Özet (TL;DR): AES-256’nın algoritması üzerinde doğrudan pratik bir “kırma” (yani kısa sürede doğru anahtarı bulma) bilinmiyor. Teoride kaba kuvvet (brute-force) veya kuantum hızlandırması gibi yollar var; rakamsal hesaplar gösteriyor ki pratikte imkansız. Bu yazımda AES-256 şifrelemesinin nasıl kırılabileceğini ve bunların mantığını adım adım sayısal hesaplamalarla anlatmaya çalıştım.
1. Temel kavramlar — neyi neden kullanıyoruz?
2.1. Tüm anahtarların denenmesi durumu
Buradaki temel formülümüz:
[math]saniye=\cfrac{2^{256}}{deneme}[/math]
[imath]2^{256}[/imath] anahtarı deneme hızımız = [imath]10^{18}[/imath] demiştik. ([imath]2^{256}[/imath] ondalıkta yaklaşık [imath]1.1579208923731619542357098500868790785326998466564 x 10^{77}[/imath])
Dolayısıyla:
[imath]saniye=\cfrac{1.579208923731619542 x 10^{77}}{10^{18}} = 1.1579208923731619542 x 10^{59}[/imath] saniye hesabı çıkıyor.
Bunu da yukarıda verdiğim 31.557.600 saniye/yıl hesabına göre yıl cinsinden hesaplarsak:
[imath]yıl=\cfrac{1.1579208923731619542 x 10^{59}}{31557600} ≈ 3.6692298919219520947 x 10^{51}[/imath] yıl süreceği sonucunu elde ediyoruz, yani tüm anahtarları denemek için [imath]3.66 x 10^{51}[/imath] yıl gibi absürt bir netice ortaya çıkıyor.
2.2. Ortalama (expected / average-case)
Ortalama olarak anahtarın yarısı aranır, bu yüzden süreyi ikiye bölüyoruz.
Ortalama brute-force süresi: [imath]yıl=\cfrac{3.6692298919219520947 x 10^{51}}{2} ≈ 1.8346149459609760473 x 10^{51} ≈ 1.83 x 10^{51}[/imath]
3. Kuantum hesapları — Grover algoritması
Gelelim şu meşhur kuantum hesaplarına, şifreleme ve brute-force denildiğinde akıllara ilk gelen ama sanıldığı kadar da güvenlik adına tehdit olmayan/olamayan o hesaplamalar.
Grover algoritması brute-force için gereken deneme sayısını kareköküne (quadratic acceleration) çeker. Yani [imath]2^{256} \to 2^{128}[/imath]
([imath]2^{128}[/imath] ondalıkta yaklaşık [imath]340282366920938463463374607431768211456[/imath])
Aynı deneme hızıyla yapacağımız deneme sayısı azaldığından gereken süre de buna bağlı olarak düşecektir:
[imath]saniye=\cfrac{2^{128}}{10^{18}} ≈ 340282366920938463463374607431768211456 x 10^{20}[/imath] saniye elde etmiş oluyoruz, bunu yine yukarıda verdiğim 31.557.600 saniye/yıl hesabına göre yıl cinsinden hesaplarsak:
[imath]yıl=\cfrac{3.4028236692093846 x 10^{20}}{31557600} ≈ 1.07828975245563180807 x 10^{13}[/imath] yıl.
Ortalama (yarısını almak): [imath]yıl≈5.3914487622781590403 × 10^{12}[/imath] yıl.
Bu hesaplamayı yapmak için grover algoritmasıyla bile teorik olarak ortalama yaklaşık [imath]5.39x10^{12}[/imath] yıl (yaklaşık olarak 5.4 trilyon yıl) gerekir, bu da pratik olarak imkansız bir süredir. Daha açıklayıcı olmam gerekirse evrenin yaşı yaklaşık olarak [imath]1.38x10^{10}[/imath] yıldır, kuantum hesaplamalarıyla dahi AES-256 şifrelemesine brute-force işlemi uygulamak evrenimızın yaşının birkaç yüz katı kadar süre gerektirir, unutmamak gerekir ki bu süreyi iyimser bir işlem kapasitesiyle hesaplamış bulunuyoruz.
Teorik hızlandırma olsa da, günümüzde büyük ölçekli, hata düzeltmeli kuantum bilgisayar inşa etmek inanılmaz derecede zor Grover uygulanabilse bile [imath]2^{128}[/imath] deneme gerektiren bir süreç için anlamsız derecede fazla kaynak gerektirir. Bunun dışında kuantum hata düzeltme, kuantum bellek, tersine çevrilmiş kuantum devreleri hepsi devasa mühendislik zorluklarıdır.
