ProHoster > Blog > administración > Lo mejor de su clase: la historia del estándar de cifrado AES

Lo mejor de su clase: la historia del estándar de cifrado AES

Lo mejor de su clase: la historia del estándar de cifrado AES
Desde mayo de 2020, comenzaron en Rusia las ventas oficiales de discos duros externos WD My Book que admiten cifrado de hardware AES con una clave de 256 bits. Debido a restricciones legales, anteriormente estos dispositivos sólo se podían comprar en tiendas de electrónica extranjeras en línea o en el mercado "gris", pero ahora cualquiera puede adquirir una unidad protegida con una garantía patentada de 3 años de Western Digital. En honor a este importante evento, decidimos hacer una breve excursión a la historia y descubrir cómo apareció el Estándar de cifrado avanzado y por qué es tan bueno en comparación con las soluciones de la competencia.

Durante mucho tiempo, el estándar oficial para el cifrado simétrico en Estados Unidos fue DES (Data Encryption Standard), desarrollado por IBM e incluido en la lista de Estándares Federales de Procesamiento de Información en 1977 (FIPS 46-3). El algoritmo se basa en los desarrollos obtenidos durante un proyecto de investigación cuyo nombre en código es Lucifer. Cuando el 15 de mayo de 1973, la Oficina Nacional de Estándares de EE. UU. anunció un concurso para crear un estándar de cifrado para agencias gubernamentales, la corporación estadounidense entró en la carrera criptográfica con la tercera versión de Lucifer, que utilizaba una red Feistel actualizada. Y, al igual que otros competidores, fracasó: ninguno de los algoritmos presentados al primer concurso cumplió los estrictos requisitos formulados por los expertos del BNE.

Lo mejor de su clase: la historia del estándar de cifrado AES
Por supuesto, IBM no podía simplemente aceptar la derrota: cuando se reanudó la competencia el 27 de agosto de 1974, la corporación estadounidense volvió a presentar una solicitud, presentando una versión mejorada de Lucifer. Esta vez el jurado no tuvo una sola queja: después de haber realizado un trabajo competente sobre los errores, IBM eliminó con éxito todas las deficiencias, por lo que no había nada de qué quejarse. Después de obtener una victoria aplastante, Lucifer cambió su nombre a DES y fue publicado en el Registro Federal el 17 de marzo de 1975.

Sin embargo, durante los simposios públicos organizados en 1976 para discutir el nuevo estándar criptográfico, DES fue duramente criticado por la comunidad de expertos. La razón de esto fueron los cambios realizados en el algoritmo por los especialistas de la NSA: en particular, la longitud de la clave se redujo a 56 bits (inicialmente Lucifer admitía trabajar con claves de 64 y 128 bits) y se cambió la lógica de los bloques de permutación. . Según los criptógrafos, las "mejoras" no tenían sentido y lo único que buscaba la Agencia de Seguridad Nacional al implementar las modificaciones era poder ver libremente los documentos cifrados.

En relación con estas acusaciones, se creó una comisión especial en el Senado de los Estados Unidos, cuyo objetivo era verificar la validez de las acciones de la NSA. En 1978 se publicó un informe tras la investigación, que decía lo siguiente:

  • Los representantes de la NSA participaron en la finalización del DES sólo indirectamente y su contribución se refería únicamente a cambios en el funcionamiento de los bloques de permutación;
  • la versión final de DES resultó ser más resistente a la piratería y al análisis criptográfico que el original, por lo que los cambios estaban justificados;
  • una longitud de clave de 56 bits es más que suficiente para la gran mayoría de aplicaciones, porque para descifrar un cifrado de este tipo se necesitaría un superordenador que costaría al menos varias decenas de millones de dólares, y dado que los atacantes comunes e incluso los piratas informáticos profesionales no disponen de esos recursos, No hay nada de qué preocuparse.

Las conclusiones de la comisión se confirmaron parcialmente en 1990, cuando los criptógrafos israelíes Eli Biham y Adi Shamir, trabajando en el concepto de criptoanálisis diferencial, realizaron un amplio estudio de algoritmos de bloques, incluido DES. Los científicos concluyeron que el nuevo modelo de permutación era mucho más resistente a los ataques que el original, lo que significa que la NSA en realidad ayudó a tapar varios agujeros en el algoritmo.

Lo mejor de su clase: la historia del estándar de cifrado AES
Adi Shamir

Al mismo tiempo, la limitación de la longitud de las claves resultó ser un problema, y ​​además muy grave, como lo demostró convincentemente en 1998 la organización pública Electronic Frontier Foundation (EFF) como parte del experimento DES Challenge II. realizado bajo los auspicios del Laboratorio RSA. Se construyó una supercomputadora específicamente para descifrar DES, con nombre en código EFF DES Cracker, que fue creada por John Gilmore, cofundador de EFF y director del proyecto DES Challenge, y Paul Kocher, fundador de Cryptography Research.

Lo mejor de su clase: la historia del estándar de cifrado AES
Procesador EFF DES Cracker

El sistema que desarrollaron fue capaz de encontrar con éxito la clave de una muestra cifrada mediante fuerza bruta en tan solo 56 horas, es decir, en menos de tres días. Para ello, DES Cracker necesitaba comprobar aproximadamente una cuarta parte de todas las combinaciones posibles, lo que significa que incluso en las circunstancias más desfavorables, el hackeo tardaría unas 224 horas, es decir, no más de 10 días. Al mismo tiempo, el coste de la supercomputadora, teniendo en cuenta los fondos gastados en su diseño, fue de sólo 250 mil dólares. No es difícil adivinar que hoy en día es aún más fácil y barato descifrar un código de este tipo: no sólo el hardware se ha vuelto mucho más potente, sino que además, gracias al desarrollo de las tecnologías de Internet, un hacker no tiene que comprar ni alquilar el equipo necesario: basta con crear una botnet de PC infectadas con un virus.

Este experimento demostró claramente lo obsoleto que es el DES. Y dado que en aquella época el algoritmo se utilizaba en casi el 50% de las soluciones en el ámbito de la encriptación de datos (según la misma estimación de la EFF), la cuestión de encontrar una alternativa se hizo más acuciante que nunca.

Nuevos desafíos - nueva competencia

Lo mejor de su clase: la historia del estándar de cifrado AES
Para ser justos, hay que decir que la búsqueda de un sustituto para el estándar de cifrado de datos comenzó casi simultáneamente con la preparación del EFF DES Cracker: el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. anunció en 1997 el lanzamiento de un Competencia de algoritmos de cifrado diseñada para identificar un nuevo "estándar de oro" para la criptoseguridad. Y si en los viejos tiempos un evento similar se celebraba exclusivamente "para nuestra propia gente", entonces, teniendo en cuenta la experiencia fallida de hace 30 años, el NIST decidió hacer que el concurso fuera completamente abierto: cualquier empresa y cualquier individuo podía participar en ello, independientemente de su ubicación o ciudadanía.

Este enfoque se justificó incluso en la etapa de selección de los solicitantes: entre los autores que solicitaron participar en el concurso Advanced Encryption Standard se encontraban criptólogos de fama mundial (Ross Anderson, Eli Biham, Lars Knudsen) y pequeñas empresas de TI especializadas en ciberseguridad (Counterpane). , y grandes corporaciones (Deutsche Telekom alemana) e instituciones educativas (KU Leuven, Bélgica), así como nuevas empresas y pequeñas empresas de las que pocos han oído hablar fuera de sus países (por ejemplo, Tecnología Apropiada Internacional de Costa Rica).

Curiosamente, esta vez el NIST aprobó sólo dos requisitos básicos para los algoritmos participantes:

  • el bloque de datos debe tener un tamaño fijo de 128 bits;
  • el algoritmo debe admitir al menos tres tamaños de clave: 128, 192 y 256 bits.

Lograr tal resultado fue relativamente simple, pero, como dicen, el diablo está en los detalles: había muchos más requisitos secundarios y era mucho más difícil cumplirlos. Mientras tanto, los revisores del NIST seleccionaron a los concursantes basándose en ellos. Estos son los criterios que debían cumplir los aspirantes a la victoria:

  1. capacidad para resistir cualquier ataque criptoanalítico conocido en el momento de la competencia, incluidos los ataques a través de canales de terceros;
  2. la ausencia de claves de cifrado débiles y equivalentes (por equivalente se entiende aquellas claves que, aunque tienen diferencias significativas entre sí, conducen a cifrados idénticos);
  3. la velocidad de cifrado es estable y aproximadamente la misma en todas las plataformas actuales (de 8 a 64 bits);
  4. optimización para sistemas multiprocesador, soporte para paralelización de operaciones;
  5. requisitos mínimos para la cantidad de RAM;
  6. sin restricciones para su uso en escenarios estándar (como base para construir funciones hash, PRNG, etc.);
  7. La estructura del algoritmo debe ser razonable y fácil de entender.

El último punto puede parecer extraño, pero si lo piensas bien, tiene sentido, porque un algoritmo bien estructurado es mucho más fácil de analizar y también es mucho más difícil ocultar un "marcador" en él, con la ayuda de mediante el cual un desarrollador podría obtener acceso ilimitado a datos cifrados.

La aceptación de solicitudes para el concurso Estándar de cifrado avanzado duró un año y medio. En él participaron un total de 15 algoritmos:

  1. CAST-256, desarrollado por la empresa canadiense Entrust Technologies basado en CAST-128, creado por Carlisle Adams y Stafford Tavares;
  2. Crypton, creado por el criptólogo Chae Hoon Lim de la empresa surcoreana de ciberseguridad Future Systems;
  3. DEAL, cuyo concepto fue propuesto originalmente por el matemático danés Lars Knudsen, y posteriormente sus ideas fueron desarrolladas por Richard Outerbridge, quien solicitó participar en el concurso;
  4. DFC, un proyecto conjunto de la Escuela de Educación de París, el Centro Nacional Francés de Investigación Científica (CNRS) y la empresa de telecomunicaciones France Telecom;
  5. E2, desarrollado bajo los auspicios de la mayor empresa de telecomunicaciones de Japón, Nippon Telegraph and Telephone;
  6. FROG, creación de la empresa costarricense Tecnología Apropiada Internacional;
  7. HPC, inventada por el criptólogo y matemático estadounidense Richard Schreppel de la Universidad de Arizona;
  8. LOKI97, creado por los criptógrafos australianos Lawrence Brown y Jennifer Seberry;
  9. Magenta, desarrollado por Michael Jacobson y Klaus Huber para la empresa alemana de telecomunicaciones Deutsche Telekom AG;
  10. MARS de IBM, en cuya creación participó Don Coppersmith, uno de los autores de Lucifer;
  11. RC6, escrito por Ron Rivest, Matt Robshaw y Ray Sydney específicamente para la competencia AES;
  12. Rijndael, creada por Vincent Raymen y Johan Damen de la Universidad Católica de Lovaina;
  13. SAFER+, desarrollado por la corporación californiana Cylink junto con la Academia Nacional de Ciencias de la República de Armenia;
  14. Serpiente, creada por Ross Anderson, Eli Beaham y Lars Knudsen;
  15. Twofish, desarrollado por el grupo de investigación de Bruce Schneier basándose en el algoritmo criptográfico Blowfish propuesto por Bruce allá por 1993.

Según los resultados de la primera ronda, se identificaron 5 finalistas, incluidos Serpent, Twofish, MARS, RC6 y Rijndael. Los miembros del jurado encontraron fallos en casi todos los algoritmos enumerados, excepto en uno. ¿Quién fue el ganador? Ampliemos un poco la intriga y consideremos primero las principales ventajas y desventajas de cada una de las soluciones enumeradas.

MARS

En el caso del "dios de la guerra", los expertos señalaron la identidad del procedimiento de cifrado y descifrado de datos, pero aquí sus ventajas eran limitadas. Sorprendentemente, el algoritmo de IBM consumía mucha energía, lo que lo hacía inadecuado para trabajar en entornos con recursos limitados. También hubo problemas con la paralelización de los cálculos. Para funcionar eficazmente, MARS requería soporte de hardware para la multiplicación de 32 bits y la rotación de bits variables, lo que nuevamente imponía limitaciones en la lista de plataformas compatibles.

MARS también resultó ser bastante vulnerable a ataques de tiempo y potencia, tuvo problemas con la expansión de claves sobre la marcha y su excesiva complejidad dificultó el análisis de la arquitectura y creó problemas adicionales en la etapa de implementación práctica. En resumen, en comparación con los demás finalistas, MARS parecía un auténtico outsider.

RC6

El algoritmo heredó algunas de las transformaciones de su predecesor, RC5, que habían sido investigadas exhaustivamente anteriormente, lo que, combinado con una estructura simple y visual, lo hizo completamente transparente para los expertos y eliminó la presencia de "marcadores". Además, RC6 demostró velocidades récord de procesamiento de datos en plataformas de 32 bits y los procedimientos de cifrado y descifrado se implementaron de manera absolutamente idéntica.

Sin embargo, el algoritmo tenía los mismos problemas que el MARS mencionado anteriormente: había vulnerabilidad a ataques de canal lateral, dependencia del rendimiento del soporte para operaciones de 32 bits, así como problemas con la computación paralela, expansión de claves y demandas de recursos de hardware. . En este sentido, no era de ninguna manera apto para el papel de ganador.

Twofish

Twofish resultó ser bastante rápido y está bien optimizado para trabajar en dispositivos de bajo consumo, hizo un excelente trabajo al expandir las claves y ofreció varias opciones de implementación, lo que permitió adaptarlo sutilmente a tareas específicas. Al mismo tiempo, los "dos peces" resultaron ser vulnerables a los ataques a través de canales laterales (en particular, en términos de tiempo y consumo de energía), no eran particularmente amigables con los sistemas multiprocesador y eran demasiado complejos, lo que, por cierto, , también afectó la velocidad de la expansión clave.

Serpiente

El algoritmo tenía una estructura simple y comprensible, lo que simplificó significativamente su auditoría, no exigía particularmente la potencia de la plataforma de hardware, admitía la expansión de claves sobre la marcha y era relativamente fácil de modificar, lo que lo destacaba de sus competidores. oponentes. A pesar de esto, Serpent fue, en principio, el más lento de los finalistas; además, los procedimientos para cifrar y descifrar información en él eran radicalmente diferentes y requerían enfoques de implementación fundamentalmente diferentes.

Rijndael

Rijndael resultó estar muy cerca del ideal: el algoritmo cumplió plenamente con los requisitos del NIST, aunque no inferior, y en términos de conjunto de características, notablemente superior a sus competidores. Reindal solo tenía dos debilidades: vulnerabilidad a ataques de consumo de energía en el procedimiento de expansión clave, que es un escenario muy específico, y ciertos problemas con la expansión clave sobre la marcha (este mecanismo funcionó sin restricciones solo para dos competidores: Serpent y Twofish). . Además, según los expertos, Reindal tenía un margen de fortaleza criptográfica ligeramente menor que Serpent, Twofish y MARS, lo que, sin embargo, fue más que compensado por su resistencia a la gran mayoría de tipos de ataques de canal lateral y una amplia gama. de opciones de implementación.

