Garantías de dureza para AES

Muchos criptosistemas de clave pública tienen algún tipo de seguridad demostrable. Por ejemplo, el criptosistema Rabin es probablemente tan difícil como factorizar.

Me pregunto si existe ese tipo de seguridad comprobable para los criptosistemas de clave secreta, como AES. Si no es así, ¿cuál es la evidencia de que romper tales criptosistemas es difícil? (aparte de la resistencia a los ataques de prueba y error)

Observación: estoy familiarizado con las operaciones AES (AddRoundKey, SubBytes, ShiftRows y MixColumns). Parece que la dureza de AES proviene de la operación MixColumns, que a su vez debe heredar su dificultad de algún problema difícil sobre Galois Fields (y, por lo tanto, el álgebra). De hecho, puedo volver a formular mi pregunta como: "¿Qué problema algebraico difícil garantiza la seguridad de AES?"

MIXCOLUMNS evita ataques que se centran en solo unos pocos cuadros S, porque la mezcla de las columnas requiere que todos los cuadros S participen en el cifrado. (Los diseñadores de Rijndael llamaron a esto una "estrategia de sendero amplio"). La razón por la cual el análisis de un S-box es difícil se debe al uso de la operación de inversión de campo finito. La inversión "suaviza" las tablas de distribución de las entradas de S-box, por lo que las entradas parecen (casi) uniformes, es decir, indistinguibles de una distribución aleatoria sin la clave. Es la combinación de las dos características lo que hace que Rijndael sea seguro contra ataques conocidos.

Como comentario aparte, el libro The Design of Rijndael es una muy buena lectura y analiza la teoría y la filosofía de la criptografía.

Como dijo David, no tenemos tales reducciones para AES. Sin embargo, esto no significa que Rabin o RSA cryptosystem sean más seguros que AES. De hecho, confiaría en la seguridad (al menos unidireccional, probablemente también pseudoaleatoria) de los cifrados de bloque como AES / DES, etc. (tal vez con un poco más de rondas que las utilizadas habitualmente) más que la suposición de que la factorización es difícil, precisamente porque no hay una estructura algebraica y, por lo tanto, es más difícil imaginar que habrá algún tipo de algoritmo innovador.

Se pueden construir cifrados de bloque directamente a partir de funciones unidireccionales, lo cual es una suposición mínima para gran parte de la criptografía, pero la construcción resultante será terriblemente ineficiente y, por lo tanto, no se utilizará.

Dado que uno puede convertir cualquier esquema de cifrado de clave pública en un esquema de clave secreta de forma genérica, puede obtener esquemas de clave secreta con garantías de seguridad comprobables similares.

Pero esa respuesta es pedante: para el típico blockcipher desplegado no tenemos un análisis de seguridad demostrable en el sentido de reducción a problema computacional. Se han presentado propuestas para blockciphers con reducciones de seguridad, pero el equipaje computacional necesario para facilitar una reducción los hace poco competitivos con esquemas más eficientes como los algoritmos AES.

Curiosamente, la comunidad de seguridad comprobable generalmente ha acordado que es correcto tomar la seguridad de blockcipher (permutación pseudoaleatoria) como una suposición, y luego reducirla al analizar protocolos de nivel superior que emplean a blockcipher como componente. Es decir, a diferencia de otros desafíos en el diseño de protocolos seguros, parece suficiente confiar en la intuición de seguridad de los criptoanalistas cuando se trata de blockciphers.