ProHoster > Bloc > Administració > El millor de la seva classe: la història de l'estàndard de xifratge AES

El millor de la seva classe: la història de l'estàndard de xifratge AES

El millor de la seva classe: la història de l'estàndard de xifratge AES
Des del maig de 2020, les vendes oficials de discs durs externs WD My Book que admeten el xifratge de maquinari AES amb una clau de 256 bits han començat a Rússia. A causa de les restriccions legals, abans aquests dispositius només es podien comprar a les botigues d'electrònica en línia estrangeres o al mercat "gris", però ara qualsevol pot adquirir una unitat protegida amb una garantia de 3 anys de Western Digital. En honor a aquest esdeveniment important, vam decidir fer una breu excursió a la història i esbrinar com va aparèixer l'Estàndard de xifratge avançat i per què és tan bo en comparació amb les solucions de la competència.

Durant molt de temps, l'estàndard oficial de xifratge simètric als Estats Units va ser DES (Data Encryption Standard), desenvolupat per IBM i inclòs a la llista de Federal Information Processing Standards el 1977 (FIPS 46-3). L'algorisme es basa en els desenvolupaments obtinguts durant un projecte d'investigació amb el nom en codi Lucifer. Quan el 15 de maig de 1973, l'Oficina Nacional d'Estàndards dels Estats Units va anunciar un concurs per crear un estàndard de xifratge per a les agències governamentals, la corporació nord-americana va entrar a la carrera criptogràfica amb la tercera versió de Lucifer, que utilitzava una xarxa Feistel actualitzada. I, juntament amb altres competidors, va fracassar: ni un sol dels algorismes presentats al primer concurs va complir els estrictes requisits formulats pels experts de NBS.

El millor de la seva classe: la història de l'estàndard de xifratge AES
Per descomptat, IBM no podia acceptar simplement la derrota: quan la competició es va reiniciar el 27 d'agost de 1974, la corporació nord-americana va tornar a presentar una sol·licitud, presentant una versió millorada de Llucifer. Aquesta vegada el jurat no va tenir ni una queixa: després d'haver realitzat un treball competent sobre els errors, IBM va eliminar amb èxit totes les mancances, de manera que no hi havia res a queixar-se. Després d'haver guanyat una victòria contundent, Lucifer va canviar el seu nom a DES i es va publicar al Registre Federal el 17 de març de 1975.

Tanmateix, durant els simposis públics organitzats el 1976 per discutir el nou estàndard criptogràfic, DES va ser molt criticat per la comunitat d'experts. El motiu d'això van ser els canvis fets a l'algoritme pels especialistes de la NSA: en particular, la longitud de la clau es va reduir a 56 bits (inicialment Lucifer admetia treballar amb claus de 64 i 128 bits) i es va canviar la lògica dels blocs de permutació. . Segons els criptògrafs, les "millores" no tenien sentit i l'únic que l'Agència de Seguretat Nacional s'esforçava amb la implementació de les modificacions era poder veure lliurement els documents xifrats.

En relació amb aquestes acusacions, es va crear una comissió especial sota el Senat dels EUA, l'objectiu de la qual era verificar la validesa de les accions de la NSA. L'any 1978 es va publicar un informe després de la investigació, que deia el següent:

  • Els representants de l'NSA només van participar en la finalització del DES de manera indirecta, i la seva contribució només es refereix als canvis en el funcionament dels blocs de permutació;
  • la versió final de DES va resultar més resistent a la pirateria i a l'anàlisi criptogràfica que l'original, de manera que els canvis estaven justificats;
  • una longitud de clau de 56 bits és més que suficient per a la gran majoria d'aplicacions, perquè trencar aquest xifrat requeriria un superordinador que costaria almenys diverses desenes de milions de dòlars, i com que els atacants normals i fins i tot els hackers professionals no tenen aquests recursos, no hi ha res de què preocupar-se.

