel Core  और  AMD Ryzen  CPU पर | AES-NI निर्देश सेट एक्सटेंशन, थ्रूपुट कई GiB/s (i7-12700k पर 15 GiB/s से अधिक) हो सकते हैं।

यह भी देखें

 * ब्लॉक_सिफर_मोड_ऑफ_ऑपरेशन
 * डिस्क एन्क्रिप्शन
 * नेटवर्क एन्क्रिप्शन
 * व्हर्लपूल (हैश फंक्शन) - विन्सेंट रिजमेन और पाउलो एस.एल.एम. बैरेटो द्वारा बनाया गया हैश फंक्शन
 * मुफ्त और ओपन-सोर्स सॉफ्टवेयर पैकेजों की सूची

टिप्पणियाँ


संदर्भ

 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)

इस पेज में लापता आंतरिक लिंक की सूची

 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
 * वर्गीकृत जानकारी
 * अंतरराष्ट्रीय मानकीकरण संगठन
 * एईएस प्रमुख अनुसूची
 * रैखिक नक्शा
 * गड़बड़ी
 * affine परिवर्तन
 * एकमात्र
 * एक्सएसएल हमला
 * साइड-चैनल हमला
 * संबंधित-कुंजी हमला
 * बाइक्लिक हमला
 * अंतर दोष विश्लेषण
 * SHA1
 * मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर पैकेजों की सूची
 * व्हर्लपूल (हैश फ़ंक्शन)

बाहरी संबंध

 * AES algorithm archive information – (old, unmaintained)
 * Animation of Rijndael – AES deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → AES).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * Animation of Rijndael – AES deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → AES).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.