Kategóriájában a legjobb: Az AES titkosítási szabvány története

2020 májusa óta megkezdődött az AES hardveres titkosítást 256 bites kulccsal támogató WD My Book külső merevlemezek hivatalos értékesítése Oroszországban. A törvényi korlátozások miatt korábban csak külföldi internetes elektronikai boltokban, illetve a „szürke” piacon lehetett ilyen eszközöket vásárolni, most azonban bárki beszerezhet védett meghajtót a Western Digital 3 év sajátos garanciájával. Ennek a jelentős eseménynek a tiszteletére úgy döntöttünk, hogy egy rövid kirándulást teszünk a történelembe, és kitaláljuk, hogyan jelent meg az Advanced Encryption Standard, és miért olyan jó a versengő megoldásokhoz képest.

Az Egyesült Államokban hosszú ideig a szimmetrikus titkosítás hivatalos szabványa a DES (Data Encryption Standard) volt, amelyet az IBM fejlesztett ki, és 1977-ben szerepelt a Szövetségi Információfeldolgozási Szabványok listáján (FIPS 46-3). Az algoritmus a Lucifer kódnevű kutatási projekt során elért fejlesztéseken alapul. Amikor 15. május 1973-én az Egyesült Államok Nemzeti Szabványügyi Hivatala versenyt hirdetett a kormányzati szervek titkosítási szabványának létrehozására, az amerikai vállalat beszállt a kriptográfiai versenybe a Lucifer harmadik verziójával, amely frissített Feistel hálózatot használt. A többi versenyzővel együtt pedig megbukott: az első versenyre beküldött algoritmusok közül egy sem felelt meg az NBS szakértői által megfogalmazott szigorú követelményeknek.

Természetesen az IBM nem tudta egyszerűen elfogadni a vereséget: amikor a versenyt 27. augusztus 1974-én újraindították, az amerikai vállalat ismét benyújtott egy pályázatot, bemutatva a Lucifer továbbfejlesztett változatát. A zsűrinek ezúttal egyetlen kifogása sem volt: az IBM a hibákon kompetens munkát végzett, az összes hiányosságot sikeresen kiküszöbölte, így nem lehetett kifogásolni való. Miután elsöprő győzelmet aratott, Lucifer DES-re változtatta a nevét, és 17. március 1975-én tették közzé a Szövetségi Nyilvántartásban.

Az új kriptográfiai szabvány megvitatása céljából 1976-ban szervezett nyilvános szimpóziumok során azonban a DES-t erősen bírálta a szakértői közösség. Ennek oka az NSA szakemberei által az algoritmuson végrehajtott változtatások: különösen a kulcsok hosszát csökkentették 56 bitre (a Lucifer kezdetben 64 és 128 bites kulccsal dolgozott), és megváltozott a permutációs blokkok logikája. . A kriptográfusok szerint a „fejlesztések” értelmetlenek voltak, és a Nemzetbiztonsági Ügynökség csak arra törekedett a módosítások végrehajtásával, hogy szabadon megtekinthesse a titkosított dokumentumokat.

Ezekkel a vádakkal kapcsolatban külön bizottságot hoztak létre az Egyesült Államok Szenátusa alatt, amelynek célja az NSA intézkedéseinek megalapozottságának ellenőrzése volt. 1978-ban a vizsgálatot követően jelentést tettek közzé, amely a következőket közölte:

• Az NSA képviselői a DES véglegesítésében csak közvetetten vettek részt, hozzájárulásuk csak a permutációs blokkok működésének megváltoztatására vonatkozott;
• a DES végleges verziója jobban ellenáll a hackelésnek és a kriptográfiai elemzésnek, mint az eredeti, így indokoltak voltak a változtatások;
• az 56 bites kulcshossz bőven elegendő az alkalmazások túlnyomó többségéhez, mert egy ilyen titkosítás feltöréséhez legalább több tízmillió dollárba kerülő szuperszámítógépre lenne szükség, és mivel a hétköznapi támadók és még a hivatásos hackerek sem rendelkeznek ilyen erőforrásokkal, nincs miért aggódni.