Les conclusions de la comissió es van confirmar parcialment l'any 1990, quan els criptògrafs israelians Eli Biham i Adi Shamir, treballant en el concepte de criptoanàlisi diferencial, van realitzar un gran estudi d'algorismes de blocs, inclòs DES. Els científics van concloure que el nou model de permutació era molt més resistent als atacs que l'original, la qual cosa significa que la NSA realment va ajudar a tapar diversos forats a l'algorisme.

El millor de la seva classe: la història de l'estàndard de xifratge AES
Adi Shamir

Al mateix temps, la limitació de la longitud de la clau va resultar ser un problema, i molt greu, que va ser demostrat de manera convincent el 1998 per l'organització pública Electronic Frontier Foundation (EFF) com a part de l'experiment DES Challenge II, realitzat sota els auspicis de RSA Laboratory. Es va construir un superordinador específicament per trencar DES, amb el nom en clau EFF DES Cracker, que va ser creat per John Gilmore, cofundador d'EFF i director del projecte DES Challenge, i Paul Kocher, fundador de Cryptography Research.

El millor de la seva classe: la història de l'estàndard de xifratge AES
Processador EFF DES Cracker

El sistema que van desenvolupar va poder trobar amb èxit la clau d'una mostra xifrada mitjançant la força bruta en només 56 hores, és a dir, en menys de tres dies. Per fer-ho, DES Cracker havia de comprovar aproximadament una quarta part de totes les combinacions possibles, la qual cosa significa que fins i tot en les circumstàncies més desfavorables, la pirateria trigaria unes 224 hores, és a dir, no més de 10 dies. Al mateix temps, el cost del superordinador, tenint en compte els fons gastats en el seu disseny, era de només 250 mil dòlars. No és difícil endevinar que avui és encara més fàcil i més barat descifrar aquest codi: no només el maquinari s'ha tornat molt més potent, sinó que també gràcies al desenvolupament de les tecnologies d'Internet, un pirata informàtic no ha de comprar ni llogar el equip necessari: n'hi ha prou per crear una xarxa de bots d'ordinadors infectats amb un virus.

Aquest experiment va demostrar clarament com d'obsolet és el DES. I com que aleshores l'algorisme s'utilitzava en gairebé el 50% de les solucions en l'àmbit del xifratge de dades (segons la mateixa estimació de l'EFF), la qüestió de trobar una alternativa es va fer més urgent que mai.

Nous reptes - nova competició

El millor de la seva classe: la història de l'estàndard de xifratge AES
Per ser justos, cal dir que la recerca d'un substitut per a l'estàndard de xifrat de dades va començar gairebé simultàniament amb la preparació de l'EFF DES Cracker: l'Institut Nacional d'Estàndards i Tecnologia (NIST) dels EUA va anunciar el 1997 el llançament d'un Competició d'algoritmes de xifratge dissenyada per identificar un nou "estàndard d'or" per a la criptoseguretat. I si antigament un esdeveniment semblant es feia exclusivament "per a la nostra gent", aleshores, tenint en compte l'experiència infructuosa de fa 30 anys, el NIST va decidir fer el concurs totalment obert: qualsevol empresa i qualsevol persona hi podia participar. això, independentment de la ubicació o la ciutadania.

Aquest enfocament es va justificar fins i tot en l'etapa de selecció dels sol·licitants: entre els autors que van sol·licitar la participació al concurs Advanced Encryption Standard hi havia criptòlegs de fama mundial (Ross Anderson, Eli Biham, Lars Knudsen) i petites empreses de TI especialitzades en ciberseguretat (Counterpane). , i grans corporacions (German Deutsche Telekom) i institucions educatives (KU Leuven, Bèlgica), així com start-ups i petites empreses de les quals pocs han sentit parlar fora dels seus països (per exemple, Tecnologia Apropriada Internacional de Costa Rica).

Curiosament, aquesta vegada el NIST només va aprovar dos requisits bàsics per als algorismes participants:

  • el bloc de dades ha de tenir una mida fixa de 128 bits;
  • l'algorisme ha de suportar almenys tres mides de clau: 128, 192 i 256 bits.

Aconseguir aquest resultat va ser relativament senzill, però, com diuen, el diable està en els detalls: hi havia molts més requisits secundaris i era molt més difícil complir-los. Mentrestant, va ser sobre la seva base que els revisors del NIST van seleccionar els concursants. Aquests són els criteris que havien de complir els aspirants a la victòria:

  1. capacitat de suportar qualsevol atac criptoanalític conegut en el moment de la competició, inclosos els atacs a través de canals de tercers;
  2. l'absència de claus de xifratge febles i equivalents (equivalent significa aquelles claus que, tot i que tenen diferències significatives entre si, donen lloc a xifrats idèntics);
  3. la velocitat de xifratge és estable i aproximadament la mateixa a totes les plataformes actuals (de 8 a 64 bits);
  4. optimització per a sistemes multiprocessador, suport per a la paral·lelització d'operacions;
  5. requisits mínims per a la quantitat de memòria RAM;
  6. no hi ha restriccions d'ús en escenaris estàndard (com a base per construir funcions hash, PRNG, etc.);
  7. L'estructura de l'algorisme ha de ser raonable i fàcil d'entendre.

L'últim punt pot semblar estrany, però si hi penses bé, té sentit, perquè un algorisme ben estructurat és molt més fàcil d'analitzar i també és molt més difícil amagar-hi un "marcador" amb l'ajuda de que un desenvolupador podria obtenir accés il·limitat a dades xifrades.

L'acceptació de sol·licituds per al concurs Advanced Encryption Standard va durar un any i mig. Hi van participar un total de 15 algorismes:

  1. CAST-256, desenvolupat per l'empresa canadenca Entrust Technologies basat en CAST-128, creat per Carlisle Adams i Stafford Tavares;
  2. Crypton, creat pel criptòleg Chae Hoon Lim de l'empresa de ciberseguretat de Corea del Sud Future Systems;
  3. DEAL, el concepte del qual va ser proposat originalment pel matemàtic danès Lars Knudsen, i més tard les seves idees van ser desenvolupades per Richard Outerbridge, que va sol·licitar la participació al concurs;
  4. DFC, un projecte conjunt de l'Escola d'Educació de París, el Centre Nacional de Recerca Científica de França (CNRS) i la corporació de telecomunicacions France Telecom;
  5. E2, desenvolupat sota els auspicis de la companyia de telecomunicacions més gran del Japó, Nippon Telegraph and Telephone;
  6. FROG, una creació de l'empresa costarricense Tecnologia Apropiada Internacional;
  7. HPC, inventat pel criptòleg i matemàtic nord-americà Richard Schreppel de la Universitat d'Arizona;
  8. LOKI97, creat pels criptògrafs australians Lawrence Brown i Jennifer Seberry;
  9. Magenta, desenvolupat per Michael Jacobson i Klaus Huber per a l'empresa alemanya de telecomunicacions Deutsche Telekom AG;
  10. MARS d'IBM, en la creació de la qual va participar Don Coppersmith, un dels autors de Lucifer;
  11. RC6, escrit per Ron Rivest, Matt Robshaw i Ray Sydney específicament per a la competició AES;
  12. Rijndael, creat per Vincent Raymen i Johan Damen de la Universitat Catòlica de Lovaina;
  13. SAFER+, desenvolupat per la corporació californiana Cylink juntament amb l'Acadèmia Nacional de Ciències de la República d'Armènia;
  14. Serpent, creat per Ross Anderson, Eli Beaham i Lars Knudsen;
  15. Twofish, desenvolupat pel grup de recerca de Bruce Schneier basat en l'algoritme criptogràfic Blowfish proposat per Bruce el 1993.

A partir dels resultats de la primera ronda, es van identificar 5 finalistes, entre ells Serpent, Twofish, MARS, RC6 i Rijndael. Els membres del jurat van trobar defectes en gairebé tots els algorismes enumerats, excepte un. Qui va ser el guanyador? Ampliem una mica la intriga i primer considerem els principals avantatges i desavantatges de cadascuna de les solucions enumerades.

MARS

En el cas del "déu de la guerra", els experts van assenyalar la identitat del procediment de xifrat i desxifrat de dades, però aquí és on els seus avantatges eren limitats. L'algoritme d'IBM era sorprenentment famós d'energia, el que el feia inadequat per treballar en entorns amb recursos limitats. També hi va haver problemes amb la paral·lelització dels càlculs. Per funcionar amb eficàcia, MARS requeria suport de maquinari per a la multiplicació de 32 bits i la rotació de bits variables, la qual cosa va tornar a imposar limitacions a la llista de plataformes compatibles.

MARS també va resultar ser bastant vulnerable als atacs de temporització i potència, va tenir problemes amb l'expansió de la clau sobre la marxa i la seva complexitat excessiva va dificultar l'anàlisi de l'arquitectura i va crear problemes addicionals en l'etapa d'implementació pràctica. En resum, en comparació amb la resta de finalistes, MARS semblava un autèntic outsider.

RC6

L'algoritme va heretar algunes de les transformacions del seu predecessor, RC5, que s'havia investigat a fons anteriorment, que, combinat amb una estructura senzilla i visual, el va fer completament transparent per als experts i va eliminar la presència de "adreces d'interès". A més, RC6 va demostrar velocitats de processament de dades rècord en plataformes de 32 bits, i els procediments de xifratge i desxifrat es van implementar de manera absolutament idèntica.

No obstant això, l'algoritme tenia els mateixos problemes que el MARS esmentat anteriorment: hi havia vulnerabilitat als atacs de canal lateral, dependència del rendiment del suport per a operacions de 32 bits, així com problemes amb la computació paral·lela, expansió de claus i demandes de recursos de maquinari. . En aquest sentit, no era de cap manera adequat per al paper de guanyador.

twofish

Twofish va resultar ser bastant ràpid i ben optimitzat per treballar amb dispositius de baix consum, va fer un treball excel·lent per ampliar les tecles i va oferir diverses opcions d'implementació, que van permetre adaptar-lo subtilment a tasques específiques. Al mateix temps, els "dos peixos" van resultar ser vulnerables als atacs a través de canals laterals (en particular, en termes de temps i consum d'energia), no eren especialment amigables amb els sistemes multiprocessador i eren massa complexos, que, per cert , també va afectar la velocitat d'expansió de la clau.

Serp

L'algoritme tenia una estructura senzilla i entenedora, que simplificava significativament la seva auditoria, no era especialment exigent amb la potència de la plataforma de maquinari, tenia suport per expandir tecles sobre la marxa i era relativament fàcil de modificar, cosa que el va fer destacar del seu oponents. Malgrat això, Serpent va ser, en principi, el més lent dels finalistes, a més, els procediments per xifrar i desxifrar la informació que hi havia eren radicalment diferents i requerien enfocaments fonamentalment diferents per a la implementació.

Rijndael

Rijndael va resultar ser extremadament a prop de l'ideal: l'algorisme complia totalment els requisits del NIST, tot i que no era inferior, i pel que fa a la totalitat de característiques, notablement superior als seus competidors. Reindal només tenia dos punts febles: la vulnerabilitat als atacs de consum d'energia al procediment d'expansió de claus, que és un escenari molt específic, i certs problemes amb l'expansió de la clau al vol (aquest mecanisme funcionava sense restriccions només per a dos competidors: Serpent i Twofish). . A més, segons els experts, Reindal tenia un marge de força criptogràfica lleugerament inferior al de Serpent, Twofish i MARS, que, tanmateix, va ser més que compensat per la seva resistència a la gran majoria dels tipus d'atac de canal lateral i un ampli ventall. d'opcions d'implementació.

categoria

Serp

twofish

MARS

RC6

Rijndael

Força criptogràfica

+

+

+

+

+

Reserva de força criptogràfica

++

++

++

+

+

Velocitat de xifratge quan s'implementa al programari

-

±

±

+

+

Velocitat d'expansió de la clau quan s'implementa al programari

±

-

±

±

+

Targetes intel·ligents amb gran capacitat

+

+

-

±

++

Targetes intel·ligents amb recursos limitats

±

+

-

±

++

Implementació de maquinari (FPGA)

+

+

-

±

+

Implementació de maquinari (xip especialitzat)

+

±

-

-

+

Protecció contra temps d'execució i atacs de potència

+

±

-

-

+

Protecció contra atacs de consum d'energia al procediment d'expansió de claus

±

±

±

±

-

Protecció contra atacs de consum d'energia en implementacions de targetes intel·ligents

±

+

-

±

+

Capacitat d'ampliar la clau sobre la marxa

+

+

±

±

±

Disponibilitat d'opcions d'implementació (sense pèrdua de compatibilitat)

+

+

±

±

+

Possibilitat de càlcul paral·lel

±

±

±

±

+

Pel que fa a la totalitat de característiques, Reindal es va situar cap i espatlles per sobre dels seus competidors, de manera que el resultat de la votació final va resultar força lògic: l'algoritme va aconseguir una victòria contundent, rebent 86 vots a favor i només 10 en contra. Serpent va ocupar una respectable segona posició amb 59 vots, mentre que Twofish va quedar en tercera posició: 31 membres del jurat la van defensar. Els va seguir RC6, guanyant 23 vots, i MARS, naturalment, va quedar en darrer lloc, rebent només 13 vots a favor i 83 en contra.

El 2 d'octubre de 2000, Rijndael va ser declarat guanyador del concurs AES, canviant tradicionalment el seu nom a Advanced Encryption Standard, pel qual es coneix actualment. El procediment d'estandardització va durar aproximadament un any: el 26 de novembre de 2001, AES va ser inclòs a la llista d'estàndards de processament d'informació federal, rebent l'índex FIPS 197. El nou algorisme també va ser molt apreciat per la NSA, i des del juny de 2003, els EUA L'Agència de Seguretat Nacional fins i tot va reconèixer que AES amb un xifratge de clau de 256 bits és prou fort com per garantir la seguretat dels documents de màxim secret.

Les unitats externes WD My Book admeten el xifratge de maquinari AES-256

Gràcies a la combinació d'alta fiabilitat i rendiment, Advanced Encryption Standard va guanyar ràpidament el reconeixement mundial, convertint-se en un dels algorismes de xifratge simètric més populars del món i inclòs en moltes biblioteques criptogràfiques (OpenSSL, GnuTLS, Crypto API de Linux, etc.). Ara l'AES s'utilitza àmpliament en aplicacions empresarials i de consum, i és compatible amb una gran varietat de dispositius. En particular, el xifratge de maquinari AES-256 s'utilitza a la família de discs externes My Book de Western Digital per garantir la protecció de les dades emmagatzemades. Fem una ullada més de prop a aquests dispositius.

El millor de la seva classe: la història de l'estàndard de xifratge AES
La línia de discs durs d'escriptori WD My Book inclou sis models de diferents capacitats: 4, 6, 8, 10, 12 i 14 terabytes, la qual cosa us permet triar el dispositiu que millor s'adapti a les vostres necessitats. De manera predeterminada, els discs durs externs utilitzen el sistema de fitxers exFAT, que garanteix la compatibilitat amb una àmplia gamma de sistemes operatius, inclosos Microsoft Windows 7, 8, 8.1 i 10, així com Apple macOS versió 10.13 (High Sierra) i superior. Els usuaris del sistema operatiu Linux tenen l'oportunitat de muntar un disc dur mitjançant el controlador exfat-nofuse.

