Первая (опубликованная) атака на полнораундный AES
Опубликована первая атака на полнораундный алгоритм AES с длиной ключа 256 бит: показано, что AES не соответствует модели идеального шифра, введено понятие дифференциальной q-мультиколлизии.Кроме того, опубликовано описание атаки на связанных ключах, требующей 2^35 ключей и 2^120 данных. На основе этой атаки возможно восстановление ключа за 2^131 затрат времени и 2^65 памяти.