A bizottság következtetéseit részben megerősítették 1990-ben, amikor Eli Biham és Adi Shamir izraeli kriptográfusok, akik a differenciális kriptoanalízis koncepcióján dolgoztak, kiterjedt vizsgálatot végeztek a blokk-algoritmusokról, köztük a DES-ről. A tudósok arra a következtetésre jutottak, hogy az új permutációs modell sokkal ellenállóbb volt a támadásokkal szemben, mint az eredeti, ami azt jelenti, hogy az NSA valóban segített betömni több lyukat az algoritmusban.

Adi Shamir

Problémának bizonyult ugyanakkor a kulcshossz korlátozása, ami nagyon komoly, amit 1998-ban az Electronic Frontier Foundation (EFF) közszervezet a DES Challenge II kísérlet részeként meggyőzően bebizonyított. az RSA Laboratory égisze alatt zajlott. Kifejezetten a DES feltörésére készült egy szuperszámítógép, EFF DES Cracker kódnéven, amelyet John Gilmore, az EFF társalapítója és a DES Challenge projekt igazgatója, valamint Paul Kocher, a Cryptography Research alapítója hozott létre.

Processzor EFF DES Cracker

Az általuk kifejlesztett rendszer nyers erő alkalmazásával mindössze 56 óra, azaz kevesebb, mint három nap alatt tudta sikeresen megtalálni a titkosított minta kulcsát. Ehhez a DES Crackernek az összes lehetséges kombináció körülbelül negyedét kellett ellenőriznie, ami azt jelenti, hogy a legkedvezőtlenebb körülmények között is körülbelül 224 órát vesz igénybe a hackelés, azaz legfeljebb 10 napig. Ugyanakkor a szuperszámítógép költsége, figyelembe véve a tervezésre fordított pénzeszközöket, mindössze 250 ezer dollár volt. Nem nehéz kitalálni, hogy ma még egyszerűbb és olcsóbb feltörni egy ilyen kódot: nemcsak a hardver lett sokkal erősebb, hanem az internetes technológiák fejlődésének köszönhetően a hackernek nem kell megvásárolnia vagy bérelnie a szükséges felszerelés - elég egy botnet létrehozása a vírussal fertőzött PC-kből.

Ez a kísérlet egyértelműen megmutatta, hogy a DES mennyire elavult. És mivel akkoriban az algoritmust az adattitkosítás területén a megoldások közel 50%-ában használták (ugyanazon EFF szerint), az alternatíva keresésének kérdése minden eddiginél sürgetőbbé vált.

Új kihívások – új verseny

Az igazság kedvéért el kell mondanunk, hogy az adattitkosítási szabvány pótlásának keresése az EFF DES Cracker elkészítésével szinte egy időben kezdődött: az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) még 1997-ben bejelentette egy titkosítási algoritmus verseny, amelynek célja a kriptográfiai biztonság új „aranystandardja” azonosítása. És ha régen egy hasonló rendezvényt kizárólag „saját embereink számára” tartottak, akkor a 30 évvel ezelőtti sikertelen tapasztalatokat szem előtt tartva a NIST úgy döntött, hogy teljesen nyílttá teszi a versenyt: bármely cég és magánszemély részt vehetett a versenyen. helytől és állampolgárságtól függetlenül.

Ez a megközelítés már a pályázók kiválasztásának szakaszában is indokolt volt: az Advanced Encryption Standard versenyre jelentkező szerzők között voltak világhírű kriptológusok (Ross Anderson, Eli Biham, Lars Knudsen) és kiberbiztonságra szakosodott kis informatikai cégek (Counterpane). , valamint nagyvállalatok (német Deutsche Telekom), oktatási intézmények (KU Leuven, Belgium), valamint induló vállalkozások és kis cégek, amelyekről országukon kívül kevesen hallottak (például a Costa Rica-i Tecnologia Apropriada Internacional).

Érdekes módon a NIST ezúttal csak két alapvető követelményt hagyott jóvá a résztvevő algoritmusokkal szemben:

• az adatblokknak 128 bites rögzített méretűnek kell lennie;
• az algoritmusnak legalább három kulcsméretet kell támogatnia: 128, 192 és 256 bites.

Egy ilyen eredmény elérése viszonylag egyszerű volt, de ahogy mondani szokás, az ördög a részletekben rejlik: sokkal több másodlagos követelmény volt, és sokkal nehezebb volt teljesíteni őket. Eközben a NIST bírálói az ő alapjukon választották ki a versenyzőket. Íme, milyen kritériumoknak kell megfelelniük a győzelemre jelentkezőknek:

1. képes ellenállni a verseny idején ismert kriptográfiai támadásoknak, beleértve a harmadik felek csatornáin keresztül érkező támadásokat is;
2. gyenge és ekvivalens titkosítási kulcsok hiánya (az egyenértékű kulcsok azok a kulcsok, amelyek bár jelentős eltéréseket mutatnak egymástól, de azonos rejtjelekhez vezetnek);
3. a titkosítási sebesség stabil és megközelítőleg azonos minden jelenlegi platformon (8-64 bites);
4. optimalizálás többprocesszoros rendszerekre, a műveletek párhuzamosításának támogatása;
5. minimális követelmények a RAM mennyiségére vonatkozóan;
6. nincs korlátozás a szabványos forgatókönyvekben való használathoz (a hash függvények, PRNG-k stb. létrehozásának alapjaként);
7. Az algoritmus felépítésének ésszerűnek és könnyen érthetőnek kell lennie.

Az utolsó pont furcsának tűnhet, de ha jobban belegondolunk, akkor van értelme, mert egy jól felépített algoritmust sokkal könnyebb elemezni, és egy „könyvjelzőt” is sokkal nehezebb elrejteni benne, a amelyhez a fejlesztő korlátlan hozzáférést kaphat a titkosított adatokhoz.

Az Advanced Encryption Standard versenyre a jelentkezések elfogadása másfél évig tartott. Összesen 15 algoritmus vett részt benne:

1. CAST-256, amelyet a kanadai Entrust Technologies cég fejlesztett ki CAST-128 alapján, Carlisle Adams és Stafford Tavares készítette;
2. Crypton, amelyet a dél-koreai Future Systems kiberbiztonsági vállalat Chae Hoon Lim kriptológusa készített;
3. DEAL, melynek koncepcióját eredetileg Lars Knudsen dán matematikus javasolta, majd ötleteit a pályázaton való részvételre jelentkező Richard Outerbridge dolgozta ki;
4. DFC, a Paris School of Education, a Francia Nemzeti Tudományos Kutatási Központ (CNRS) és a France Telecom távközlési vállalat közös projektje;
5. E2, amelyet Japán legnagyobb távközlési vállalata, a Nippon Telegraph and Telephone égisze alatt fejlesztettek ki;
6. FROG, a Costa Rica-i Tecnologia Apropriada Internacional cég ötletgazdája;
7. HPC, amelyet Richard Schreppel amerikai kriptológus és matematikus talált ki az Arizonai Egyetemről;
8. LOKI97, amelyet Lawrence Brown és Jennifer Seberry ausztrál kriptográfusok készítettek;
9. Magenta, amelyet Michael Jacobson és Klaus Huber fejlesztett ki a Deutsche Telekom AG német távközlési vállalat számára;
10. Az IBM-től származó MARS, amelynek megalkotásában Don Coppersmith, a Lucifer egyik szerzője is részt vett;
11. RC6, amelyet Ron Rivest, Matt Robshaw és Ray Sydney írt kifejezetten az AES versenyhez;
12. Rijndael, Vincent Raymen és Johan Damen, a Leuveni Katolikus Egyetem munkatársa;
13. SAFER+, amelyet a kaliforniai Cylink vállalat fejlesztett ki az Örmény Köztársaság Nemzeti Tudományos Akadémiájával közösen;
14. Serpent, készítette Ross Anderson, Eli Beaham és Lars Knudsen;
15. Twofish, amelyet Bruce Schneier kutatócsoportja fejlesztett ki a Bruce által 1993-ban javasolt Blowfish kriptográfiai algoritmus alapján.

Az első forduló eredményei alapján 5 döntőst azonosítottak, köztük Serpent, Twofish, MARS, RC6 és Rijndael. A zsűri tagjai egy kivételével szinte mindegyik algoritmusban találtak hibát. Ki volt a győztes? Bővítsük ki egy kicsit az intrikát, és először vegyük figyelembe a felsorolt ​​megoldások fő előnyeit és hátrányait.

MARS

A „háború istene” esetében a szakértők feljegyezték az adattitkosítási és visszafejtési eljárás azonosságát, de itt az előnyei korlátozottak. Az IBM algoritmusa meglepően energiaéhes volt, így alkalmatlan volt a szűkös erőforrás-környezetekben való munkára. Problémák adódtak a számítások párhuzamosításával is. A hatékony működéshez a MARS hardveres támogatást igényelt a 32 bites szorzáshoz és a változó bites forgatáshoz, ami ismét korlátozta a támogatott platformok listáját.

Kiderült, hogy a MARS meglehetősen sebezhető az időzítési és energiatámadásokkal szemben, problémái voltak a menet közbeni kulcskiterjesztéssel, túlzott összetettsége pedig megnehezítette az architektúra elemzését, és további problémákat okozott a gyakorlati megvalósítás szakaszában. Röviden, a többi döntőshöz képest a MARS igazi kívülállónak tűnt.

RC6

Az algoritmus a korábban alaposan kutatott elődjétől, az RC5-től örökölte az átalakítások egy részét, amelyek egyszerű és vizuális szerkezettel kombinálva teljesen átláthatóvá tették a szakértők számára, és kiküszöbölték a „könyvjelzők” jelenlétét. Emellett az RC6 rekord adatfeldolgozási sebességet mutatott be 32 bites platformokon, a titkosítási és visszafejtési eljárásokat pedig teljesen azonos módon valósították meg.

Az algoritmusnak azonban ugyanazok a problémái voltak, mint a fent említett MARS-nek: volt sebezhetőség az oldalsó csatornás támadásokkal szemben, a teljesítmény függött a 32 bites műveletek támogatásától, valamint problémák a párhuzamos számítástechnikával, a kulcsbővítéssel és a hardver erőforrásokkal szemben. . Ebből a szempontból semmiképpen sem volt alkalmas a győztes szerepére.

Kettőhal

A Twofish meglehetősen gyorsnak és jól optimalizáltnak bizonyult az alacsony fogyasztású eszközökön való munkavégzéshez, kiválóan dolgozott a kulcsok bővítésében, és számos megvalósítási lehetőséget kínált, amelyek lehetővé tették, hogy finoman igazítsák az adott feladatokhoz. Ugyanakkor a „két hal” sebezhetőnek bizonyult az oldalsó csatornákon keresztüli támadásokkal szemben (különösen az idő és az energiafogyasztás tekintetében), nem voltak különösebben barátságosak a többprocesszoros rendszerekkel, és túlságosan összetettek voltak, amelyek egyébként , a kulcs kiterjesztésének sebességét is befolyásolta.

Kígyó

Az algoritmus egyszerű és érthető felépítésű, ami jelentősen leegyszerűsítette az auditálást, nem volt különösebben igényes a hardverplatform erejére, támogatta a billentyűk menet közbeni bővítését, és viszonylag könnyen módosítható volt, amivel kitűnt ellenfelek. Ennek ellenére a Serpent elvileg a leglassabb volt a döntősök közül, ráadásul a benne lévő információk titkosításának és visszafejtésének eljárásai gyökeresen eltérőek voltak, és alapvetően más megközelítést igényeltek a megvalósításhoz.

Rijndael

A Rijndael rendkívül közel áll az ideálishoz: az algoritmus teljes mértékben megfelelt a NIST követelményeinek, bár nem rosszabb, a jellemzők összességét tekintve pedig észrevehetően felülmúlja versenytársait. Reindalnak csak két gyengesége volt: a kulcsbővítési eljárást ért energiafogyasztási támadásokkal szembeni sebezhetőség, ami egy nagyon specifikus forgatókönyv, és bizonyos problémák a menet közbeni kulcskiterjesztéssel (ez a mechanizmus csak két versenytársnál működött korlátozás nélkül – a Serpent és a Twofish) . Ezenkívül a szakértők szerint a Reindal kriptográfiai erőssége valamivel alacsonyabb volt, mint a Serpent, a Twofish és a MARS, amit azonban bőven kompenzált az oldalcsatornás támadások túlnyomó többségével szembeni ellenállása és a széles tartomány. megvalósítási lehetőségek közül.

