उच्च एन्क्रिप्शन मानक

उच्च एन्क्रिप्शन मानक (एईएस), जिसे इसके मूल नाम रिजेंडेल से भी जाना जाता है, 2001 में अमेरिकी राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) द्वारा स्थापित इलेक्ट्रॉनिक डेटा के  कूटलेखन के लिए एक विशेष विवरण है।

एईएस रिजेंडेल ब्लॉक सिफर का एक प्रकार है जिसे  बेल्जियम के दो क्रिप्टोग्राफर,  जोन डेमन और  विन्सेंट रिजमेन द्वारा विकसित किया गया है, जिन्होंने  उच्च एन्क्रिप्शन मानक प्रक्रिया के दौरान NIST को एक प्रस्ताव प्रस्तुत किया। रिजेंडेल विभिन्न कुंजी और ब्लॉक आकार वाले सिफर का परिवार है। एईएस के लिए, एनआईएसटी ने रिजेंडेल परिवार के तीन सदस्यों का चयन किया, जिनमें से प्रत्येक का ब्लॉक आकार 128 बिट्स था, लेकिन तीन अलग-अलग कुंजी लंबाई: 128, 192 और 256 बिट्स थी।

एईएस अमेरिकी सरकार द्वारा अपनाया गया है। यह डेटा एन्क्रिप्शन मानक (डीईएस) को प्रतिस्थापित करता है, जिसे 1977 में प्रकाशित किया गया था। एईएस द्वारा वर्णित कलन एक  सममित-कुंजी कलन है, जिसका अर्थ है कि एक ही कुंजी का उपयोग डेटा को एन्क्रिप्ट करने और डिक्रिप्ट करने दोनों के लिए किया जाता है।

संयुक्त स्टेट अमेरिका में, उच्च एन्क्रिप्शन मानक की घोषणा राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा यूएस संघीय सूचना प्रसंस्करण मानक PUB 197 (FIPS 197) के रूप में 26 नवंबर, 2001 को की गई थी। इस घोषणा ने पांच साल की मानकीकरण प्रक्रिया का पालन किया जिसमें रिजेंडेल सिफर को सबसे उपयुक्त के रूप में चुने जाने से पहले पंद्रह प्रतिस्पर्धी डिजाइन प्रस्तुत और मूल्यांकन किए गए थे।

अंतर्राष्ट्रीय संगठन/अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल आयोग 18033-3 मानक सूची में एईएस शामिल है। संयुक्त स्टेट अमेरिका के वाणिज्य सचिव द्वारा अनुमोदन के बाद 26 मई, 2002 को एईएस अमेरिकी संघीय सरकार के मानक के रूप में प्रभावी हो गया। एईएस कई अलग-अलग एन्क्रिप्शन पैकेजों में उपलब्ध है, और एनएसए अनुमोदित क्रिप्टोग्राफ़िक मॉड्यूल में उपयोग किए जाने पर शीर्ष गुप्त जानकारी के लिए यू.एस. राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा अनुमोदित पहला (और केवल) सार्वजनिक रूप से सुलभ सिफ़र है।

निश्चित मानक
उच्च एन्क्रिप्शन मानक (एईएस) प्रत्येक में परिभाषित किया गया है:


 * एफआईपीएस पीयूबी 197: उच्च एन्क्रिप्शन मानक (एईएस)
 * ISO/IEC 18033-3: ब्लॉक सिफर

सिफर का विवरण
एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है।
 * एईएस एक डिजाइन सिद्धांत पर आधारित है जिसे प्रतिस्थापन-क्रमपरिवर्तन नेटवर्क के रूप में जाना जाता है, और यह सॉफ्टवेयर और हार्डवेयर दोनों में कुशल है। [11] अपने पूर्ववर्ती डीईएस के विपरीत, एईएस फिस्टल नेटवर्क का उपयोग नहीं करता है। एईएस रिजेंडेल का एक संस्करण है, जिसमें 128 बिट्स का एक निश्चित  ब्लॉक आकार (क्रिप्टोग्राफी) और 128, 192 या 256 बिट्स का एक प्रमुख आकार है। इसके विपरीत, रिजेंडेल प्रति से ब्लॉक और  कुंजी आकार के साथ निर्दिष्ट किया गया है जो न्यूनतम 128 और अधिकतम 256 बिट्स के साथ 32 बिट्स का कोई भी गुणक हो सकता है। अधिकांश एईएस गणना एक विशेष परिमित क्षेत्र अंकगणित में की जाती हैं।

एईएस 16 बाइट्स के 4 × 4 स्तंभ-प्रमुख आदेश  ऐरे पर काम करता है $$b_0, b_1, ..., b_{15}$$ अवस्था कहा जाता है:

\begin{bmatrix} b_0 & b_4 & b_8 & b_{12} \\ b_1 & b_5 & b_9 & b_{13} \\ b_2 & b_6 & b_{10} & b_{14} \\ b_3 & b_7 & b_{11} & b_{15} \end{bmatrix} $$ एईएस सिफर  के लिए उपयोग किया जाने वाला कुंजी आकार परिवर्तन राउंड की संख्या को निर्दिष्ट करता है जो इनपुट को परिवर्तित करता है, जिसे  प्लेनटेक्स्ट कहा जाता है, अंतिम आउटपुट में, जिसे सिफरटेक्स्ट कहा जाता है। राउंड की संख्या इस प्रकार है:


 * 128-बिट कुंजियों के लिए 10 राउंड।
 * 192-बिट कुंजियों के लिए 12 राउंड।
 * 256-बिट कुंजियों के लिए 14 राउंड।

प्रत्येक दौर में कई प्रसंस्करण चरण होते हैं, जिसमें एक एन्क्रिप्शन कुंजी पर ही निर्भर करता है। उसी एन्क्रिप्शन कुंजी का उपयोग करके सिफरटेक्स्ट को मूल प्लेनटेक्स्ट में वापस बदलने के लिए रिवर्स राउंड का एक सेट लागू किया जाता है।

कलन विधि का उच्च-स्तरीय विवरण

 * 1) कुंजी विस्तार – एईएस कुंजी अनुसूची का उपयोग करके सिफर कुंजी से गोल कुंजियाँ प्राप्त की जाती हैं। एईएस को प्रत्येक राउंड प्लस एक और के लिए एक अलग 128-बिट राउंड की ब्लॉक की आवश्यकता होती है।
 * 2) प्रारंभिक दौर कुंजी जोड़:
 * 3) कुंजी की गोल जोड़ – स्टेट के प्रत्येक बाइट को  बिटवाइज़ एक्सोर  का उपयोग करके गोल कुंजी के एक बाइट के साथ जोड़ा जाता है।
 * 9, 11 या 13 राउंड:
 * 1) सबबाइट्स – एक रेखीय मानचित्र | गैर-रैखिक प्रतिस्थापन चरण जहां प्रत्येक बाइट को  रिजेंडेल एस-बॉक्स  के अनुसार दूसरे के साथ बदल दिया जाता है।
 * 2) शिफ्ट पंक्तियाँ – एक परिवर्तन चरण जहां स्टेट की अंतिम तीन पंक्तियों को एक निश्चित संख्या में चक्रीय रूप से स्थानांतरित किया जाता है।
 * 3) कॉलम मिलान – एक रैखिक मिश्रण संचालन जो स्टेट के कॉलम पर संचालित होता है, प्रत्येक कॉलम में चार बाइट्स को जोड़ता है।
 * 4) कुंजी की गोल जोड़
 * 5) फाइनल राउंड (कुल मिलाकर 10, 12 या 14 राउंड बनाना):
 * 6) सबबाइट्स
 * 7) शिफ्ट पंक्तियाँ
 * 8) कुंजी की गोल जोड़

सबबाइट्स }} चरण
सबबाइट्स चरण में, स्टेट सरणी में प्रत्येक बाइट $$a_{i,j}$$ को 8-बिट प्रतिस्थापन बॉक्स  का उपयोग करके सबबाइट $$S(a_{i,j})$$ में  बदल दिया जाता है।  ध्यान दें कि राउंड 0 से पहले, स्टेट ऐरे केवल प्लेनटेक्स्ट/इनपुट है। यह संचालन सिफर में गैर-रैखिकता प्रदान करता है। उपयोग किया गया एस-बॉक्स $GF(2^{8})$ पर गुणात्मक प्रतिलोम से प्राप्त होता है, जिसे अच्छी गैर-रैखिकता गुणों के लिए जाना जाता है। सरल बीजगणितीय गुणों के आधार पर हमलों से बचने के लिए, व्युत्क्रम समारोह को एक व्युत्क्रमणीय एफ़िन परिवर्तन के साथ जोड़कर एस-बॉक्स का निर्माण किया जाता है। एस-बॉक्स को किसी निश्चित बिंदु से बचने के लिए भी चुना जाता है (और ऐसा ही एक अव्यवस्था है), अर्थात्, $$ S(a_{i,j}) \neq a_{i,j} $$ और कोई भी विपरीत निश्चित बिंदु, अर्थात्, $$ S(a_{i,j}) \oplus a_{i,j} \neq \text{FF}_{16} $$. डिक्रिप्शन करते समय, आईएनवी उप बाइट्स चरण (का व्युत्क्रम सबबाइट्स) का उपयोग किया जाता है, जिसके लिए पहले सजातीय परिवर्तन के व्युत्क्रम को लेने की आवश्यकता होती है और फिर गुणक व्युत्क्रम को खोजने की आवश्यकता होती है।

शिफ्ट पंक्तियाँ }} चरण
शिफ्ट पंक्तियाँ }} चरण स्टेट की पंक्तियों पर संचालित होता है; यह एक निश्चित ऑफसेट (संगणक विज्ञान) द्वारा प्रत्येक पंक्ति में बाइट्स को चक्रीय रूप से बदलता है। एईएस के लिए, पहली पंक्ति अपरिवर्तित छोड़ दी गई है। दूसरी पंक्ति के प्रत्येक बाइट को एक बाईं ओर स्थानांतरित कर दिया जाता है। इसी तरह, तीसरी और चौथी पंक्तियों को क्रमशः दो और तीन के ऑफसेट द्वारा स्थानांतरित किया जाता है। इस तरह, के उत्पादन की स्थिति के प्रत्येक स्तंभ ShiftRows चरण इनपुट स्थिति के प्रत्येक स्तंभ से बाइट्स से बना है। इस चरण का महत्व स्तंभों को स्वतंत्र रूप से एन्क्रिप्ट किए जाने से बचाना है, जिस स्थिति में एईएस चार स्वतंत्र ब्लॉक सिफर में अपकृष्ट हो जाएगा।

