Ich füge eine Antwort als Community-Wiki hinzu, weil ich glaube, dass die akzeptierte Antwort gefährlich irreführend ist. Hier ist meine Argumentation:

Die Frage ist, ob die AES-Schlüssel abgeleitet werden können. In dieser Hinsicht ist die akzeptierte Antwort richtig: Dies wird als bekannter Klartextangriff bezeichnet, und AES ist gegen diese Art von Angriff resistent. Ein Angreifer kann dies also nicht nutzen, um den Schlüssel abzuleiten und mit der gesamten Datenbank davonzukommen.

Hier spielt sich jedoch ein weiterer potenziell gefährlicher Angriff ab: a Ciphertext Indistinguishablity Attack. Aus Wikipedia:

Ununterscheidbarkeit von Chiffretext ist eine Eigenschaft vieler Verschlüsselungsschemata. Wenn ein Kryptosystem die Eigenschaft der Ununterscheidbarkeit besitzt, kann ein Gegner intuitiv keine Paare von Chiffretexten anhand der von ihm verschlüsselten Nachricht unterscheiden.

Das OP hat uns gezeigt, dass diese Spalte eine enthält zwei mögliche Werte, und da die Verschlüsselung deterministisch ist (dh keine zufällige IV verwendet), kann der Angreifer sehen, welche Zeilen denselben Wert haben. Der Angreifer muss lediglich den Klartext für diese Spalte für eine einzelne Zeile ermitteln und die Verschlüsselung für die gesamte Spalte geknackt haben. Schlechte Nachrichten, wenn Sie möchten, dass diese Daten privat bleiben - ich gehe davon aus, dass Sie sie zuerst verschlüsselt haben.

Schadensbegrenzung: Um sich davor zu schützen, führen Sie Ihre Verschlüsselung durch nicht deterministisch (oder dem Angreifer zumindest nicht deterministisch erscheinen), so dass wiederholte Verschlüsselungen desselben Klartextes unterschiedliche Chiffretexte ergeben. Sie können dies beispielsweise tun, indem Sie AES im CBC-Modus (Cipher Block Chaining) mit einem zufälligen Initialisierungsvektor (IV) verwenden. Verwenden Sie einen sicheren Zufallszahlengenerator, um für jede Zeile eine neue IV zu generieren und die IV in der Tabelle zu speichern. Auf diese Weise kann der Angreifer ohne den Schlüssel nicht erkennen, welche Zeilen übereinstimmenden Klartext haben.

Wenn für eine Blockverschlüsselung mit einem n -Bit-Schlüssel bei einem Klartextblock und dem entsprechenden Chiffretext der Schlüssel in weniger als 2 ^{n-1 erraten werden kann sup>} Schritt im Durchschnitt, dann wird diese Blockverschlüsselung als "kaputt" bezeichnet und Kryptographen legen Wert darauf, sie nicht zu verwenden. Das AES ist (noch) nicht kaputt. Keine Sorge.

Es können jedoch noch einige Dinge gesagt werden:

• Mit einem Klartext und dem entsprechenden Chiffretext kann ein Angreifer überprüfen ein potenzieller Schlüsselwert.
• Der Wert 2 ^{n-1 sup>} ist tatsächlich halb so groß wie der Schlüsselraum. Die Idee ist, dass der Angreifer alle möglichen Schlüssel ausprobieren kann, bis einer übereinstimmt. Im Durchschnitt muss er die Hälfte der Tasten ausprobieren, bevor er die richtige trifft. Dies setzt voraus, dass der Schlüsselraum die Größe 2 ^{n sup>} hat. Sie haben immer noch die Möglichkeit, den Schlüsselraum zu verkleinern: Wenn Sie beispielsweise entscheiden, dass Ihr Schlüssel der Name einer US-Stadt ist, ist die Anzahl der möglichen Schlüssel sehr viel geringer (es dürfen nicht mehr als 100000 Städte in den USA sein). . Daher erhalten Sie die versprochene 128-Bit-Sicherheit nur dann, wenn Ihr Schlüsselgenerierungsprozess tatsächlich einen 128-Bit-Schlüssel erzeugt.
• Sie verschlüsseln anscheinend jeden Wert, indem Sie ihn direkt in einen AES-Kern stecken. Da AES deterministisch ist, bedeutet dies, dass zwei Zellen mit demselben Wert denselben verschlüsselten Block ergeben, und jeder Angreifer kann dies bemerken. Mit anderen Worten, Sie verlieren Informationen darüber, welche Zellen einander gleich sind. Abhängig von Ihrer Situation kann dies ein Problem sein oder auch nicht. Sie sollten sich dessen bewusst sein.
• Sie sagen nicht, wie Sie mit Werten umgehen, die länger als 16 Byte sind. Dies ist kein einfaches Problem. Im Allgemeinen erfordert dies einen Verkettungsmodus wie CBC und einen Initialisierungsvektor (dies hängt vom Modus ab; für CBC einen 16-Byte-Zufallswert - a neue IV für jeden verschlüsselten Wert) (dies kann auch den Informationsverlust vom vorherigen Punkt beheben).

