No, no es posible recuperar una clave AES de, incluso, un gran número de conocidos de texto-texto cifrado pares. De hecho, este es uno de los requisitos de la definición de una "fuerte cifrado de bloque".
Para ser más precisos, "no es públicamente conocido manera de extraer la llave con la no-trivial probabilidad de que, dado cualquier número de texto-texto cifrado pares, en una práctica cantidad de tiempo a través de un práctico cantidad de recursos de computación."
De hecho, para ser considerado "bueno", AES debe defender contra ataques más fuertes que la que usted menciona. Por ejemplo, incluso si se llega a elegir el plaintexts y se le da la ciphertexts bajo algunos de los secretos clave, todavía no debe ser capaz de recuperar la clave (esto se llama un "elegido ataque de texto claro").
Incluso si usted consigue elegir plaintexts (y la correspondiente ciphertexts), y puede elegir ciphertexts (y la correspondiente plaintexts), todavía no deberá ser capaz de recuperar la clave. Esto se llama un "texto cifrado elegido ataque".
El "estándar de oro" para los cifrados en bloque, sin embargo, no es ninguno de estos. Es aún más exigente de la prueba denominada "indistinguishability", y puede ser afirmado en varias maneras. Voy informalmente dar el que generalmente se llama IND-CPA.
Supongamos que hay dos cajas negras que buscar en el exterior de la misma (tanto tomar de 128 bits y la salida de 128 bits), pero internamente uno es AES bajo un aleatoriamente elegido (pero oculto). Los mapas de otros de sus 128 bits de entrada a un aleatoria de 128 bits de salida, pero cuidado de no asignar dos entradas diferentes para la misma salida (es decir, es una función invertible, pero esa es la única restricción).
Con esta configuración en su lugar, considere la posibilidad de que un atacante (también conocido como un "adversario") que se permite la consulta de uno y otro cuadro con 128 bits cadenas de su elección. Para cada consulta, ella recibe una de 128 bits de respuesta que es el AES de cifrado o una cadena aleatoria.
En orden para AES para ser considerado un "fuerte" de cifrado de bloque, ningún adversario que se ejecuta en "razonable" tiempo de uso "razonable" que los recursos deben ser capaces de decir que la caja negra es que con lo mejor de un .5+$\epsilon$ de probabilidad, donde $\epsilon$ es un "pequeño" número positivo.
Observe que el objetivo es no -clave de recuperación de aquí: a pesar de la recuperación de la clave sería sin duda suficiente, el adversario tiene mucho más fácil la meta aquí. Ella simplemente tiene que saber qué cuadro es que y gana.
Se cree que AES disfruta de IND-CPA, pero no hay ninguna prueba de esto. De hecho, es probable que nunca sea una prueba. Así que supongamos que es cierto, tanto como suponemos factorizar el producto de dos números primos es intractible. La buena noticia es que, después de estas inquietantes hipótesis alrededor de las primitivas criptográficas, todo lo construido sobre ellos (los modos de operación, MAC esquemas de firmas, SSL, SSH, el voto, el cripto-dinero en efectivo, etc) puede ser probado seguro bajo el supuesto de que los tipos primitivos son seguras.