मिक्स कॉलम }} चरण
में मिक्स कॉलम चरण, स्टेट के प्रत्येक स्तंभ के चार बाइट्स एक व्युत्क्रमणीय रैखिक परिवर्तन  का उपयोग करके संयोजित किए जाते हैं। मिक्स कॉलम }} फलन इनपुट के रूप में चार बाइट्स लेता है और चार बाइट्स आउटपुट करता है, जहां प्रत्येक इनपुट बाइट सभी चार आउटपुट बाइट्स को प्रभावित करता है। शिफ्ट पंक्तियाँ,के साथ साथ मिक्स कॉलम सिफर में  प्रसार (क्रिप्टोग्राफी)  प्रदान करता है।

इस संचालन के दौरान, प्रत्येक कॉलम को एक निश्चित आव्यूह का उपयोग करके रूपांतरित किया जाता है (कॉलम द्वारा आव्यूह को बाएं-गुणा करने से स्टेट में कॉलम का नया मान मिलता है):



\begin{bmatrix} b_{0,j} \\ b_{1,j} \\ b_{2,j} \\ b_{3,j} \end{bmatrix} = \begin{bmatrix} 2 & 3 & 1 & 1 \\ 1 & 2 & 3 & 1 \\ 1 & 1 & 2 & 3 \\ 3 & 1 & 1 & 2 \end{bmatrix} \begin{bmatrix} a_{0,j} \\ a_{1,j} \\ a_{2,j} \\ a_{3,j} \end{bmatrix} \qquad 0 \le j \le 3 $$ आव्यूह गुणा, गुणा और प्रविष्टियों के जोड़ से बना है। प्रविष्टियां बाइट्स हैं जिन्हें क्रम $$x^7$$ के बहुपद के गुणांक के रूप में माना जाता है. ऐसा ही जोड़ XOR है। गुणन सापेक्ष अलघुकरणीय बहुपद $$x^8+x^4+x^3+x+1$$ है. यदि थोड़ा-थोड़ा करके संसाधित किया जाता है, तो स्थानांतरण के बाद, 1B16 के साथ एक सशर्त XOR का प्रदर्शन किया जाना चाहिए यदि स्थानांतरित मान FF16 से बड़ा है (अतिप्रवाह को बहुपद उत्पन्न करने के घटाव द्वारा ठीक किया जाना चाहिए)। ये $$\operatorname{GF}(2^8)$$ सामान्य गुणन के विशेष मामले हैं.

अधिक सामान्य अर्थ में, प्रत्येक स्तंभ को $$\operatorname{GF}(2^8)$$ पर एक बहुपद के रूप में माना जाता है और फिर इसे गुणा किया जाता है $${01}_{16} \cdot z^4+{01}_{16}$$ और  एक निश्चित बहुपद के साथ $$c(z) = {03}_{16} \cdot z^3 + {01}_{16} \cdot z^2 +{01}_{16} \cdot z + {02}_{16}$$ तो गुणा मॉड्यूलो है. गुणांक उनके हेक्साडेसिमल  समतुल्य $$\operatorname{GF}(2)[x]$$. MixColumns }} से बिट बहुपदों के द्विआधारी प्रतिनिधित्व के बराबर प्रदर्शित होते हैं। चरण को  परिमित क्षेत्र  में दिखाए गए विशेष  एमडीएस आव्यूह $$\operatorname{GF}(2^8)$$ द्वारा गुणन के रूप में भी देखा जा सकता है. रिजेंडेल मिक्स कॉलम लेख में इस प्रक्रिया का आगे वर्णन किया गया है।

ऐडराउंडकीय }}
ऐडराउंडकीय चरण में, उपकुंजी स्टेट के साथ समायोजन है। प्रत्येक चरण के लिए, रिजेंडेल कुंजी अनुसूची का उपयोग करके मुख्य कुंजी (क्रिप्टोग्राफी)  से एक उपकुंजी प्राप्त की जाती है। रिजेंडेल की मुख्य अनुसूची; प्रत्येक उपकुंजी स्टेट के समान आकार की है। उपकुंजी को बिटवाइज़ एक्सक्लूसिव या का उपयोग करके स्टेट के प्रत्येक बाइट को उपकुंजी के संबंधित बाइट के साथ जोड़कर जोड़ा जाता है।

