成功暴力破解比特币私钥 什么是 AES？

什么是 AES？

AES是美国国家标准技术研究院（NIST）于2001年发布的高级加密标准（Advanced Encryption Standard）的缩写，旨在取代DES（Data Encryption Standard，高级加密标准）成为新的第一代块加密标准已广泛应用于各个领域。

随着密码破译技术的发展和计算机计算水平的提高，使用56位密钥的DES算法已经不能满足当今数据加密安全的要求。 迫切需要提出更安全的加密标准。 最后，NIST选择了一组长度为128位的Rijndael算法作为AES算法。 AES和DES都是对称块加密算法，都使用相同的密钥对数据进行加密和解密。 与密钥长度为56位的DES算法相比，AES密钥长度可以达到128位、192位和256位。 根据加解密密钥长度的不同，AES算法可分为AES-128、AES192和AES-256三种。 AES加解密算法结构如下图[2]所示。

图1. AES加解密算法结构[2]

什么是蛮力攻击？

蛮力攻击也称为穷举攻击，即​​穷举遍历每一个可能的密钥依次进行解密操作，直到找到正确的密钥，成功破解密码算法平均需要遍历一半的密钥空间。 下表显示了 AES 和 DES 算法基于不同长度密钥的暴力攻击的平均时间 [2]。 随着密钥长度的增加，密钥空间中的密钥数量相应增加成功暴力破解比特币私钥，DES和AES抵抗暴力破解的能力也相应增加。

表 1. 穷举密钥搜索平均所需时间 [2] 随着计算机计算能力的提高，56 位密钥的 DES 在暴力攻击下的安全性变得非常脆弱。 为保证数据安全保密，可采用新一代AES算法，密钥数量大幅增加，抵御暴力攻击。 但是，新的算法设计也意味着以往为DES算法开发的软件和硬件设施不再适用。 为了保护现有的软硬件投资，也可以使用多个密钥对数据进行DES多次加密（例如使用三个密钥的三重DES），变相增加密钥长度，从而确保私人数据的安全。

破解AES算法需要多长时间？

以AES-128算法为例，需要平均尝试2^127≈1.7*10^38个128bit随机数作为密钥进行加解密运算，才能找到正确的密钥。

俗话说，“天下武功，唯速破”； 相反，世界的密码可以很快被破解。 问题是，这有多快？ 我们知道，比特币网络在全球范围内调用了非常庞大的硬件资源来实现极高的计算效率，每秒的哈希运算（SHA-256）可以高达2.5644*10^19次。 虽然AES和SHA-256的算法不一样，计算量也不一样，但是我们不妨用这个数据来大概估算一下全世界的人破解AES算法所需要的时间。

假设AES的运算效率为2.564410^19 ≈ 2^64.4753次/秒，则2^127次AES运算所需时间为：

2^127 / 2^64.4753 ≈ 2^62.5247 秒 ≈ 6.6345 10^18 秒 ≈ 1.8429 10^15 小时 ≈ 7.6789 10^13 天 ≈ 2.104 * 10^11 年 ≈ 210,400,000,000 年

2104亿年有多长？ 通俗地说，就是2104亿年。 但是2104亿年是什么概念呢？ 从大爆炸那一刻起，宇宙老人现在已经138亿岁了。 不过和2104亿年比起来，他现在也只能算是学龄前儿童了。 2104/138 ≈ 15.2464（次）

太阳还有大约 50 亿年的寿命，宇宙也不是不朽的。 想看到AES被成功破解的那一天吗？ 想一口气度过他的 15 个宇宙时代吗？ 想超越太阳追赶宇宙？ 不管你怎么修佛门养生，不管你怎么把枸杞子泡在保温瓶里，哪怕再向天借五百年、五百年，结果也只能是AES从开始破解到放弃。

破解AES算法需要多少钱？

继续以比特币网络类比，据统计，每秒1G哈希运算消耗的电量约为0.237J。 要破解 AES，平均需要 2^127 次 AES 运算。 总功耗约为：

(2^127 / 10^9) (0.237 10^-3) / 3600 ≈ 1.1201 * 10^22 千瓦时

国内一般工商业用电电价约为0.77元/度，暴力破解AES的电费约为：

0.77 1.1201 10^22 ≈ 8.625 10^21 元 = 8.625 10^13 亿元 ≈ 1.368 * 10^13 亿美元

2017年我国GDP为827122亿元，全球GDP不足10万亿美元，远低于破解AES的电费。

8.625 10^13 / 827122 ≈ 1.043 10^8 年

1.368 10^13 / 1000000 = 1.368 10^7 年

一个大国凝聚全国财力，节省1亿多年提高破解AES的电费； 它从世界各地收集资金，努力工作数千万年，以偿还破解 AES 的电费债务。 以上仅为用电成本，不包括硬件设施、人力物力、资源成本、环境因素等，如果综合考虑，成本金额将是遥不可及的。