4. Diğer teorik saldırılar ve pratikteki yerleri
AES-256 şu an için pratikte kırılması gerçekçi olmayan bir standarttır. “Kırılmaz” demek teorik olarak yanlış; ama pratik güvenlik açısından çok güçlüdür. Fakat AES-256 şifrelemesinin anlamlı olabilmesi için AES-GCM, AES-CCM veya benzeri authenticated encryption modları kullanın (ECB kullanmayın). Anahtarları güvenli bir şekilde üretin ve saklayın (güçlü RNG, KMS/HSM). Yazılım kütüphanelerini güncel tutun (OpenSSL gibi). Yan-kanal savunmaları gerekiyorsa uygulayın, söz konusu savunma çoğumuzun bildiği meşhur TPM (Trusted Platform Module) gibi donanımlardır.
Buraya kadar okuyanlara teşekkür ederim, bu yazımı bir konuda yazdığım cevabımı detaylandırmak adına hazırladım. Merak ettiğiniz benzer konular varsa belirtebilirsiniz.
1. Temel kavramlar — neyi neden kullanıyoruz?
- AES-256 anahtar uzayı: [imath]2^{256}[/imath]. Bu, “tüm olası anahtar sayısı” demektir. Her anahtar 256 bit uzunluğundadır.
- Brute-force (kaba kuvvet): Her olası anahtarı sırayla denediğimiz ve hangi anahtarın veriyi doğru çözdüğünü bulmaya çalıştığımız işlemin adıdır.
- Deneme hızı (trial rate): Saniyede kaç anahtar denenebileceği. Sizlere açıklayabilmek adına şimdiki süper bilgisayarların birkaç milyon katı bir hızı ifade eden çok iyimser bir değer de olsa: [imath]10^{18}[/imath] anahtar/saniye (1 kentilyon deneme/saniye) diye kabul edelim.
- Ortalama beklenen deneme sayısı: Anahtarın rasgele olduğunu varsayarsak, ortalama olarak anahtar uzayının yarısı denenir → [imath]2^{255}[/imath].
- Grover (kuantum) etkisi: Teorik bir kuantum saldırısı (Grover algoritması) kaba kuvvet aramayı kuadratik (quadratic acceleration) hızlandırır: denenecek anahtar sayısı √[imath]2^{256}[/imath] = [imath]2^{128}[/imath] olur.
- Zaman birimleri:
- Bir yıl (artık yıl düzeltmesiyle ortalama) = 365.25 gün
- Bir gün = 24 saat
- Bir saat = 3600 saniye
- Dolayısıyla saniye/yıl = 365.25 × 24 × 3600 = 31.557.600 saniye/yıl.
2.1. Tüm anahtarların denenmesi durumu
Buradaki temel formülümüz:
[math]saniye=\cfrac{2^{256}}{deneme}[/math]
[imath]2^{256}[/imath] anahtarı deneme hızımız = [imath]10^{18}[/imath] demiştik. ([imath]2^{256}[/imath] ondalıkta yaklaşık [imath]1.1579208923731619542357098500868790785326998466564 x 10^{77}[/imath])
Dolayısıyla:
[imath]saniye=\cfrac{1.579208923731619542 x 10^{77}}{10^{18}} = 1.1579208923731619542 x 10^{59}[/imath] saniye hesabı çıkıyor.
Bunu da yukarıda verdiğim 31.557.600 saniye/yıl hesabına göre yıl cinsinden hesaplarsak:
[imath]yıl=\cfrac{1.1579208923731619542 x 10^{59}}{31557600} ≈ 3.6692298919219520947 x 10^{51}[/imath] yıl süreceği sonucunu elde ediyoruz, yani tüm anahtarları denemek için [imath]3.66 x 10^{51}[/imath] yıl gibi absürt bir netice ortaya çıkıyor.
2.2. Ortalama (expected / average-case)
Ortalama olarak anahtarın yarısı aranır, bu yüzden süreyi ikiye bölüyoruz.
Ortalama brute-force süresi: [imath]yıl=\cfrac{3.6692298919219520947 x 10^{51}}{2} ≈ 1.8346149459609760473 x 10^{51} ≈ 1.83 x 10^{51}[/imath]
3. Kuantum hesapları — Grover algoritması
Gelelim şu meşhur kuantum hesaplarına, şifreleme ve brute-force denildiğinde akıllara ilk gelen ama sanıldığı kadar da güvenlik adına tehdit olmayan/olamayan o hesaplamalar.