categoría

Serpiente

Twofish

MARS

RC6

Rijndael

Fuerza criptográfica

+

+

+

+

+

Reserva de fuerza criptográfica

++

++

++

+

+

Velocidad de cifrado cuando se implementa en software

-

±

±

+

+

Velocidad de expansión clave cuando se implementa en software

±

-

±

±

+

Tarjetas inteligentes de gran capacidad

+

+

-

±

++

Tarjetas inteligentes con recursos limitados

±

+

-

±

++

Implementación de hardware (FPGA)

+

+

-

±

+

Implementación de hardware (chip especializado)

+

±

-

-

+

Protección contra tiempo de ejecución y ataques de poder.

+

±

-

-

+

Protección contra ataques de consumo de energía en el procedimiento de expansión clave

±

±

±

±

-

Protección contra ataques de consumo de energía en implementaciones de tarjetas inteligentes

±

+

-

±

+

Posibilidad de expandir la clave sobre la marcha

+

+

±

±

±

Disponibilidad de opciones de implementación (sin pérdida de compatibilidad)

+

+

±

±

+

Posibilidad de computación paralela

±

±

±

±

+

En términos del conjunto de características, Reindal estaba muy por encima de sus competidores, por lo que el resultado de la votación final resultó ser bastante lógico: el algoritmo obtuvo una victoria aplastante, recibiendo 86 votos a favor y solo 10 en contra. Serpent obtuvo un respetable segundo puesto con 59 votos, mientras que Twofish quedó en tercer lugar: 31 miembros del jurado lo defendieron. Le siguió RC6, que obtuvo 23 votos, y MARS, naturalmente, acabó en último lugar, recibiendo sólo 13 votos a favor y 83 en contra.

El 2 de octubre de 2000, Rijndael fue declarado ganador del concurso AES, cambiando tradicionalmente su nombre por el de Estándar de cifrado avanzado, con el que se le conoce actualmente. El procedimiento de estandarización duró aproximadamente un año: el 26 de noviembre de 2001, AES fue incluido en la lista de Estándares Federales de Procesamiento de Información, recibiendo el índice FIPS 197. El nuevo algoritmo también fue muy apreciado por la NSA, y desde junio de 2003, los EE.UU. La Agencia de Seguridad Nacional incluso reconoció que AES con un cifrado de clave de 256 bits es lo suficientemente fuerte como para garantizar la seguridad de documentos ultrasecretos.

Los discos externos WD My Book admiten cifrado de hardware AES-256

Gracias a la combinación de alta confiabilidad y rendimiento, Advanced Encryption Standard rápidamente ganó reconocimiento mundial, convirtiéndose en uno de los algoritmos de cifrado simétrico más populares del mundo y siendo incluido en muchas bibliotecas criptográficas (OpenSSL, GnuTLS, Crypto API de Linux, etc.). AES ahora se usa ampliamente en aplicaciones empresariales y de consumo, y es compatible con una amplia variedad de dispositivos. En particular, el cifrado de hardware AES-256 se utiliza en la familia de unidades externas My Book de Western Digital para garantizar la protección de los datos almacenados. Echemos un vistazo más de cerca a estos dispositivos.

Lo mejor de su clase: la historia del estándar de cifrado AES
La línea de discos duros de escritorio WD My Book incluye seis modelos de diferentes capacidades: 4, 6, 8, 10, 12 y 14 terabytes, lo que le permite elegir el dispositivo que mejor se adapta a sus necesidades. De forma predeterminada, los discos duros externos utilizan el sistema de archivos exFAT, lo que garantiza la compatibilidad con una amplia gama de sistemas operativos, incluidos Microsoft Windows 7, 8, 8.1 y 10, así como Apple macOS versión 10.13 (High Sierra) y superiores. Los usuarios del sistema operativo Linux tienen la oportunidad de montar un disco duro utilizando el controlador exfat-nofuse.

