ProHoster > Blog > Administración > O mellor da súa clase: a historia do estándar de cifrado AES

O mellor da súa clase: a historia do estándar de cifrado AES

O mellor da súa clase: a historia do estándar de cifrado AES
Desde maio de 2020, comezaron as vendas oficiais de discos duros externos WD My Book que admiten o cifrado de hardware AES cunha clave de 256 bits en Rusia. Debido ás restricións legais, anteriormente estes dispositivos só se podían mercar en tendas de electrónica en liña estranxeiras ou no mercado "gris", pero agora calquera pode adquirir unha unidade protexida cunha garantía propietaria de 3 anos de Western Digital. En homenaxe a este importante evento, decidimos facer unha pequena excursión á historia e descubrir como apareceu o Advanced Encryption Standard e por que é tan bo en comparación coas solucións da competencia.

Durante moito tempo, o estándar oficial para o cifrado simétrico nos Estados Unidos foi DES (Data Encryption Standard), desenvolvido por IBM e incluído na lista de Estándares Federales de Procesamento de Información en 1977 (FIPS 46-3). O algoritmo baséase nos desenvolvementos obtidos durante un proxecto de investigación chamado Lucifer. Cando o 15 de maio de 1973, a Oficina Nacional de Estándares dos Estados Unidos anunciou un concurso para crear un estándar de cifrado para as axencias gobernamentais, a corporación estadounidense entrou na carreira criptográfica coa terceira versión de Lucifer, que utilizaba unha rede Feistel actualizada. E xunto con outros competidores, fracasou: nin un só dos algoritmos presentados ao primeiro concurso cumpría os estritos requisitos formulados polos expertos da NBS.

O mellor da súa clase: a historia do estándar de cifrado AES
Por suposto, IBM non podía simplemente aceptar a derrota: cando se reiniciou a competición o 27 de agosto de 1974, a corporación estadounidense volveu presentar unha solicitude, presentando unha versión mellorada de Lucifer. Nesta ocasión o xurado non tivo nin unha soa queixa: despois de realizar un traballo competente sobre os erros, IBM eliminou con éxito todas as deficiencias, polo que non había nada que queixar. Despois de gañar unha vitoria contundente, Lucifer cambiou o seu nome a DES e publicouse no Federal Register o 17 de marzo de 1975.

Non obstante, durante os simposios públicos organizados en 1976 para discutir o novo estándar criptográfico, DES foi moi criticado pola comunidade de expertos. A razón diso foron os cambios realizados no algoritmo polos especialistas da NSA: en particular, a lonxitude da chave reduciuse a 56 bits (inicialmente Lucifer admitía traballar con claves de 64 e 128 bits) e cambiouse a lóxica dos bloques de permutación. . Segundo os criptógrafos, as "melloras" carecían de sentido e o único polo que se esforzaba a Axencia de Seguridade Nacional ao implementar as modificacións era poder ver libremente os documentos cifrados.

En relación con estas acusacións, creouse unha comisión especial baixo o Senado dos Estados Unidos, cuxo propósito era verificar a validez das accións da NSA. En 1978, a raíz da investigación publicouse un informe no que se indicaba o seguinte:

  • Os representantes da NSA participaron na finalización do DES só de forma indirecta, e a súa contribución só se refería a cambios no funcionamento dos bloques de permutación;
  • a versión final de DES resultou ser máis resistente á piratería e á análise criptográfica que a orixinal, polo que os cambios estaban xustificados;
  • unha lonxitude de chave de 56 bits é máis que suficiente para a gran maioría das aplicacións, porque romper un cifrado deste tipo requiriría un supercomputador que custa polo menos varias decenas de millóns de dólares, e dado que os atacantes comúns e mesmo os hackers profesionais non teñen tales recursos, non hai nada de que preocuparse.

As conclusións da comisión confirmáronse parcialmente en 1990, cando os criptógrafos israelís Eli Biham e Adi Shamir, traballando no concepto de criptoanálise diferencial, realizaron un gran estudo de algoritmos de bloques, incluíndo DES. Os científicos concluíron que o novo modelo de permutación era moito máis resistente aos ataques que o orixinal, o que significa que a NSA realmente axudou a tapar varios buratos no algoritmo.

O mellor da súa clase: a historia do estándar de cifrado AES
Adi Shamir

Ao mesmo tempo, a limitación da lonxitude da chave resultou ser un problema, e moi grave, o que foi demostrado de forma convincente en 1998 pola organización pública Electronic Frontier Foundation (EFF) como parte do experimento DES Challenge II, realizado baixo os auspicios do RSA Laboratory. Construíuse un superordenador especificamente para craquear DES, co nome en clave EFF DES Cracker, que foi creado por John Gilmore, cofundador de EFF e director do proxecto DES Challenge, e Paul Kocher, fundador de Cryptography Research.