Grover algoritması brute-force için gereken deneme sayısını kareköküne (quadratic acceleration) çeker. Yani [imath]2^{256} \to 2^{128}[/imath]
([imath]2^{128}[/imath] ondalıkta yaklaşık [imath]340282366920938463463374607431768211456[/imath])
Aynı deneme hızıyla yapacağımız deneme sayısı azaldığından gereken süre de buna bağlı olarak düşecektir:
[imath]saniye=\cfrac{2^{128}}{10^{18}} ≈ 340282366920938463463374607431768211456 x 10^{20}[/imath] saniye elde etmiş oluyoruz, bunu yine yukarıda verdiğim 31.557.600 saniye/yıl hesabına göre yıl cinsinden hesaplarsak:
[imath]yıl=\cfrac{3.4028236692093846 x 10^{20}}{31557600} ≈ 1.07828975245563180807 x 10^{13}[/imath] yıl.
Ortalama (yarısını almak): [imath]yıl≈5.3914487622781590403 × 10^{12}[/imath] yıl.
Bu hesaplamayı yapmak için grover algoritmasıyla bile teorik olarak ortalama yaklaşık [imath]5.39x10^{12}[/imath] yıl (yaklaşık olarak 5.4 trilyon yıl) gerekir, bu da pratik olarak imkansız bir süredir. Daha açıklayıcı olmam gerekirse evrenin yaşı yaklaşık olarak [imath]1.38x10^{10}[/imath] yıldır, kuantum hesaplamalarıyla dahi AES-256 şifrelemesine brute-force işlemi uygulamak evrenimızın yaşının birkaç yüz katı kadar süre gerektirir, unutmamak gerekir ki bu süreyi iyimser bir işlem kapasitesiyle hesaplamış bulunuyoruz.
Teorik hızlandırma olsa da, günümüzde büyük ölçekli, hata düzeltmeli kuantum bilgisayar inşa etmek inanılmaz derecede zor Grover uygulanabilse bile [imath]2^{128}[/imath] deneme gerektiren bir süreç için anlamsız derecede fazla kaynak gerektirir. Bunun dışında kuantum hata düzeltme, kuantum bellek, tersine çevrilmiş kuantum devreleri hepsi devasa mühendislik zorluklarıdır.
4. Diğer teorik saldırılar ve pratikteki yerleri
- İleri kriptanaliz (algoritmik saldırılar): AES üzerinde bazı teorik sınırları zorlayan çalışmalar vardır (ör. ilgili-anahtar saldırıları, reduce edilmiş tur sayılarına yönelik saldırılar, biclique teknikleri). Genellikle tam 14 tur (AES-256 için tam) üzerinde pratik bir kırılma sağlamaz. Gerçek dünya uygulamalarına uygulanabilir avantaj sağlayacak şekilde anahtar arama maliyetini yeterince küçültmez.
- Yan-kanal (side-channel) saldırıları: Zamanlama, güç tüketimi, EM sızıntısı gibi kanallardan bilgi sızdırma mümkündür ve pratik bir tehdittir ama bu saldırı “AES algoritmasının matematiksel kırılması” değil; uygulama/implementasyon hatasına dayanır. Yani donanım veya yazılım yanlış uygulanırsa AES-256 kırılabilir (örneğin zayıf RNG, anahtar sızıntısı, sabit zamanlama hataları).
- Anahtar yönetimi hataları: Kullanıcılar zayıf anahtarlar seçerse, anahtarlar tekrar kullanılırsa veya anahtarlar uygun şekilde saklanmazsa (örn. düz metin biçiminde depolanırsa) saldırı çok daha kolay olur.
AES-256 şu an için pratikte kırılması gerçekçi olmayan bir standarttır. “Kırılmaz” demek teorik olarak yanlış; ama pratik güvenlik açısından çok güçlüdür. Fakat AES-256 şifrelemesinin anlamlı olabilmesi için AES-GCM, AES-CCM veya benzeri authenticated encryption modları kullanın (ECB kullanmayın). Anahtarları güvenli bir şekilde üretin ve saklayın (güçlü RNG, KMS/HSM). Yazılım kütüphanelerini güncel tutun (OpenSSL gibi). Yan-kanal savunmaları gerekiyorsa uygulayın, söz konusu savunma çoğumuzun bildiği meşhur TPM (Trusted Platform Module) gibi donanımlardır.
Buraya kadar okuyanlara teşekkür ederim, bu yazımı bir konuda yazdığım cevabımı detaylandırmak adına hazırladım. Merak ettiğiniz benzer konular varsa belirtebilirsiniz.
Son düzenleme:
