ProHoster > Blog > administration > Bedst i klassen: Historien om AES Encryption Standard

Bedst i klassen: Historien om AES Encryption Standard

Bedst i klassen: Historien om AES Encryption Standard
Siden maj 2020 er det officielle salg af eksterne WD My Book-harddiske, der understøtter AES-hardwarekryptering med en 256-bit nøgle, startet i Rusland. På grund af lovmæssige begrænsninger kunne sådanne enheder tidligere kun købes i udenlandske online elektronikbutikker eller på det "grå" marked, men nu kan enhver erhverve et beskyttet drev med en proprietær 3-års garanti fra Western Digital. Til ære for denne betydningsfulde begivenhed besluttede vi at lave en kort udflugt i historien og finde ud af, hvordan Advanced Encryption Standard så ud, og hvorfor den er så god sammenlignet med konkurrerende løsninger.

I lang tid var den officielle standard for symmetrisk kryptering i USA DES (Data Encryption Standard), udviklet af IBM og inkluderet på listen over Federal Information Processing Standards i 1977 (FIPS 46-3). Algoritmen er baseret på udviklinger opnået under et forskningsprojekt med kodenavnet Lucifer. Da US National Bureau of Standards den 15. maj 1973 annoncerede en konkurrence om at skabe en krypteringsstandard for offentlige myndigheder, deltog det amerikanske selskab i det kryptografiske kapløb med den tredje version af Lucifer, som brugte et opdateret Feistel-netværk. Og sammen med andre konkurrenter mislykkedes det: Ikke en eneste af de algoritmer, der blev indsendt til den første konkurrence, opfyldte de strenge krav, som NBS-eksperter havde formuleret.

Bedst i klassen: Historien om AES Encryption Standard
Selvfølgelig kunne IBM ikke blot acceptere nederlag: Da konkurrencen blev genstartet den 27. august 1974, indsendte det amerikanske selskab igen en ansøgning, der præsenterede en forbedret version af Lucifer. Denne gang havde juryen ikke en eneste klage: Efter at have udført kompetent arbejde på fejlene, fik IBM med succes elimineret alle manglerne, så der var ikke noget at klage over. Efter at have vundet en jordskredssejr ændrede Lucifer sit navn til DES og blev offentliggjort i Federal Register den 17. marts 1975.

Men under offentlige symposier organiseret i 1976 for at diskutere den nye kryptografiske standard, blev DES stærkt kritiseret af ekspertsamfundet. Årsagen til dette var ændringerne i algoritmen af ​​NSA-specialister: især blev nøglelængden reduceret til 56 bit (oprindeligt understøttede Lucifer arbejde med 64- og 128-bit nøgler), og logikken i permutationsblokkene blev ændret . Ifølge kryptografer var "forbedringerne" meningsløse, og det eneste, National Security Agency stræbte efter ved at implementere ændringerne, var at frit kunne se krypterede dokumenter.

I forbindelse med disse anklager blev der oprettet en særlig kommission under det amerikanske senat, hvis formål var at verificere gyldigheden af ​​NSA’s handlinger. I 1978 blev der efter undersøgelsen udgivet en rapport, som sagde følgende:

  • NSA-repræsentanter deltog kun indirekte i færdiggørelsen af ​​DES, og deres bidrag vedrørte kun ændringer i driften af ​​permutationsblokkene;
  • den endelige version af DES viste sig at være mere modstandsdygtig over for hacking og kryptografisk analyse end originalen, så ændringerne var berettigede;
  • en nøglelængde på 56 bit er mere end nok til langt de fleste applikationer, fordi at bryde en sådan chiffer ville kræve en supercomputer, der koster mindst flere titusinder af dollars, og da almindelige angribere og endda professionelle hackere ikke har sådanne ressourcer, der er intet at bekymre sig om.

Kommissionens konklusioner blev delvist bekræftet i 1990, da de israelske kryptografer Eli Biham og Adi Shamir, der arbejdede på konceptet differentiel kryptoanalyse, gennemførte en stor undersøgelse af blokalgoritmer, herunder DES. Forskerne konkluderede, at den nye permutationsmodel var meget mere modstandsdygtig over for angreb end den oprindelige, hvilket betyder, at NSA faktisk hjalp med at lukke flere huller i algoritmen.

Bedst i klassen: Historien om AES Encryption Standard
Adi Shamir

Samtidig viste begrænsningen af ​​nøglelængden sig at være et problem, og et meget alvorligt, som blev overbevisende bevist i 1998 af den offentlige organisation Electronic Frontier Foundation (EFF) som en del af DES Challenge II-eksperimentet, udført i regi af RSA Laboratory. En supercomputer blev bygget specielt til at knække DES, kodenavnet EFF DES Cracker, som blev skabt af John Gilmore, medstifter af EFF og direktør for DES Challenge-projektet, og Paul Kocher, grundlægger af Cryptography Research.

Bedst i klassen: Historien om AES Encryption Standard
Processor EFF DES Cracker

Systemet, de udviklede, var i stand til at finde nøglen til en krypteret prøve ved hjælp af brute force på kun 56 timer, det vil sige på mindre end tre dage. For at gøre dette var DES Cracker nødt til at kontrollere omkring en fjerdedel af alle mulige kombinationer, hvilket betyder, at selv under de mest ugunstige omstændigheder ville hacking tage omkring 224 timer, det vil sige ikke mere end 10 dage. Samtidig var prisen på supercomputeren, under hensyntagen til de midler, der blev brugt på dens design, kun 250 tusind dollars. Det er ikke svært at gætte på, at det i dag er endnu nemmere og billigere at knække en sådan kode: ikke kun er hardwaren blevet meget mere kraftfuld, men også takket være udviklingen af ​​internetteknologier behøver en hacker ikke at købe eller leje nødvendigt udstyr - det er ganske nok at oprette et botnet af pc'er inficeret med en virus.

Dette eksperiment viste tydeligt, hvor forældet DES er. Og da algoritmen på det tidspunkt blev brugt i næsten 50 % af løsningerne inden for datakryptering (ifølge samme EFF-estimat), blev spørgsmålet om at finde et alternativ mere presserende end nogensinde.

Nye udfordringer - ny konkurrence

Bedst i klassen: Historien om AES Encryption Standard
For at være retfærdig skal det siges, at søgningen efter en erstatning for datakrypteringsstandarden begyndte næsten samtidig med forberedelsen af ​​EFF DES Cracker: Det amerikanske National Institute of Standards and Technology (NIST) annoncerede tilbage i 1997 lanceringen af ​​en krypteringsalgoritmekonkurrence designet til at identificere en ny "guldstandard" for kryptosikkerhed. Og hvis et lignende arrangement i gamle dage udelukkende blev afholdt "for vores egne folk", så besluttede NIST, i betragtning af den mislykkede oplevelse for 30 år siden, at gøre konkurrencen fuldstændig åben: enhver virksomhed og enhver person kunne deltage i det, uanset placering eller statsborgerskab.

Denne tilgang retfærdiggjorde sig selv på tidspunktet for udvælgelsen af ​​ansøgere: blandt forfatterne, der ansøgte om deltagelse i Advanced Encryption Standard-konkurrencen, var verdensberømte kryptologer (Ross Anderson, Eli Biham, Lars Knudsen) og små it-virksomheder med speciale i cybersikkerhed (Counterpane ) , og store virksomheder (tyske Deutsche Telekom) og uddannelsesinstitutioner (KU Leuven, Belgien), samt nystartede virksomheder og små virksomheder, som få har hørt om uden for deres lande (f.eks. Tecnologia Apropriada Internacional fra Costa Rica).

Interessant nok godkendte NIST denne gang kun to grundlæggende krav til deltagende algoritmer:

  • datablokken skal have en fast størrelse på 128 bit;
  • Algoritmen skal understøtte mindst tre nøglestørrelser: 128, 192 og 256 bit.

At opnå et sådant resultat var relativt enkelt, men, som de siger, er djævelen i detaljerne: der var mange flere sekundære krav, og det var meget sværere at opfylde dem. I mellemtiden var det på deres grundlag, at NIST-anmelderne udvalgte deltagerne. Her er de kriterier, som ansøgere til sejr skulle opfylde:

  1. evne til at modstå ethvert kryptoanalytisk angreb kendt på konkurrencetidspunktet, herunder angreb gennem tredjepartskanaler;
  2. fraværet af svage og ækvivalente krypteringsnøgler (tilsvarende betyder de nøgler, der, selv om de har betydelige forskelle fra hinanden, fører til identiske cifre);
  3. krypteringshastigheden er stabil og omtrent den samme på alle nuværende platforme (fra 8 til 64-bit);
  4. optimering til multiprocessorsystemer, understøttelse af parallelisering af operationer;
  5. minimumskrav til mængden af ​​RAM;
  6. ingen begrænsninger for brug i standardscenarier (som grundlag for at konstruere hashfunktioner, PRNG'er osv.);
  7. Strukturen af ​​algoritmen skal være rimelig og let at forstå.

Det sidste punkt kan virke mærkeligt, men hvis man tænker over det, giver det mening, for en velstruktureret algoritme er meget nemmere at analysere, og det er også meget sværere at skjule et “bogmærke” i den, ved hjælp af som en udvikler kan få ubegrænset adgang til krypterede data.

Accepten af ​​ansøgninger til konkurrencen Advanced Encryption Standard varede halvandet år. I alt 15 algoritmer deltog i det:

  1. CAST-256, udviklet af det canadiske firma Entrust Technologies baseret på CAST-128, skabt af Carlisle Adams og Stafford Tavares;
  2. Crypton, skabt af kryptolog Chae Hoon Lim fra det sydkoreanske cybersikkerhedsfirma Future Systems;
  3. DEAL, hvis koncept oprindeligt blev foreslået af den danske matematiker Lars Knudsen, og senere blev hans ideer udviklet af Richard Outerbridge, der søgte om at deltage i konkurrencen;
  4. DFC, et fælles projekt af Paris School of Education, det franske nationale center for videnskabelig forskning (CNRS) og telekommunikationsselskabet France Telecom;
  5. E2, udviklet i regi af Japans største teleselskab, Nippon Telegraph and Telephone;
  6. FROG, udtænkt af det costaricanske firma Tecnologia Apropriada Internacional;
  7. HPC, opfundet af den amerikanske kryptolog og matematiker Richard Schreppel fra University of Arizona;
  8. LOKI97, skabt af de australske kryptografer Lawrence Brown og Jennifer Seberry;
  9. Magenta, udviklet af Michael Jacobson og Klaus Huber for det tyske teleselskab Deutsche Telekom AG;
  10. MARS fra IBM, hvor Don Coppersmith, en af ​​Lucifers forfattere, deltog i skabelsen;
  11. RC6, skrevet af Ron Rivest, Matt Robshaw og Ray Sydney specifikt til AES-konkurrencen;
  12. Rijndael, skabt af Vincent Raymen og Johan Damen fra det katolske universitet i Leuven;
  13. SAFER+, udviklet af det californiske selskab Cylink sammen med National Academy of Sciences i Republikken Armenien;
  14. Serpent, skabt af Ross Anderson, Eli Beaham og Lars Knudsen;
  15. Twofish, udviklet af Bruce Schneiers forskningsgruppe baseret på Blowfish kryptografiske algoritme foreslået af Bruce tilbage i 1993.

Baseret på resultaterne af første runde blev 5 finalister identificeret, herunder Serpent, Twofish, MARS, RC6 og Rijndael. Jurymedlemmerne fandt fejl i næsten hver eneste af de anførte algoritmer, undtagen én. Hvem var vinderen? Lad os udvide intrigen lidt og først overveje de vigtigste fordele og ulemper ved hver af de anførte løsninger.

MARS

I tilfældet med "krigsguden" bemærkede eksperter identiteten af ​​datakrypterings- og dekrypteringsproceduren, men det er her, dens fordele var begrænsede. IBM's algoritme var overraskende strømkrævende, hvilket gjorde den uegnet til at arbejde i miljøer med begrænsede ressourcer. Der var også problemer med parallelisering af beregninger. For at fungere effektivt krævede MARS hardwareunderstøttelse til 32-bit multiplikation og variabel-bit-rotation, hvilket igen pålagde begrænsninger på listen over understøttede platforme.

MARS viste sig også at være ret sårbar over for timing og kraftangreb, havde problemer med udvidelse af nøglen undervejs, og dens overdrevne kompleksitet gjorde det vanskeligt at analysere arkitekturen og skabte yderligere problemer i den praktiske implementeringsfase. Kort sagt, sammenlignet med de andre finalister lignede MARS en rigtig outsider.

RC6

Algoritmen arvede nogle af transformationerne fra sin forgænger, RC5, som var blevet grundigt undersøgt tidligere, hvilket kombineret med en enkel og visuel struktur gjorde den fuldstændig gennemsigtig for eksperter og eliminerede tilstedeværelsen af ​​"bogmærker." Derudover demonstrerede RC6 rekorddatabehandlingshastigheder på 32-bit platforme, og krypterings- og dekrypteringsprocedurerne blev implementeret helt identisk.

Algoritmen havde dog de samme problemer som ovennævnte MARS: der var sårbarhed over for sidekanalangreb, ydeevneafhængighed af understøttelse af 32-bit operationer, samt problemer med parallel computing, nøgleudvidelse og krav til hardwareressourcer . I denne henseende var han på ingen måde egnet til rollen som vinder.

To fisk

Twofish viste sig at være ret hurtig og godt optimeret til at arbejde på enheder med lavt strømforbrug, gjorde et fremragende stykke arbejde med at udvide nøgler og tilbød flere implementeringsmuligheder, som gjorde det muligt subtilt at tilpasse det til specifikke opgaver. Samtidig viste de "to fisk" sig at være sårbare over for angreb via sidekanaler (især med hensyn til tid og strømforbrug), var ikke specielt venlige med multiprocessorsystemer og var alt for komplekse, hvilket i øvrigt , påvirkede også hastigheden af ​​nøgleudvidelsen.

Slange

Algoritmen havde en enkel og forståelig struktur, som væsentligt forenklede dens revision, ikke var særlig krævende for hardwareplatformens kraft, havde understøttelse af udvidelse af nøgler i farten og var relativt nem at ændre, hvilket gjorde, at den skiller sig ud fra dens modstandere. På trods af dette var Serpent i princippet den langsomste af finalisterne, desuden var procedurerne for kryptering og dekryptering af informationer i den radikalt forskellige og krævede fundamentalt forskellige tilgange til implementering.

Rijndael

Rijndael viste sig at være ekstremt tæt på idealet: Algoritmen opfyldte fuldt ud NIST-kravene, selvom den ikke var ringere, men mærkbart overlegen i forhold til sine konkurrenter med hensyn til helheden af ​​dens egenskaber. Reindal havde kun to svagheder: sårbarhed over for energiforbrugsangreb på nøgleudvidelsesproceduren, som er et meget specifikt scenarie, og visse problemer med on-the-fly nøgleudvidelse (denne mekanisme fungerede uden begrænsninger for kun to konkurrenter - Serpent og Twofish) . Derudover havde Reindal ifølge eksperter en lidt lavere kryptografisk styrkemargin end Serpent, Twofish og MARS, hvilket dog blev mere end opvejet af sin modstand mod langt de fleste typer sidekanalangreb og en bred vifte af implementeringsmuligheder.

kategori

Slange

To fisk

MARS

RC6

Rijndael

Kryptografisk styrke

+

+

+

+

+

Kryptografisk styrkereserve

++

++

++

+

+

Krypteringshastighed, når den er implementeret i software

±

±

+

+

Nøgleudvidelseshastighed, når den implementeres i software

±

±

±

+

Smartkort med stor kapacitet

+

+

±

++

Smartkort med begrænsede ressourcer

±

+

±

++

Hardwareimplementering (FPGA)

+

+

±

+

Hardwareimplementering (specialiseret chip)

+

±

+

Beskyttelse mod eksekveringstid og magtangreb

+

±

+

Beskyttelse mod strømforbrugsangreb på nøgleudvidelsesproceduren

±

±

±

±

Beskyttelse mod strømforbrugsangreb på smartkortimplementeringer

±

+

±

+

Mulighed for at udvide nøglen i farten

+

+

±

±

±

Tilgængelighed af implementeringsmuligheder (uden tab af kompatibilitet)

+

+

±

±

+

Mulighed for parallel computing

±

±

±

±

+

Med hensyn til helheden af ​​karakteristika var Reindal med hoved og skuldre over sine konkurrenter, så resultatet af den endelige afstemning viste sig at være ganske logisk: Algoritmen vandt en jordskredssejr og fik 86 stemmer for og kun 10 imod. Serpent tog en respektabel andenplads med 59 stemmer, mens Twofish var på tredjepladsen: 31 jurymedlemmer stod op for det. De blev efterfulgt af RC6, der vandt 23 stemmer, og MARS endte naturligvis på sidstepladsen og fik kun 13 stemmer for og 83 imod.

Den 2. oktober 2000 blev Rijndael erklæret vinderen af ​​AES-konkurrencen, og ændrede traditionelt sit navn til Advanced Encryption Standard, som den i øjeblikket er kendt under. Standardiseringsproceduren varede omkring et år: den 26. november 2001 blev AES inkluderet på listen over Federal Information Processing Standards og modtog FIPS 197. Den nye algoritme var også meget værdsat af NSA, og siden juni 2003 har USA National Security Agency anerkendte endda AES med en 256-bit nøglekryptering er stærk nok til at sikre sikkerheden af ​​tophemmelige dokumenter.

WD My Book eksterne drev understøtter AES-256 hardwarekryptering

Takket være kombinationen af ​​høj pålidelighed og ydeevne vandt Advanced Encryption Standard hurtigt verdensomspændende anerkendelse, og blev en af ​​de mest populære symmetriske krypteringsalgoritmer i verden og er inkluderet i mange kryptografiske biblioteker (OpenSSL, GnuTLS, Linux's Crypto API osv.). AES er nu meget brugt i virksomheds- og forbrugerapplikationer og understøttes i en lang række enheder. Især AES-256 hardwarekryptering bruges i Western Digitals My Book-familie af eksterne drev for at sikre beskyttelsen af ​​lagrede data. Lad os se nærmere på disse enheder.

Bedst i klassen: Historien om AES Encryption Standard
WD My Book-serien af ​​stationære harddiske inkluderer seks modeller med varierende kapacitet: 4, 6, 8, 10, 12 og 14 terabyte, så du kan vælge den enhed, der passer bedst til dine behov. Som standard bruger eksterne HDD'er exFAT-filsystemet, som sikrer kompatibilitet med en lang række operativsystemer, herunder Microsoft Windows 7, 8, 8.1 og 10, samt Apple macOS version 10.13 (High Sierra) og nyere. Linux OS-brugere har mulighed for at montere en harddisk ved hjælp af exfat-nofuse-driveren.