O mellor da súa clase: a historia do estándar de cifrado AES
Procesador EFF DES Cracker

O sistema que desenvolveron foi capaz de atopar con éxito a clave dunha mostra cifrada mediante a forza bruta en só 56 horas, é dicir, en menos de tres días. Para iso, DES Cracker necesitaba comprobar preto dunha cuarta parte de todas as combinacións posibles, o que significa que, incluso nas circunstancias máis desfavorables, a piratería levaría unhas 224 horas, é dicir, non máis de 10 días. Ao mesmo tempo, o custo da supercomputadora, tendo en conta os fondos gastados no seu deseño, foi de só 250 mil dólares. Non é difícil adiviñar que hoxe en día é aínda máis fácil e barato descifrar tal código: non só o hardware se fixo moito máis poderoso, senón que, grazas ao desenvolvemento das tecnoloxías de Internet, un hacker non ten que comprar nin alugar o equipos necesarios: é suficiente para crear unha botnet de ordenadores infectados cun virus.

Este experimento demostrou claramente o obsoleto que é o DES. E dado que naquel momento o algoritmo se utilizaba en case o 50% das solucións no campo da encriptación de datos (segundo a mesma estimación de EFF), a cuestión de atopar unha alternativa fíxose máis urxente que nunca.

Novos retos - nova competición

O mellor da súa clase: a historia do estándar de cifrado AES
Para ser xustos, cómpre dicir que a busca dun substituto para o estándar de cifrado de datos comezou case simultáneamente coa preparación do EFF DES Cracker: o Instituto Nacional de Estándares e Tecnoloxía dos Estados Unidos (NIST) alá por 1997 anunciou o lanzamento dun concurso de algoritmos de cifrado deseñado para identificar un novo "estándar ouro" para a criptoseguridade. E se antigamente un evento semellante se celebraba exclusivamente "para o noso propio pobo", entón, tendo en conta a experiencia infrutuosa de hai 30 anos, o NIST decidiu abrir o concurso completamente: calquera empresa e calquera persoa podía participar en ela, independentemente da súa localización ou cidadanía.

Este enfoque xustificou mesmo na fase de selección de candidatos: entre os autores que solicitaron a participación no concurso Advanced Encryption Standard estaban criptólogos de fama mundial (Ross Anderson, Eli Biham, Lars Knudsen) e pequenas empresas de TI especializadas en ciberseguridade (Counterpane). , e grandes corporacións (German Deutsche Telekom), e institucións educativas (KU Leuven, Bélxica), así como start-ups e pequenas empresas das que poucos escoitaron falar fóra dos seus países (por exemplo, Tecnologia Apropriada Internacional de Costa Rica).

Curiosamente, esta vez o NIST aprobou só dous requisitos básicos para os algoritmos participantes:

  • o bloque de datos debe ter un tamaño fixo de 128 bits;
  • o algoritmo debe soportar polo menos tres tamaños de clave: 128, 192 e 256 bits.

Conseguir tal resultado foi relativamente sinxelo, pero, como din, o demo está nos detalles: había moitos máis requisitos secundarios e era moito máis difícil cumprilos. Mentres tanto, foi sobre a súa base que os revisores do NIST seleccionaron aos concursantes. Estes son os criterios que debían cumprir os candidatos á vitoria:

  1. capacidade de soportar calquera ataque criptoanalítico coñecido no momento da competición, incluídos ataques a través de canles de terceiros;
  2. a ausencia de claves de cifrado débiles e equivalentes (equivalente significa aquelas claves que, aínda que presentan diferenzas significativas entre si, dan lugar a cifras idénticas);
  3. a velocidade de cifrado é estable e aproximadamente a mesma en todas as plataformas actuais (de 8 a 64 bits);
  4. optimización para sistemas multiprocesador, soporte para paralelización de operacións;
  5. requisitos mínimos para a cantidade de memoria RAM;
  6. sen restricións para o seu uso en escenarios estándar (como base para construír funcións hash, PRNG, etc.);
  7. A estrutura do algoritmo debe ser razoable e fácil de entender.

O último punto pode parecer estraño, pero se o pensas ben, ten sentido, porque un algoritmo ben estruturado é moito máis fácil de analizar e tamén é moito máis difícil ocultar nel un "marcador", coa axuda de que un desenvolvedor podería ter acceso ilimitado a datos cifrados.

A aceptación de solicitudes para o concurso Advanced Encryption Standard durou ano e medio. Nel participaron un total de 15 algoritmos:

  1. CAST-256, desenvolvido pola empresa canadense Entrust Technologies baseado no CAST-128, creado por Carlisle Adams e Stafford Tavares;
  2. Crypton, creada pola criptóloga Chae Hoon Lim da empresa surcoreana de ciberseguridade Future Systems;
  3. DEAL, cuxo concepto foi proposto orixinalmente polo matemático danés Lars Knudsen, e posteriormente as súas ideas foron desenvolvidas por Richard Outerbridge, que solicitou participar no concurso;
  4. DFC, un proxecto conxunto da Escola de Educación de París, o Centro Nacional de Investigación Científica de Francia (CNRS) e a corporación de telecomunicacións France Telecom;
  5. E2, desenvolvido baixo os auspicios da maior empresa de telecomunicacións de Xapón, Nippon Telegraph and Telephone;
  6. FROG, idea da empresa costarricense Tecnologia Apropiada Internacional;
  7. HPC, inventado polo criptólogo e matemático estadounidense Richard Schreppel da Universidade de Arizona;
  8. LOKI97, creado polos criptógrafos australianos Lawrence Brown e Jennifer Seberry;
  9. Magenta, desenvolvido por Michael Jacobson e Klaus Huber para a empresa alemá de telecomunicacións Deutsche Telekom AG;
  10. MARS de IBM, en cuxa creación participou Don Coppersmith, un dos autores de Lucifer;
  11. RC6, escrito por Ron Rivest, Matt Robshaw e Ray Sydney especificamente para a competición AES;
  12. Rijndael, creada por Vincent Raymen e Johan Damen da Universidade Católica de Lovaina;
  13. SAFER+, desenvolvido pola corporación californiana Cylink xunto coa Academia Nacional de Ciencias da República de Armenia;
  14. Serpent, creada por Ross Anderson, Eli Beaham e Lars Knudsen;
  15. Twofish, desenvolvido polo grupo de investigación de Bruce Schneier baseado no algoritmo criptográfico Blowfish proposto por Bruce en 1993.

A partir dos resultados da primeira quenda, identificáronse 5 finalistas, entre eles Serpent, Twofish, MARS, RC6 e Rijndael. Os membros do xurado atoparon fallos en case todos os algoritmos enumerados, excepto nun. Quen foi o gañador? Ampliemos un pouco a intriga e consideremos primeiro as principais vantaxes e inconvenientes de cada unha das solucións listadas.

MARTE

No caso do "deus da guerra", os expertos sinalaron a identidade do procedemento de cifrado e descifrado de datos, pero aquí é onde as súas vantaxes foron limitadas. O algoritmo de IBM era sorprendentemente fame de poder, polo que non era apto para traballar en ambientes con recursos limitados. Tamén houbo problemas coa paralelización dos cálculos. Para funcionar con eficacia, MARS requiría soporte de hardware para a multiplicación de 32 bits e a rotación de bits variables, o que volveu impoñer limitacións á lista de plataformas compatibles.

MARS tamén resultou ser bastante vulnerable aos ataques de tempo e potencia, tivo problemas coa expansión das teclas sobre a marcha e a súa excesiva complexidade dificultou a análise da arquitectura e creou problemas adicionais na fase de implementación práctica. En resumo, en comparación cos outros finalistas, MARS parecía un auténtico forasteiro.

RC6

O algoritmo herdou algunhas das transformacións do seu predecesor, RC5, que fora investigado a fondo con anterioridade, o que, combinado cunha estrutura sinxela e visual, facíao completamente transparente para os expertos e eliminou a presenza de "marcadores". Ademais, RC6 demostrou velocidades de procesamento de datos récord en plataformas de 32 bits, e os procedementos de cifrado e descifrado implementáronse de forma absolutamente idéntica.

Non obstante, o algoritmo tiña os mesmos problemas que o mencionado MARS: había vulnerabilidade aos ataques de canle lateral, dependencia do rendemento do soporte para operacións de 32 bits, así como problemas coa computación paralela, expansión de chaves e demandas de recursos de hardware. . Neste sentido, de ningún xeito era axeitado para o papel de gañador.

Dous peixes

Twofish resultou ser bastante rápido e ben optimizado para traballar en dispositivos de baixa potencia, fixo un excelente traballo de expansión das teclas e ofreceu varias opcións de implementación, o que permitiu adaptalo sutilmente a tarefas específicas. Ao mesmo tempo, os "dous peixes" resultaron ser vulnerables aos ataques a través de canles laterais (en particular, en termos de tempo e consumo de enerxía), non eran especialmente amigables cos sistemas multiprocesador e eran excesivamente complexos, que, por certo , tamén afectou a velocidade de expansión da tecla.