सिफर
का अनुकूलन

32-बिट या बड़े शब्दों वाले सिस्टम पर,सबबाइट्स और शिफ्टरोज़ चरणों को मिक्स कॉलम चरण के साथ तालिका लुकअप के सीक्वेंस में बदलकर इस सिफर के निष्पादन को गति देना संभव है। इसके बाद 16 टेबल लुकअप ऑपरेशंस और 12 32-बिट एक्सक्लूसिव-या ऑपरेशंस के साथ एक राउंड किया जा सकता है, इसके बाद AddRoundKey स्टेप में चार 32-बिट एक्सक्लूसिव-या ऑपरेशंस किए जा सकते हैं। वैकल्पिक रूप से, टेबल लुकअप ऑपरेशन को एक सिंगल 256-एंट्री 32-बिट टेबल (1024 बाइट्स पर कब्जा कर लिया गया) के साथ सर्कुलर रोटेशन ऑपरेशंस के साथ किया जा सकता है।

बाइट-ओरिएंटेड दृष्टिकोण का उपयोग करके, सबबाइट्स, शिफ्टरोज़ और मिक्स कॉलम चरणों को एक ही राउंड ऑपरेशन में जोड़ना संभव है।

सुरक्षा
राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने रिजेंडेल सहित सभी एईएस फाइनलिस्ट की समीक्षा की और कहा कि वे सभी यू.एस. सरकार के गैर-वर्गीकृत डेटा के लिए पर्याप्त सुरक्षित थे। जून 2003 में, अमेरिकी सरकार ने घोषणा की कि एईएस का उपयोग वर्गीकृत जानकारी की सुरक्षा के लिए किया जा सकता है: एईएस कलन विधि (अर्थात्, 128, 192 और 256) की सभी प्रमुख लंबाई की डिजाइन और ताकत गुप्त स्तर तक वर्गीकृत जानकारी की सुरक्षा के लिए पर्याप्त हैं। टॉप सीक्रेट जानकारी के लिए 192 या 256 कुंजी लंबाई के उपयोग की आवश्यकता होगी। राष्ट्रीय सुरक्षा प्रणालियों और/या सूचना की रक्षा के लिए लक्षित उत्पादों में एईएस के कार्यान्वयन की उनके अधिग्रहण और उपयोग से पहले समीक्षा की जानी चाहिए और एनएसए द्वारा प्रमाणित किया जाना चाहिए।

एईएस में 128-बिट कुंजियों के लिए 10 राउंड, 192-बिट कुंजियों के लिए 12 राउंड और 256-बिट कुंजियों के लिए 14 राउंड हैं।

2006 तक, सबसे प्रसिद्ध हमले 128-बिट कुंजियों के लिए 7 राउंड, 192-बिट कुंजियों के लिए 8 राउंड और 256-बिट कुंजियों के लिए 9 राउंड थे।

ज्ञात हमले
क्रिप्टोग्राफ़र्स के लिए, एक क्रिप्ट विश्लेषण  ब्रेक  ब्रूट-फोर्स हमले की तुलना में कुछ भी तेज है - अर्थात्, अनुक्रम में प्रत्येक संभावित कुंजी के लिए एक परीक्षण डिक्रिप्शन करना। एक विराम में ऐसे परिणाम शामिल हो सकते हैं जो वर्तमान तकनीक के साथ अक्षम्य हैं। अव्यावहारिक होने के बाद भी, सैद्धांतिक विराम कभी-कभी भेद्यता पैटर्न में अंतर्दृष्टि प्रदान कर सकते हैं। व्यापक रूप से कार्यान्वित ब्लॉक-सिफर एन्क्रिप्शन कलन विधि के खिलाफ सार्वजनिक रूप से ज्ञात ब्रूट-फोर्स का सबसे बड़ा सफल हमला 2006 में डिस्ट्रीब्यूटेड.नेट द्वारा 64-बिट  आरसी5 कुंजी के खिलाफ था।

कुंजी की लंबाई के प्रत्येक अतिरिक्त बिट के लिए कुंजी स्थान 2 के एक कारक से बढ़ जाता है, और यदि कुंजी का हर संभव मूल्य परिवर्तनीय है, तो यह औसत ब्रूट-बल कुंजी खोज समय के दोगुने में बदल जाता है। इसका मतलब यह है कि ब्रूट-फोर्स सर्च का प्रयास कुंजी की लंबाई के साथ तेजी से बढ़ता है। कुंजी की लंबाई अपने आप में हमलों के खिलाफ सुरक्षा का संकेत नहीं देती है, क्योंकि बहुत लंबी कुंजियों वाले सिफर हैं जो कमजोर पाए गए हैं।

एईएस में काफी सरल बीजगणितीय संरचना है। 2002 में, एक्सएसएल हमले नामक एक सैद्धांतिक हमले की घोषणा निकोलस कौरटोइस और  जोसेफ पीप्रज़िक द्वारा की गई थी, जो आंशिक रूप से इसके अरैखिक घटकों की कम जटिलता के कारण एईएस कलन विधि में कमजोरी दिखाने के लिए थी। तब से, अन्य कागजात ने दिखाया है कि हमला, जैसा कि मूल रूप से प्रस्तुत किया गया है, असाध्य है; ब्लॉक सिफर पर एक्सएसएल हमला देखें।

