考慮 AES 加密數據沿以太網鏈路以 1G、10G 或更高的速率流式傳輸的位置。攻擊者可以攔截并存儲傳遞的消息，以便在嘗試破解加密之前進行后續分析。他將快速生成大量數據包，并且只有源地址和目標地址可用于過濾掉感興趣的消息。這些可能都使用相同的加密密鑰，但在組織良好的加密系統中，加密密鑰將經常更改，從而限制了任何安全故障的規模。

那么攻擊者可以使用哪些方法來破解加密呢？說實話，攻擊者通常更容易通過破壞物理或人類安全性來訪問密鑰或明文來訪問機密數據而不會破解加密。數據僅以明文形式有用（例如，您無法觀看加密視頻或閱讀加密文檔）。同樣，密鑰需要以未加密的形式存儲才能使用，并且保護它的物理安全性可能比加密算法更容易破壞。

或者，攻擊者可能讓內部人員提供密鑰。假設必須破解加密算法，那么用于破解早期DES系統的方法稱為蠻力。在這里，攻擊者使用巨大的計算能力來嘗試密鑰的每個組合。隨著計算能力的提高，這種技術對于資金充足的組織（如敵對政府）變得可行。然而，AES最少使用的128位密鑰組合的絕對數量是驚人的（5.79E + 76）。

另一種常見的攻擊方法依賴于攻擊者對包含密鑰的設備有足夠的訪問權限，以允許使用實驗室設備。請記住，我已經說過，嵌入式加密核心永遠不應該靠近設備的引腳。在這種類型的攻擊中，稱為差分功率分析（DPA），電源電流的測量是在器件的引腳上進行的，因此具有不同密鑰的加密將具有略微不同的能量使用。這導致功耗模式，可以使用信號處理進行分析以推斷出密鑰。

在微處理器上實現的公鑰算法比AES更容易受到這種攻擊。這就是理論，一些學者已經從完全控制的AES實現中梳理出關鍵點，使用帶有慢速時鐘的DPA和定制電路板，旨在促進功率測量。

DPA基本上是關于從噪聲中提取信號。通過使測量結果難以獲得，可以使其更具挑戰性。這包括物理安全性，例如在檢測到篡改時將密鑰清零。諸如使用表面貼裝封裝（引腳不可訪問）的電路板布局和具有封裝內去耦電容器的器件等因素將阻礙功率毛刺的測量。

使用低電源電壓、較高頻率以及芯片上相關電路產生額外噪聲的設計將不那么容易受到攻擊。此外，加密器中的設計技術可能會影響對 DPA 攻擊的敏感性，并且通過頻繁更改密鑰，使得攻擊者無法在更改密鑰之前捕獲足夠的數據來確定密鑰，從而無法做到這一點。我并不是說這是不可能的，但與使用FPGA實現AES的典型應用相比，DPA對智能卡，公鑰算法和微處理器實現的威脅更大。也就是說，與沒有加密相比，向系統添加加密的安全性是向前邁出的一大步。

靜態數據存在不同的問題。機密數據顯然可以在磁盤上被攻擊者訪問和更改。加密存儲的兩個重要標準是數據的大小不變，并且相同的明文加密并存儲在多個位置應始終具有不同的密文。還希望對扇區進行隨機訪問，而不是堅持加密和解密完整文件。

不擴大數據的要求是，磁盤可以存儲相同數量的數據，無論是否加密。如果沒有數據擴展選項以包含額外的完整性檢查值（ICV），則很難提供身份驗證，即保證加密數據未被篡改。

磁盤上相同的數據應該總是不同的原因是它可能會揭示數據的結構（類似于上一篇博客中提到的ECB模式問題）。它為攻擊打開了漏洞，其中系統被指示加密已知的所需數據（例如，指示某人在其銀行帳戶中有1，000，000美元的記錄），然后將其復制到磁盤上的另一個位置（在這種情況下，通過攻擊者自己的銀行帳戶記錄）。避免這種情況的方案是一種稱為AES-XTS（IEEE標準1619）的變體。XTS IP 核比基本的 AES 設計更復雜，它使用兩個不同的密鑰來加密數據。它考慮了數據的扇區地址，以確保相同的數據不會重復。

另一個考慮因素是，雖然加密可確保數據的機密性，但它不會提供有關郵件是否損壞或惡意更改的任何信息。這對于金融交易等應用程序至關重要，其中消息中更改的數字可能會將付款從$ 1，000更改為$ 9，000。AES有一個解決方案 - 它在加密數據時對數據執行“哈希”，然后在消息末尾包含完整性檢查值（ICV）。這會擴展數據包長度，但會增加用戶的值，因為可以檢測到并拒絕被篡改的消息。

用于身份驗證和加密的最流行的 IP 核稱為 AES-GCM。AES-GCM的好處是整個操作可以流水線化，FPGA可以支持100G數據速率。這是用FPGA不動產換取性能的又一個例子。AES-GCM內核比基本的AES實現更復雜，但構成了更廣泛的加密子系統的基礎，正如我們將在第3部分中看到的那樣。