Serpe

O algoritmo tiña unha estrutura sinxela e comprensible, que simplificaba significativamente a súa auditoría, non era especialmente esixente na potencia da plataforma de hardware, tiña soporte para expandir teclas sobre a marcha e era relativamente fácil de modificar, o que o facía destacar do seu adversarios. A pesar diso, Serpent foi, en principio, o máis lento dos finalistas, ademais, os procedementos para cifrar e descifrar a información nel eran radicalmente diferentes e requirían enfoques de implementación fundamentalmente diferentes.

Rijndael

Rijndael resultou ser extremadamente próximo ao ideal: o algoritmo cumpría plenamente os requisitos do NIST, aínda que non era inferior, e en canto á totalidade de características, notablemente superior aos seus competidores. Reindal só tiña dous puntos débiles: a vulnerabilidade aos ataques de consumo de enerxía no procedemento de expansión da chave, que é un escenario moi específico, e certos problemas coa expansión da chave ao voo (este mecanismo funcionou sen restricións só para dous competidores: Serpent e Twofish). . Ademais, segundo os expertos, Reindal tiña unha marxe de forza criptográfica lixeiramente inferior á de Serpent, Twofish e MARS, que, con todo, foi máis que compensada pola súa resistencia á gran maioría dos tipos de ataques de canle lateral e unha ampla gama. de opcións de implementación.

categoría

Serpe

Dous peixes

MARTE

RC6

Rijndael

Forza criptográfica

+

+

+

+

+

Reserva de forza criptográfica

++

++

++

+

+

Velocidade de cifrado cando se implementa no software

-

±

±

+

+

Velocidade de expansión clave cando se implementa no software

±

-

±

±

+

Tarxetas intelixentes con gran capacidade

+

+

-

±

++

Tarxetas intelixentes con recursos limitados

±

+

-

±

++

Implementación de hardware (FPGA)

+

+

-

±

+

Implementación de hardware (chip especializado)

+

±

-

-

+

Protección contra o tempo de execución e ataques de potencia

+

±

-

-

+

Protección contra ataques de consumo de enerxía no procedemento de expansión da chave

±

±

±

±

-

Protección contra ataques de consumo de enerxía nas implementacións de tarxetas intelixentes

±

+

-

±

+

Capacidade de ampliar a clave sobre a marcha

+

+

±

±

±

Dispoñibilidade de opcións de implementación (sen perda de compatibilidade)

+

+

±

±

+

Posibilidade de computación paralela

±

±

±

±

+

No que se refire á totalidade de características, Reindal estivo cabeza e ombreiros por enriba dos seus competidores, polo que o resultado da votación final resultou bastante lóxico: o algoritmo obtivo unha vitoria contundente, recibindo 86 votos a favor e só 10 en contra. Serpent ocupou un respetable segundo lugar con 59 votos, mentres que Twofish quedou na terceira posición: 31 membros do xurado defenderon. Seguíronlles RC6, gañando 23 votos, e MARS quedou naturalmente no último lugar, recibindo só 13 votos a favor e 83 en contra.

O 2 de outubro de 2000, Rijndael foi declarado gañador do concurso AES, cambiando tradicionalmente o seu nome polo Estándar de cifrado avanzado, polo que se lle coñece actualmente. O procedemento de normalización durou aproximadamente un ano: o 26 de novembro de 2001, AES foi incluída na lista de Estándares Federales de Procesamento de Información, recibindo o índice FIPS 197. O novo algoritmo tamén foi moi apreciado pola NSA e, desde xuño de 2003, os EE. A Axencia Nacional de Seguridade incluso recoñeceu que AES cun cifrado de clave de 256 bits é o suficientemente forte como para garantir a seguridade dos documentos de alto segredo.

As unidades externas WD My Book admiten o cifrado de hardware AES-256

Grazas á combinación de alta fiabilidade e rendemento, Advanced Encryption Standard gañou rapidamente recoñecemento mundial, converténdose nun dos algoritmos de cifrado simétrico máis populares do mundo e incluíndose en moitas bibliotecas criptográficas (OpenSSL, GnuTLS, Crypto API de Linux, etc.). Agora AES úsase amplamente en aplicacións empresariais e de consumo, e é compatible cunha gran variedade de dispositivos. En particular, o cifrado de hardware AES-256 úsase na familia de unidades externas My Book de Western Digital para garantir a protección dos datos almacenados. Vexamos máis de cerca estes dispositivos.