एईएस चयन प्रक्रिया के दौरान, प्रतिस्पर्धी कलन विधि के निर्माणकर्ता ने रिजेंडेल के कलन विधि के बारे में लिखा था, हम सुरक्षा-महत्वपूर्ण अनुप्रयोगों में [इसके] उपयोग के बारे में चिंतित हैं। अक्टूबर 2000 में, चूंकि, एईएस चयन प्रक्रिया के अंत में, प्रतिस्पर्धी कलन विधि त्वोफिश के एक डेवलपर,  ब्रूस श्नेयर ने लिखा था कि जब उन्होंने सोचा था कि किसी दिन रिजेंडेल पर सफल शैक्षणिक हमले विकसित किए जाएंगे, तो उन्हें विश्वास नहीं था कि कोई भी कभी खोज पाएगा एक हमला जो किसी को रिजेंडेल यातायात को पढ़ने की अनुमति देगा।

मई 2009 तक, पूर्ण एईएस के खिलाफ एकमात्र सफल प्रकाशित हमले कुछ विशिष्ट कार्यान्वयनों पर साइड-चैनल हमले थे। 2009 में, एक नए संबंधित-कुंजी हमले की खोज की गई जो एईएस के प्रमुख कार्यक्रम की सरलता का फायदा उठाती है और इसमें 2119 की जटिलता है. दिसंबर 2009 में इसे सुधार कर 299.5 किया गया था. यह 2009 में एलेक्स बिरुकोव,  दिमित्री खोवराटोविच और इविका निकोलीक द्वारा खोजे गए एक हमले का अनुवर्ती है, जिसमें प्रत्येक 235 में से एक के लिए कुंजियाँ 296 की जटिलता है। चूंकि, संबंधित-कुंजी हमले किसी भी ठीक से डिज़ाइन किए गए क्रिप्टोग्राफ़िक प्रोटोकॉल में चिंता का विषय नहीं हैं, क्योंकि एक ठीक से डिज़ाइन किए गए प्रोटोकॉल (अर्थात्, कार्यान्वयन सॉफ्टवेयर) संबंधित कुंजियों की अनुमति नहीं देने का ध्यान रखेंगे, अनिवार्य रूप से संबंधितता के लिए कुंजियों के चयन के हमलावर के साधनों को बाधित करके।

एक और हमला ब्रूस श्नेयर द्वारा ब्लॉग किया गया था

30 जुलाई 2009 को, और प्रीप्रिंट के रूप में जारी किया गया था

3 अगस्त 2009 को एलेक्स बिरुकोव, ऑर डंकेलमैन, नाथन केलर, दिमित्री खोव्रतोविच और आदि शमीर द्वारा किया गया यह नया हमला एईएस-256 के खिलाफ है जो केवल दो संबंधित कुजियों और 239 का उपयोग करता है। 9-राउंड संस्करण की पूर्ण 256-बिट कुंजी पुनर्प्राप्त करने का समय, या 245 बार 10-राउंड संस्करण के लिए एक मजबूत प्रकार के संबंधित उपकुंजी हमले के साथ, या 270     1-राउंड संस्करण के लिए 256-बिट एईएस 14 राउंड का उपयोग करता है, इसलिए ये हमले पूर्ण एईएस के खिलाफ प्रभावी नहीं हैं।

मजबूत संबंधित कुंजी वाले इन हमलों की व्यावहारिकता की आलोचना की गई है, उदाहरण के लिए, 2010 में विंसेंट रिजमेन द्वारा लिखित एईएस-128 पर चुने गए-कुंजी-संबंध-इन-द-बीच हमलों पर पेपर द्वारा।

नवंबर 2009 में, एईएस-128 के कम 8-राउंड संस्करण के खिलाफ पहला ज्ञात-कुंजी विशिष्ट हमला प्रीप्रिंट के रूप में जारी किया गया था।

यह ज्ञात-कुंजी विभेदक हमला रिबाउंड में सुधार है, या एईएस-जैसे क्रमपरिवर्तन के खिलाफ मध्य-से-शुरुआत का हमला है, जो एक तथाकथित सुपर-एस-बॉक्स के आवेदन के रूप में क्रमचय के दो लगातार दौरों को देखता है।. यह एईएस-128 के 8-राउंड संस्करण पर काम करता है, जिसकी समय जटिलता 248 है, और मेमोरी जटिलता और 232 की मेमोरी जटिलता। 128-बिट एईएस 10 राउंड का उपयोग करता है, इसलिए यह हमला पूर्ण एईएस-128 के खिलाफ प्रभावी नहीं है।

पूर्ण एईएस पर पहला कुंजी-वसूली हमला एंड्री बोगडानोव, दिमित्री खोव्रतोविच और क्रिश्चियन रेचबर्गर द्वारा किया गया था, और 2011 में प्रकाशित किया गया था। यह हमला एक दोतरफा हमला है और क्रूर बल से लगभग चार गुना तेज है। AES-128 कुंजी को पुनर्प्राप्त करने के लिए 2126.2 संचालन की आवश्यकता होती है। AES-192 और AES-256 के लिए क्रमशः  2190.2 और 2254.6 संचालन की आवश्यकता है। इस परिणाम को एईएस-128 के लिए  2126.0, एईएस-192 के लिए  2189.9 और एईएस-256 के लिए  2254.3 तक सुधार किया गया है, [28] जो एईएस के खिलाफ प्रमुख रिकवरी हमले में वर्तमान सर्वोत्तम परिणाम हैं।