安全攻击和密码破译大多是因为“盈利”。 什么样的秘密值得花这么多钱去窥探？ 这么费时费力，还不如直接绑架密码管理员； 这么麻烦又贵，不如买个密码管理员试试。

量子计算机，AES算法的终结？

量子计算机的诞生引发了对现代算法密码的诸多质疑和担忧。 现在流行的密码算法真的不再安全了吗？ 诚然成功暴力破解比特币私钥，学术界已经严格论证了量子计算机的计算优势，例如大因式分解问题和离散对数问题。 与电子计算机相比，量子计算机确实可以带来计算速度的指数级提升。 非对称密码系统 RSA算法和椭圆曲线算法可以在较短的时间内被破解。

然而，量子计算机并没有为所有计算问题提供如此令人印象深刻的加速。 对于对称加密体系中的AES-128算法，假设电子计算机破解需要2^128个时间单位，而量子计算机破解只需要2^64个时间单位。 以此类推，量子计算机暴力攻击AES-256算法的难度与电子计算机暴力攻击AES-128算法的难度是一样的。 虽然AES-128算法的安全性对于量子计算机来说很难保证，但是这个问题只能通过增加密钥长度来解决，比如使用AES-256算法，之前已经讨论过。 算法是无能为力的，同理，量子计算机也无法暴力破解 AES-256。

墙有耳——侧信道攻击

堂堂正正正面破解AES算法是不可能的，外道也不妨一试。

侧信道攻击（side channel attack，SCA），又称侧信道攻击、边信道攻击、侧信道攻击，是指通过窃取电子设备在执行加密时泄露的侧信道信息来攻击密码系统的方法。解密算法，比如通过分析密码系统的计算时间、功耗、电磁辐射和声音，比如“听译”密钥来破解密码。 与传统的通过数学手段进行密码分析不同，SCA并不直接攻击已被证明安全的密码算法本身，而是采用“曲线救国”的方式对密码算法的实现技术进行攻击，效果破解密码系统的难度更大。 显著地。 这就像知道一个人在家是在洗衣服还是在看电视。 我们不需要打开门进入屋子就能知道。 我们可以直接通过观察外面的水表和电表来推断。 SCA正是这样一种绕过门的方式。 锁的窥探方法。

侧信道攻击是目前唯一成功的针对AES密码体制的攻击，但事实上，这种攻击不仅对AES有效，许多其他密码体制也存在侧信道攻击的安全隐患。 AES算法本身是足够安全的，可惜落在了算法的实现上。 “不怕神一样的对手，就怕猪一样的队友”，大概就是我说的吧。

旁道攻击之所以可行，主要原因是电子加密设备泄露的时间、功率、电磁辐射等旁道信息与设备计算的数据有一定的相关性。 在硬件电路层面，可以通过功耗平衡等技术弱化这种相关性； 在软件算法实现层面，可以通过“屏蔽”或“隐藏”等方式，牺牲一定的计算效率来迷惑攻击者的视听，从而保证密码算法的安全性。

总结

在规范实施AES加密系统的情况下，以目前电子计算机和量子计算机的计算能力来说，除非在数学上有重大突破，否则AES加密算法仍然是牢不可破的。 有一天，以上被提前攻破，那就不用担心，会有新的密码系统接过接力棒，继续捍卫数据的隐私和安全。

参考

[1] 标准，NIST-FIPS。 “宣布高级加密标准 (AES)。” 联邦信息处理标准出版物 197 (2001)：1-51。

[2] 斯托林斯，威廉。 密码学和网络安全：原则和实践。 培生教育印度公司，2003 年。

[3] 高级加密标准，维基百科

[4] 比特币能源消耗，Digiconomist

[5]陈，莉莉，等。 关于后量子密码学的报告。 美国商务部国家标准与技术研究院，2016 年。

[6] 侧信道攻击，维基百科