My Book opretter forbindelse til din computer ved hjælp af en højhastigheds-USB 3.0-grænseflade, som er bagudkompatibel med USB 2.0. På den ene side giver dette dig mulighed for at overføre filer med den højest mulige hastighed, fordi USB SuperSpeed ​​​​båndbredde er 5 Gbps (det vil sige 640 MB/s), hvilket er mere end nok. Samtidig sikrer bagudkompatibilitetsfunktionen understøttelse af næsten enhver enhed, der er udgivet i de sidste 10 år.

Bedst i klassen: Historien om AES Encryption Standard
Selvom My Book ikke kræver yderligere softwareinstallation takket være Plug and Play-teknologi, der automatisk registrerer og konfigurerer perifere enheder, anbefaler vi stadig at bruge den proprietære WD Discovery-softwarepakke, der følger med hver enhed.

Bedst i klassen: Historien om AES Encryption Standard
Sættet indeholder følgende applikationer:

WD Drive Utilities

Programmet giver dig mulighed for at få opdateret information om drevets aktuelle tilstand baseret på SMART-data og kontrollere harddisken for dårlige sektorer. Derudover kan du ved hjælp af Drive Utilities hurtigt ødelægge alle de data, der er gemt på din My Book: i dette tilfælde vil filerne ikke kun blive slettet, men også overskrevet fuldstændigt flere gange, så det ikke længere vil være muligt for at gendanne dem, efter at proceduren er afsluttet.

WD Backup

Ved at bruge dette værktøj kan du konfigurere sikkerhedskopier i henhold til en specificeret tidsplan. Det er værd at sige, at WD Backup understøtter arbejde med Google Drive og Dropbox, samtidig med at du kan vælge alle mulige kilde-destinationskombinationer, når du opretter en sikkerhedskopi. Du kan således opsætte automatisk overførsel af data fra My Book til skyen eller importere de nødvendige filer og mapper fra de listede tjenester til både en ekstern harddisk og en lokal maskine. Derudover er det muligt at synkronisere med din Facebook-konto, hvilket giver dig mulighed for automatisk at lave sikkerhedskopier af billeder og videoer fra din profil.

WD Security

Det er ved hjælp af dette værktøj, at du kan begrænse adgangen til drevet med en adgangskode og administrere datakryptering. Det eneste, der kræves til dette, er at angive en adgangskode (den maksimale længde kan nå 25 tegn), hvorefter al information på disken bliver krypteret, og kun dem, der kender adgangssætningen, vil kunne få adgang til de gemte filer. For ekstra bekvemmelighed giver WD Security dig mulighed for at oprette en liste over betroede enheder, der, når de er tilsluttet, automatisk låser My Book op.

Vi understreger, at WD Security kun giver en praktisk visuel grænseflade til styring af kryptografisk beskyttelse, mens datakryptering udføres af det eksterne drev selv på hardwareniveau. Denne tilgang giver en række vigtige fordele, nemlig:

  • en hardware tilfældigt tal generator, snarere end en PRNG, er ansvarlig for at skabe krypteringsnøgler, som hjælper med at opnå en høj grad af entropi og øge deres kryptografiske styrke;
  • under krypterings- og dekrypteringsproceduren downloades ikke kryptografiske nøgler til computerens RAM, og det er heller ikke midlertidige kopier af behandlede filer, der er oprettet i skjulte mapper på systemdrevet, hvilket hjælper med at minimere sandsynligheden for deres aflytning;
  • hastigheden af ​​filbehandlingen afhænger ikke på nogen måde af klientenhedens ydeevne;
  • Efter aktivering af beskyttelsen udføres filkryptering automatisk, "on the fly", uden at det kræver yderligere handlinger fra brugerens side.

Alt ovenstående garanterer datasikkerhed og giver dig mulighed for næsten helt at eliminere muligheden for tyveri af fortrolige oplysninger. I betragtning af drevets ekstra muligheder gør dette My Book til en af ​​de bedst beskyttede lagerenheder, der er tilgængelige på det russiske marked.

Kilde: www.habr.com

Tilføj en kommentar