O mellor da súa clase: a historia do estándar de cifrado AES
A liña de discos duros de escritorio WD My Book inclúe seis modelos de diferentes capacidades: 4, 6, 8, 10, 12 e 14 terabytes, o que lle permite escoller o dispositivo que mellor se adapte ás súas necesidades. Por defecto, os discos duros externos usan o sistema de ficheiros exFAT, que garante a compatibilidade cunha ampla gama de sistemas operativos, incluíndo Microsoft Windows 7, 8, 8.1 e 10, así como Apple macOS versión 10.13 (High Sierra) e superior. Os usuarios do sistema operativo Linux teñen a oportunidade de montar un disco duro usando o controlador exfat-nofuse.

My Book conéctase ao teu ordenador mediante unha interface USB 3.0 de alta velocidade, que é compatible con USB 2.0. Por unha banda, isto permítelle transferir ficheiros á maior velocidade posible, porque o ancho de banda USB SuperSpeed ​​é de 5 Gbps (é dicir, 640 MB/s), o que é máis que suficiente. Ao mesmo tempo, a función de compatibilidade con versións anteriores garante a compatibilidade con case calquera dispositivo lanzado nos últimos 10 anos.

O mellor da súa clase: a historia do estándar de cifrado AES
Aínda que My Book non require ningunha instalación de software adicional grazas á tecnoloxía Plug and Play que detecta e configura automaticamente os dispositivos periféricos, recomendamos utilizar o paquete de software propietario WD Discovery que se inclúe con cada dispositivo.

O mellor da súa clase: a historia do estándar de cifrado AES
O conxunto inclúe as seguintes aplicacións:

Utilidades WD Drive

O programa permítelle obter información actualizada sobre o estado actual da unidade baseándose en datos SMART e comprobar o disco duro para detectar sectores defectuosos. Ademais, coa axuda de Drive Utilities, podes destruír rapidamente todos os datos gardados no teu My Book: neste caso, os ficheiros non só se borrarán, senón que tamén se sobrescribirán completamente varias veces, polo que xa non será posible. para restauralos despois de completar o procedemento.

Copia de seguridade de WD

Usando esta utilidade, pode configurar copias de seguridade segundo un horario especificado. Paga a pena dicir que WD Backup admite traballar con Google Drive e Dropbox, ao tempo que lle permite seleccionar calquera combinación de orixe e destino ao crear unha copia de seguridade. Así, pode configurar a transferencia automática de datos de My Book á nube ou importar os ficheiros e cartafoles necesarios dos servizos da lista tanto a un disco duro externo como a unha máquina local. Ademais, é posible sincronizar coa túa conta de Facebook, o que che permite crear automaticamente copias de seguridade de fotos e vídeos do teu perfil.

WD Security

É coa axuda desta utilidade que pode restrinxir o acceso á unidade cun contrasinal e xestionar o cifrado de datos. Para iso só se precisa especificar un contrasinal (a súa lonxitude máxima pode alcanzar os 25 caracteres), despois do cal se cifrará toda a información do disco e só os que coñezan a frase de contraseña poderán acceder aos ficheiros gardados. Para maior comodidade, WD Security permítelle crear unha lista de dispositivos de confianza que, cando se conecten, desbloquearán automaticamente My Book.

Destacamos que WD Security só ofrece unha interface visual conveniente para xestionar a protección criptográfica, mentres que o cifrado de datos realízao a propia unidade externa a nivel de hardware. Este enfoque proporciona unha serie de vantaxes importantes, a saber:

  • un xerador de números aleatorios de hardware, máis que un PRNG, encárgase de crear claves de cifrado, o que axuda a acadar un alto grao de entropía e aumentar a súa forza criptográfica;
  • durante o procedemento de cifrado e descifrado, as claves criptográficas non se descargan na memoria RAM do ordenador, nin se crean copias temporais dos ficheiros procesados ​​en cartafoles ocultos na unidade do sistema, o que axuda a minimizar a probabilidade da súa interceptación;
  • a velocidade do procesamento de ficheiros non depende de ningún xeito do rendemento do dispositivo cliente;
  • Despois de activar a protección, o cifrado dos ficheiros realizarase automaticamente, "sobre a marcha", sen necesidade de accións adicionais por parte do usuario.

Todo o anterior garante a seguridade dos datos e permite eliminar case por completo a posibilidade de roubo de información confidencial. Tendo en conta as capacidades adicionais da unidade, isto fai que My Book sexa un dos mellores dispositivos de almacenamento protexidos dispoñibles no mercado ruso.

Fonte: www.habr.com

Engadir un comentario