Die Antwort: Nein, der AES-Schlüssel kann in diesem Szenario nicht wiederhergestellt werden. AES ist gegen Angriffe im bekannten Klartext geschützt. Dies bedeutet, dass der Angreifer den AES-Schlüssel nicht wiederherstellen kann, selbst wenn er den Klartext und den entsprechenden Chiffretext kennt (seine Verschlüsselung unter einem unbekannten AES-Schlüssel). Insbesondere kann der Angreifer den AES-Schlüssel nicht schneller wiederherstellen, als einfach mögliche Schlüssel nacheinander auszuprobieren. Dies ist ein Prozess, der länger dauert als die Lebensdauer unserer Zivilisation, vorausgesetzt, der AES-Schlüssel wird zufällig ausgewählt.

PS Mir ist aufgefallen, dass alles, was Sie für die Verschlüsselung verwenden, keine IV zu verwenden scheint. Dies ist ein Sicherheitsrisiko. Ich weiß nicht, welchen Betriebsmodus Sie verwenden, aber Sie sollten einen angesehenen Verschlüsselungsmodus (z. B. CBC-Modusverschlüsselung, CTR-Modusverschlüsselung) mit einer zufälligen IV verwenden. Die Tatsache, dass Sie durch mehrmaliges Verschlüsseln derselben Nachricht jedes Mal denselben Chiffretext erhalten, ist ein Sicherheitsleck, das besser vermieden werden sollte. Sie können dieses Leck vermeiden, indem Sie eine Standardbetriebsart mit einer geeigneten IV verwenden. (Sie sollten wahrscheinlich auch einen Nachrichtenauthentifizierungscode (MAC) verwenden, um den Chiffretext zu authentifizieren und Änderungen daran zu verhindern.)

Salzen Sie Ihre Verschlüsselung.

Auf diese Weise enthält Ihre Verschlüsselung keine Muster. (Es gibt auch andere Vorteile!)

https://stackoverflow.com/questions/5051007/what-is-the-purpose-of-salt

AES ist nicht so einfach wie nur einen Regenbogentisch zu bauen. Das erste, was Sie erkennen müssen, ist, dass die Tabelle einen Initialisierungsvektor benötigt. Solange Sie dies regelmäßig ändern, würde das Erstellen eines Regenbogentisches (was nicht wirklich realistisch ist) sehr, sehr lange dauern. Größenordnungen lang. Da eine typische Regenbogentabelle im Wesentlichen zweidimensional ist, benötigen Sie im Wesentlichen einen Würfel mit Ergebnismengen, um sowohl die IV als auch den Schlüssel zu ermitteln.

Wenn Sie den Beitrag von Thomas Pornin lesen, geht er ziemlich detailliert darauf ein Dies bedeutet, dass das Ergebnis brutal erzwungen wird.

Die realistische Sorge ist, dass jemand mit Zugriff auf die Datenbank einen String aus einem anderen Feld einfügen kann (vermutlich, weil Sie keinen Zufall verwenden Auffüllen des Werts in der Spalte pro Element. Oder Seeding.)

Wenn Sie den Wert setzen, tritt dieses Problem nicht auf, und der einzige (realistische) Angriff auf den Chiffretext selbst wird erheblich erschwert .