My Book se conecta a su computadora mediante una interfaz USB 3.0 de alta velocidad, que es compatible con USB 2.0. Por un lado, esto te permite transferir archivos a la mayor velocidad posible, porque el ancho de banda del USB SuperSpeed ​​es de 5 Gbps (es decir, 640 MB/s), lo cual es más que suficiente. Al mismo tiempo, la función de compatibilidad con versiones anteriores garantiza la compatibilidad con casi cualquier dispositivo lanzado en los últimos 10 años.

Lo mejor de su clase: la historia del estándar de cifrado AES
Aunque My Book no requiere ninguna instalación de software adicional gracias a la tecnología Plug and Play que detecta y configura automáticamente los dispositivos periféricos, recomendamos utilizar el paquete de software patentado WD Discovery que viene con cada dispositivo.

Lo mejor de su clase: la historia del estándar de cifrado AES
El conjunto incluye las siguientes aplicaciones:

Utilidades de WD Drive

El programa le permite obtener información actualizada sobre el estado actual del disco basándose en datos SMART y comprobar si el disco duro tiene sectores defectuosos. Además, con la ayuda de Drive Utilities, puedes destruir rápidamente todos los datos guardados en tu My Book: en este caso, los archivos no sólo se borrarán, sino que también se sobrescribirán por completo varias veces, por lo que ya no será posible. para restaurarlos una vez finalizado el procedimiento.

WD Backup

Con esta utilidad, puede configurar copias de seguridad de acuerdo con un cronograma específico. Vale la pena decir que WD Backup admite trabajar con Google Drive y Dropbox, al tiempo que le permite seleccionar cualquier combinación posible de origen y destino al crear una copia de seguridad. Por lo tanto, puede configurar la transferencia automática de datos desde My Book a la nube o importar los archivos y carpetas necesarios de los servicios enumerados tanto a un disco duro externo como a una máquina local. Además, es posible sincronizar con tu cuenta de Facebook, lo que te permite crear automáticamente copias de seguridad de fotos y vídeos de tu perfil.

Seguridad WD

Es con la ayuda de esta utilidad que puede restringir el acceso a la unidad con una contraseña y administrar el cifrado de datos. Todo lo que se requiere para esto es especificar una contraseña (su longitud máxima puede alcanzar los 25 caracteres), después de lo cual toda la información en el disco se cifrará y solo aquellos que conozcan la frase de contraseña podrán acceder a los archivos guardados. Para mayor comodidad, WD Security le permite crear una lista de dispositivos confiables que, cuando estén conectados, desbloquearán My Book automáticamente.

Destacamos que WD Security solo proporciona una interfaz visual conveniente para administrar la protección criptográfica, mientras que el cifrado de datos lo realiza el propio disco externo a nivel de hardware. Este enfoque proporciona una serie de ventajas importantes, a saber:

  • un generador de números aleatorios de hardware, en lugar de un PRNG, es responsable de crear claves de cifrado, lo que ayuda a lograr un alto grado de entropía y aumentar su solidez criptográfica;
  • durante el procedimiento de cifrado y descifrado, las claves criptográficas no se descargan en la RAM de la computadora, ni se crean copias temporales de los archivos procesados ​​en carpetas ocultas en la unidad del sistema, lo que ayuda a minimizar la probabilidad de su interceptación;
  • la velocidad de procesamiento de archivos no depende de ninguna manera del rendimiento del dispositivo cliente;
  • Después de activar la protección, el cifrado de archivos se realizará automáticamente, “sobre la marcha”, sin requerir acciones adicionales por parte del usuario.

Todo lo anterior garantiza la seguridad de los datos y permite eliminar casi por completo la posibilidad de robo de información confidencial. Teniendo en cuenta las capacidades adicionales de la unidad, esto convierte a My Book en uno de los dispositivos de almacenamiento mejor protegidos disponibles en el mercado ruso.

Fuente: habr.com

Añadir un comentario