My Book es connecta a l'ordinador mitjançant una interfície USB 3.0 d'alta velocitat, compatible amb USB 2.0. D'una banda, això permet transferir fitxers a la màxima velocitat possible, perquè l'ample de banda USB SuperSpeed ​​​​és de 5 Gbps (és a dir, 640 MB/s), que és més que suficient. Al mateix temps, la funció de compatibilitat enrere garanteix la compatibilitat amb gairebé qualsevol dispositiu llançat en els darrers 10 anys.

El millor de la seva classe: la història de l'estàndard de xifratge AES
Tot i que My Book no requereix cap instal·lació de programari addicional gràcies a la tecnologia Plug and Play que detecta i configura automàticament els dispositius perifèrics, us recomanem que utilitzeu el paquet de programari propietari WD Discovery que inclou cada dispositiu.

El millor de la seva classe: la història de l'estàndard de xifratge AES
El conjunt inclou les aplicacions següents:

Utilitats WD Drive

El programa us permet obtenir informació actualitzada sobre l'estat actual de la unitat basada en dades SMART i comprovar si hi ha sectors defectuosos al disc dur. A més, amb l'ajuda de Drive Utilities, podeu destruir ràpidament totes les dades desades al vostre My Book: en aquest cas, els fitxers no només s'esborraran, sinó que també s'escriuraran completament diverses vegades, de manera que ja no serà possible. per restaurar-los un cop finalitzat el procediment.

Còpia de seguretat de WD

Mitjançant aquesta utilitat, podeu configurar les còpies de seguretat segons una programació especificada. Val la pena dir que WD Backup admet treballar amb Google Drive i Dropbox, alhora que us permet seleccionar qualsevol possible combinació font-destinació quan creeu una còpia de seguretat. Així, podeu configurar la transferència automàtica de dades de My Book al núvol o importar els fitxers i carpetes necessaris dels serveis llistats tant a un disc dur extern com a una màquina local. A més, és possible sincronitzar amb el teu compte de Facebook, la qual cosa et permet crear automàticament còpies de seguretat de fotos i vídeos del teu perfil.

WD Security

És amb l'ajuda d'aquesta utilitat que podeu restringir l'accés a la unitat amb una contrasenya i gestionar el xifratge de dades. Per a això només cal especificar una contrasenya (la seva longitud màxima pot arribar als 25 caràcters), després de la qual es xifrarà tota la informació del disc i només els que coneguin la contrasenya podran accedir als fitxers desats. Per a més comoditat, WD Security us permet crear una llista de dispositius de confiança que, quan estiguin connectats, desbloquejaran automàticament My Book.

Destaquem que WD Security només proporciona una interfície visual convenient per gestionar la protecció criptogràfica, mentre que el xifratge de dades el porta a terme la pròpia unitat externa a nivell de maquinari. Aquest enfocament ofereix una sèrie d'avantatges importants, a saber:

  • un generador de nombres aleatoris de maquinari, més que un PRNG, s'encarrega de crear claus de xifratge, que ajuda a aconseguir un alt grau d'entropia i augmentar la seva força criptogràfica;
  • durant el procediment de xifratge i desxifrat, les claus criptogràfiques no es descarreguen a la memòria RAM de l'ordinador, ni es creen còpies temporals dels fitxers processats en carpetes ocultes a la unitat del sistema, cosa que ajuda a minimitzar la probabilitat de la seva intercepció;
  • la velocitat del processament dels fitxers no depèn de cap manera del rendiment del dispositiu client;
  • Després d'activar la protecció, el xifrat de fitxers es realitzarà automàticament, "al vol", sense que requereixin accions addicionals per part de l'usuari.

Tot l'anterior garanteix la seguretat de les dades i permet eliminar gairebé completament la possibilitat de robatori d'informació confidencial. Tenint en compte les capacitats addicionals de la unitat, això fa que My Book sigui un dels millors dispositius d'emmagatzematge protegits disponibles al mercat rus.

Font: www.habr.com

Afegeix comentari