Kategória

Kígyó

Kettőhal

MARS

RC6

Rijndael

Kriptográfiai erősség

+

+

+

+

+

Kriptográfiai erőtartalék

++

++

++

+

+

Titkosítási sebesség, ha szoftverben van megvalósítva

-

±

±

+

+

Legfontosabb bővítési sebesség, ha szoftverben van megvalósítva

±

-

±

±

+

Intelligens kártyák nagy kapacitással

+

+

-

±

++

Intelligens kártyák korlátozott erőforrásokkal

±

+

-

±

++

Hardveres megvalósítás (FPGA)

+

+

-

±

+

Hardveres megvalósítás (speciális chip)

+

±

-

-

+

Védelem a végrehajtási idővel és az áramütésekkel szemben

+

±

-

-

+

Védelem a kulcsbővítési eljárást ért energiafogyasztási támadások ellen

±

±

±

±

-

Védelem az intelligens kártya implementációit érő energiafogyasztási támadások ellen

±

+

-

±

+

Lehetőség a kulcs menet közbeni bővítésére

+

+

±

±

±

A megvalósítási lehetőségek elérhetősége (a kompatibilitás elvesztése nélkül)

+

+

±

±

+

Párhuzamos számítási lehetőség

±

±

±

±

+

A jellemzők összességét tekintve Reindal fej-vállal felülmúlta versenytársait, így a zárószavazás eredménye egészen logikusra sikerült: az algoritmus elsöprő győzelmet aratott, 86 igen szavazatot kapott, és mindössze 10 ellene. Serpent az előkelő második helyet szerezte meg 59 szavazattal, míg Twofish a harmadik helyen végzett: 31 zsűritag állt ki érte. Őket az RC6 követte, 23 szavazatot nyerve, a MARS pedig természetesen az utolsó helyen végzett, mindössze 13 igen szavazatot és 83 nemet kapott.

2. október 2000-án Rijndaelt hirdették ki az AES verseny győztesének, amely hagyományosan Advanced Encryption Standard-ra változtatta a nevét, amelyről jelenleg is ismert. A szabványosítási eljárás körülbelül egy évig tartott: 26. november 2001-án az AES felkerült a Szövetségi Információfeldolgozási Szabványok listájára, megkapta a FIPS 197 indexet.Az új algoritmust az NSA is nagyra értékelte, 2003 júniusa óta pedig az USA A Nemzetbiztonsági Ügynökség még azt is elismerte, hogy az AES egy 256 bites kulcsú titkosítással elég erős ahhoz, hogy biztosítsa a szigorúan titkos dokumentumok biztonságát.

A WD My Book külső meghajtók támogatják az AES-256 hardveres titkosítást

A nagy megbízhatóság és teljesítmény kombinációjának köszönhetően az Advanced Encryption Standard gyorsan világszerte elismertséget szerzett, a világ egyik legnépszerűbb szimmetrikus titkosítási algoritmusává vált, és számos kriptográfiai könyvtárba is bekerült (OpenSSL, GnuTLS, Linux Crypto API stb.). Az AES-t ma már széles körben használják vállalati és fogyasztói alkalmazásokban, és számos eszköz támogatja. A Western Digital My Book külső meghajtócsaládjában az AES-256 hardveres titkosítást használják a tárolt adatok védelmének biztosítására. Nézzük meg közelebbről ezeket az eszközöket.

A WD My Book asztali merevlemezek sorozata hat különböző kapacitású modellt tartalmaz: 4, 6, 8, 10, 12 és 14 terabájt, így kiválaszthatja az igényeinek leginkább megfelelő eszközt. A külső merevlemezek alapértelmezés szerint az exFAT fájlrendszert használják, amely biztosítja a kompatibilitást számos operációs rendszerrel, beleértve a Microsoft Windows 7, 8, 8.1 és 10, valamint az Apple macOS 10.13 (High Sierra) és újabb verzióit. A Linux operációs rendszer felhasználóinak lehetőségük van merevlemez csatlakoztatására az exfat-nofuse illesztőprogram segítségével.