यह एक बहुत छोटा लाभ है, क्योंकि 126-बिट कुंजी (128-बिट्स के अतिरिक्त) को अभी भी वर्तमान और निकटवर्ती हार्डवेयर पर क्रूर बल लगाने में अरबों साल लगेंगे। इसके अलावा, लेखकों ने एईएस पर अपनी तकनीक का उपयोग करते हुए 128-बिट कुंजी के साथ 288 बिट डेटा संग्रहीत करने के लिए सबसे सर्वश्रेष्ठ हमले की गणना की। यह लगभग 38 ट्रिलियन टेराबाइट डेटा के लिए काम करता है, जो 2016 में ग्रह पर सभी कंप्यूटरों पर संग्रहीत सभी डेटा से अधिक है। इस प्रकार, एईएस सुरक्षा पर कोई व्यावहारिक प्रभाव नहीं है। अंतरिक्ष जटिलता को बाद में 256 बिट्स बिट्स में सुधार दिया गया है, [28] जो कि 9007 टेराबाइट्स है (जबकि अभी भी 2126.2 की समय जटिलता रखते हुए)।

स्नोडेन दस्तावेजों के अनुसार, एनएसए इस बात पर शोध कर रहा है कि क्या केंडल ताऊ रैंक सहसंबंध गुणांक पर आधारित एक क्रिप्टोग्राफ़िक हमला एईएस को तोड़ने में मदद कर सकता है।

वर्तमान में, कोई ज्ञात व्यावहारिक हमला नहीं है जो सही ढंग से लागू होने पर एईएस द्वारा एन्क्रिप्ट किए गए डेटा को पढ़ने के लिए कुंजी के ज्ञान के बिना किसी को अनुमति देगा।

साइड-चैनल हमले
साइड-चैनल हमले सिफर को ब्लैक बॉक्स  के रूप में हमला नहीं करते हैं, और इस प्रकार क्लासिकल संदर्भ में परिभाषित सिफर सुरक्षा से संबंधित नहीं हैं, लेकिन व्यवहार में महत्वपूर्ण हैं। वे हार्डवेयर या सॉफ्टवेयर सिस्टम पर सिफर के कार्यान्वयन पर हमला करते हैं जो अनजाने में डेटा लीक कर देते हैं। एईएस के विभिन्न कार्यान्वयनों पर ऐसे कई ज्ञात हमले हैं।

अप्रैल 2005 में, डेनियल जे. बर्नस्टीन|डी. जे. बर्नस्टीन ने कैश-टाइमिंग हमले की घोषणा की जिसका उपयोग उन्होंने ओपनएसएसएल  के एईएस एन्क्रिप्शन का उपयोग करने वाले कस्टम सर्वर को तोड़ने के लिए किया। हमले के लिए 200 मिलियन से अधिक चुने हुए सादे टेक्स्ट की आवश्यकता थी। रेफरी> कस्टम सर्वर को जितना संभव हो उतना समय की जानकारी देने के लिए डिज़ाइन किया गया था (सर्वर एन्क्रिप्शन संचालन द्वारा लिए गए मशीन चक्रों की संख्या वापस रिपोर्ट करता है)। हालाँकि, जैसा कि बर्नस्टीन ने बताया, सर्वर के टाइमस्टैम्प की सटीकता को कम करना, या उन्हें सर्वर की प्रतिक्रियाओं से समाप्त करना, हमले को नहीं रोकता है: क्लाइंट केवल अपनी स्थानीय घड़ी के आधार पर राउंड-ट्रिप टाइमिंग का उपयोग करता है, और बढ़े हुए शोर की भरपाई करता है बड़ी संख्या में नमूनों का औसत।

अक्टूबर 2005 में, डेग आर्ने ओस्विक, आदि शमीर और एरान ट्रोमर ने एक पेपर प्रस्तुत किया जिसमें ओपनएसएसएल और लिनक्स के एईएस में कार्यान्वयन के खिलाफ कई कैश-टाइमिंग हमलों का प्रदर्शन किया गया।  विभाजन एन्क्रिप्शन समारोह। कुल 65 मिलीसेकंड में केवल 800 संचालनों के बाद एन्क्रिप्शन को ट्रिगर करने के बाद एक हमला पूरी एईएस कुंजी प्राप्त करने में सक्षम था। इस हमले के लिए हमलावर को उसी सिस्टम या प्लेटफॉर्म पर प्रोग्राम चलाने में सक्षम होना चाहिए जो एईएस कर रहा है।

