Resisting Bruteforce
一、题目基础信息
- 分值:10 pts
- 分类:对称密码学基础概念
- Flag 格式:
crypto{term}
题干关键线索提取
- 存在一种比暴力破解稍高效的 AES 单密钥攻击,将 AES-128 的安全等级降至126.1 bits;
- 该攻击自发布后超过 8 年没有更好的改进方案;
- 题目提问:针对 AES 最优单密钥攻击的名称是什么。
二、核心知识点解析
1. 攻击名称:Biclique attack(二分团攻击 / 双团密码分析)
- 复杂度:AES-128 下仅需 \(2^{126.1}\) 次运算,相比完整暴力搜索 \(2^{128}\) 仅提升极小幅度;
- 场景限制:单密钥模型,不依赖多组关联密钥,是目前公开已知针对完整轮 AES 最优单密钥攻击;
- 现实影响:理论上优于暴力破解,但计算量差距极小,完全不具备实际破解价值,学界不认为会威胁 AES 现实安全。
2. 题干其他配套知识点
- 随机置换安全准则安全分组密码的输出无法与完全随机比特置换区分,不存在远快于暴力穷举密钥的攻击手段,否则该密码在理论上视为 “被攻破”。
- 量子算法对比
- Shor 算法:彻底破解 RSA 等非对称密码;
- Grover 算法:仅将对称密码安全位长减半(AES-128 量子安全降至 64 位,因此推荐 AES-256 应对量子计算机)。
- 区分相关密钥攻击与单密钥攻击 相关密钥攻击对 AES-192/256 效果更强,但不属于单密钥场景,不符合本题提问限定。
三、解题逻辑
题干明确给出标志性特征:AES-128 安全等级下降至 126.1 bits、最优单密钥攻击、多年无改进。检索密码学资料可唯一匹配biclique(二分团攻击)。
四、提交 Flag
crypto{biclique}
五、拓展考点总结
- Biclique attack 是 CryptoHack 对称密码入门经典考点,特征 “126.1 bits” 是唯一识别标记;
- 易混淆概念区分:
- Grover:量子搜索算法,非 AES 专属攻击;
- 关联密钥攻击:不属于单密钥场景;
- 差分 / 线性密码分析:仅对减少轮数 AES 有效,无法作用完整 10 轮 AES-128。
- 安全工程启示:即使存在理论上更优攻击,只要计算复杂度差距极小,密码仍可安全商用。