A My Book nagy sebességű USB 3.0 interfészen keresztül csatlakozik a számítógépéhez, amely visszafelé kompatibilis az USB 2.0-val. Ez egyrészt lehetővé teszi a fájlok átvitelét a lehető legnagyobb sebességgel, mert az USB SuperSpeed ​​sávszélessége 5 Gbps (azaz 640 MB/s), ami több mint elég. Ugyanakkor a visszafelé kompatibilitási funkció szinte minden, az elmúlt 10 évben kiadott eszköz támogatását biztosítja.

Bár a My Book nem igényel további szoftvertelepítést a Plug and Play technológiának köszönhetően, amely automatikusan észleli és konfigurálja a perifériás eszközöket, továbbra is javasoljuk az egyes eszközökhöz mellékelt szabadalmaztatott WD Discovery szoftvercsomag használatát.

A készlet a következő alkalmazásokat tartalmazza:

WD Drive Utilities

A program lehetővé teszi, hogy a SMART adatok alapján naprakész információkat szerezzen a meghajtó aktuális állapotáról, és ellenőrizze a merevlemez hibás szektorait. Ezenkívül a Drive Utilities segítségével gyorsan megsemmisítheti a My Book-on tárolt összes adatot: ebben az esetben a fájlok nemcsak törlődnek, hanem többször is teljesen felülíródnak, így ez többé nem lehetséges. visszaállítani őket az eljárás befejezése után.

WD biztonsági mentés

Ezzel a segédprogrammal a biztonsági mentéseket meghatározott ütemezés szerint konfigurálhatja. Érdemes elmondani, hogy a WD Backup támogatja a Google Drive-val és a Dropbox-szal való munkát, miközben lehetővé teszi a forrás-célhely kombinációk kiválasztását a biztonsági mentés létrehozásakor. Így beállíthatja az adatok automatikus átvitelét a My Bookból a felhőbe, vagy importálhatja a szükséges fájlokat és mappákat a felsorolt ​​szolgáltatásokból külső merevlemezre és helyi gépre egyaránt. Ezenkívül lehetőség van a Facebook-fiókkal való szinkronizálásra, amely lehetővé teszi, hogy automatikusan biztonsági másolatot készítsen a profiljából a fényképekről és videókról.

WD Security

Ennek a segédprogramnak a segítségével korlátozhatja a meghajtóhoz való hozzáférést jelszóval, és kezelheti az adatok titkosítását. Ehhez nem kell más, mint egy jelszó megadása (maximális hossza elérheti a 25 karaktert), amely után a lemezen található összes információ titkosításra kerül, és a mentett fájlokhoz csak az férhet hozzá, aki ismeri a jelszót. A nagyobb kényelem érdekében a WD Security lehetővé teszi a megbízható eszközök listájának létrehozását, amelyek csatlakoztatásakor automatikusan feloldják a My Book zárolását.

Hangsúlyozzuk, hogy a WD Security csak kényelmes vizuális felületet biztosít a kriptográfiai védelem kezelésére, míg az adatok titkosítását maga a külső meghajtó végzi hardver szinten. Ez a megközelítés számos fontos előnnyel jár, nevezetesen:

• a PRNG helyett egy hardveres véletlenszám-generátor felelős a titkosítási kulcsok létrehozásáért, ami segít a magas fokú entrópia elérésében és a kriptográfiai erősségük növelésében;
• a titkosítási és visszafejtési eljárás során a kriptográfiai kulcsok nem töltődnek le a számítógép RAM-jába, és nem készülnek a feldolgozott fájlok ideiglenes másolatai a rendszermeghajtó rejtett mappáiban, ami segít minimalizálni az elfogásuk valószínűségét;
• a fájlfeldolgozás sebessége semmilyen módon nem függ a kliens eszköz teljesítményétől;
• A védelem aktiválása után a fájlok titkosítása automatikusan, „menet közben” történik, anélkül, hogy a felhasználó részéről további lépésekre lenne szükség.

A fentiek mindegyike garantálja az adatbiztonságot, és szinte teljesen kiküszöböli a bizalmas információk ellopásának lehetőségét. A meghajtó további képességeit figyelembe véve ez teszi a My Book-ot az egyik legjobban védett tárolóeszközzé az orosz piacon.

Forrás: will.com