दिसंबर 2009 में कुछ हार्डवेयर कार्यान्वयनों पर एक हमला प्रकाशित किया गया था जिसमें विभेदक दोष विश्लेषण का उपयोग किया गया था और 2 की जटिलता के साथ एक कुंजी की पुनर्प्राप्ति की अनुमति देता है। 32। नवंबर 2010 में एंड्रे बैंगरटर, डेविड गुल्लाश और स्टीफ़न क्रैन ने एक पेपर प्रकाशित किया, जिसमें सिफर टेक्स्ट या प्लेन टेक्स्ट की आवश्यकता के बिना एईएस-128 से गुप्त कुंजियों की लगभग वास्तविक समय पुनर्प्राप्ति के लिए एक व्यावहारिक दृष्टिकोण का वर्णन किया गया था। दृष्टिकोण एईएस-128 कार्यान्वयन पर भी काम करता है जो संपीड़न तालिकाओं का उपयोग करता है, जैसे कि OpenSSL। पहले के कुछ हमलों की तरह, इसके लिए एईएस एन्क्रिप्शन का प्रदर्शन करने वाले सिस्टम पर अनपेक्षित कोड चलाने की क्षमता की आवश्यकता होती है, जो रूट खाते को कमांड करने की तुलना में मैलवेयर संक्रमण से कहीं अधिक आसानी से प्राप्त किया जा सकता है। मार्च 2016 में, अशोक कुमार सी., रवि प्रकाश गिरि और बर्नार्ड मेनेजेस ने एईएस कार्यान्वयन पर एक साइड-चैनल हमला प्रस्तुत किया, जो प्लेनटेक्स्ट/सिफरटेक्स्ट के केवल 6-7 ब्लॉकों में पूर्ण 128-बिट एईएस कुंजी को पुनर्प्राप्त कर सकता है, जो कि एक महत्वपूर्ण सुधार है। पिछले कार्य जिनमें 100 से 10 लाख के बीच एन्क्रिप्शन की आवश्यकता होती है। प्रस्तावित हमले के लिए एक मिनट के भीतर चलने वाले मानक उपयोगकर्ता विशेषाधिकार और कुंजी-पुनर्प्राप्ति कलन विधि की आवश्यकता होती है।

कई आधुनिक सीपीयू में अंतर्निहित एईएस निर्देश सेट  होता है, जो समय-संबंधी साइड-चैनल हमलों से बचाता है।

एनआईएसटी/सीएसईसी सत्यापन
CMVP (CMVP) संयुक्त स्टेट सरकार के राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) संगणक सुरक्षा प्रभाग और कनाडा सरकार के  संचार सुरक्षा प्रतिष्ठान  (CSE) द्वारा संयुक्त रूप से संचालित है। NIST  FIPS 140-2  के लिए मान्य क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग संयुक्त स्टेट सरकार द्वारा संवेदनशील लेकिन अवर्गीकृत (SBU) या उससे ऊपर के वर्गीकरण वाले सभी डेटा के एन्क्रिप्शन के लिए आवश्यक है। NSTISSP #11 से, सूचना आश्वासन के अधिग्रहण को नियंत्रित करने वाली राष्ट्रीय नीति: "वर्गीकृत जानकारी की सुरक्षा के लिए एन्क्रिप्शन उत्पादों को NSA द्वारा प्रमाणित किया जाएगा, और संवेदनशील जानकारी की सुरक्षा के लिए लक्षित एन्क्रिप्शन उत्पादों को NIST FIPS 140-2 के अनुसार प्रमाणित किया जाएगा।" कनाडा सरकार भी अपने विभागों के अवर्गीकृत अनुप्रयोगों में FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल के उपयोग की अनुशंसा करती है।

हालांकि एनआईएसटी प्रकाशन 197 ("एफआईपीएस 197") एईएस कलन विधि को कवर करने वाला अनूठा दस्तावेज है, विक्रेता आमतौर पर एफआईपीएस 140  के तहत सीएमवीपी से संपर्क करते हैं और एक ही समय में कई कलन विधि (जैसे ट्रिपल डीईएस|ट्रिपल डीईएस या एसएचए1) को मान्य करने के लिए कहते हैं।. इसलिए, क्रिप्टोग्राफ़िक मॉड्यूल मिलना दुर्लभ है जो विशिष्ट रूप से FIPS 197 मान्य हैं और NIST स्वयं आमतौर पर FIPS 197 मान्य मॉड्यूल को अपनी सार्वजनिक वेब साइट पर अलग से सूचीबद्ध करने में समय नहीं लेता है। इसके अतिरिक्त, FIPS 197 सत्यापन को आमतौर पर केवल FIPS अनुमोदित के रूप में सूचीबद्ध किया जाता है: FIPS 140 मान्य क्रिप्टोग्राफ़िक मॉड्यूल की वर्तमान सूची में एईएस संकेतन (विशिष्ट FIPS 197 प्रमाणपत्र संख्या के साथ)।

क्रिप्टोग्राफ़िक कलन विधि सत्यापन कार्यक्रम (CAVP) एईएस कलन विधि के सही कार्यान्वयन के स्वतंत्र सत्यापन की अनुमति देता है। एनआईएसटी सत्यापन पृष्ठ पर सूचीबद्ध होने में सफल सत्यापन परिणाम। यह परीक्षण FIPS 140-2 मॉड्यूल सत्यापन के लिए पूर्व-अपेक्षित है। हालांकि, किसी भी तरह से सफल CAVP सत्यापन का मतलब यह नहीं है कि कलन विधि को लागू करने वाला क्रिप्टोग्राफ़िक मॉड्यूल सुरक्षित है। FIPS 140-2 सत्यापन या NSA द्वारा विशिष्ट अनुमोदन की कमी वाले क्रिप्टोग्राफ़िक मॉड्यूल को अमेरिकी सरकार द्वारा सुरक्षित नहीं माना जाता है और इसका उपयोग सरकारी डेटा की सुरक्षा के लिए नहीं किया जा सकता है।

FIPS 140-2 सत्यापन तकनीकी और आर्थिक रूप से दोनों को प्राप्त करने के लिए चुनौतीपूर्ण है। परीक्षणों की एक मानकीकृत बैटरी के साथ-साथ स्रोत कोड समीक्षा का एक तत्व है जिसे कुछ हफ्तों की अवधि में पारित किया जाना चाहिए। एक अनुमोदित प्रयोगशाला के माध्यम से इन परीक्षणों को करने की लागत बहुत अधिक हो सकती है (उदाहरण के लिए, यूएस $30,000 से अधिक) और सत्यापन के लिए लिखने, परीक्षण करने, दस्तावेज़ बनाने और मॉड्यूल तैयार करने में लगने वाला समय शामिल नहीं है। सत्यापन के बाद, मॉड्यूल को फिर से जमा किया जाना चाहिए और यदि वे किसी भी तरह से बदले जाते हैं तो उनका पुनर्मूल्यांकन किया जाना चाहिए। यह सरल कागजी कार्रवाई अद्यतन से भिन्न हो सकता है यदि सुरक्षा कार्यक्षमता परिवर्तन से प्रभावित होने पर सुरक्षा कार्यक्षमता पुन: परीक्षण के अधिक पर्याप्त सेट में नहीं बदली।

टेस्ट वैक्टर
टेस्ट वैक्टर किसी दिए गए इनपुट और कुंजी के लिए ज्ञात सिफर का एक सेट है। एनआईएसटी एईएस ज्ञात उत्तर परीक्षण (केएटी) वैक्टर के रूप में एईएस टेस्ट वैक्टर के संदर्भ को वितरित करता है।

प्रदर्शन
उच्च गति और कम RAM आवश्यकताएँ एईएस चयन प्रक्रिया के कुछ मानदंड थे। चुने गए एल्गोरिथ्म के रूप में, एईएस ने 8-बिट स्मार्ट कार्ड  से लेकर उच्च-प्रदर्शन वाले संगणकों तक, विभिन्न प्रकार के हार्डवेयर पर अच्छा प्रदर्शन किया।

पेंटियम प्रो पर, एईएस एन्क्रिप्शन के लिए प्रति बाइट में 18 घड़ी चक्र की आवश्यकता होती है, 200 MHz प्रोसेसर के लिए लगभग 11 MiB/s के थ्रूपुट के बराबर।

एईएस निर्देश सेट का समर्थन करने वाले Intel Core  और  AMD Ryzen  CPU पर | एईएस-NI निर्देश सेट एक्सटेंशन, थ्रूपुट कई GiB/s (i7-12700k पर 15 GiB/s से अधिक) हो सकते हैं।

यह भी देखें

 * ब्लॉक_सिफर_मोड_ऑफ_संचालन
 * डिस्क एन्क्रिप्शन
 * नेटवर्क एन्क्रिप्शन
 * व्हर्लपूल (हैश फंक्शन) - विन्सेंट रिजमेन और पाउलो एस.एल.एम. बैरेटो द्वारा बनाया गया हैश फंक्शन
 * मुफ्त और ओपन-सोर्स सॉफ्टवेयर पैकेजों की सूची

टिप्पणियाँ


संदर्भ

 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)
 * alternate link (companion web site contains online lectures on AES)

इस पेज में लापता आंतरिक लिंक की सूची

 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * इंटरनेशनल इलेक्ट्रोटेक्नीकल कमीशन
 * वर्गीकृत जानकारी
 * अंतरराष्ट्रीय मानकीकरण संगठन
 * एईएस प्रमुख अनुसूची
 * रैखिक नक्शा
 * गड़बड़ी
 * सजातीय परिवर्तन
 * एकमात्र
 * एक्सएसएल हमला
 * साइड-चैनल हमला
 * संबंधित-कुंजी हमला
 * बाइक्लिक हमला
 * अंतर दोष विश्लेषण
 * SHA1
 * मुफ़्त और ओपन-सोर्स सॉफ़्टवेयर पैकेजों की सूची
 * व्हर्लपूल (हैश फलन)

बाहरी संबंध

 * एईएस algorithm archive information – (old, unmaintained)
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * Animation of Rijndael – एईएस deeply explained and animated using Flash (by Enrique Zabala / University ORT / Montevideo / Uruguay). This animation (in English, Spanish, and German) is also part of CrypTool 1 (menu Indiv. Procedures → Visualization of Algorithms → एईएस).
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.
 * HTML5 Animation of Rijndael – Same Animation as above made in HTML5.