ProHoster > blog > amministrazione > Il migliore della categoria: la storia dello standard di crittografia AES

Il migliore della categoria: la storia dello standard di crittografia AES

Il migliore della categoria: la storia dello standard di crittografia AES
Da maggio 2020 sono iniziate in Russia le vendite ufficiali dei dischi rigidi esterni WD My Book che supportano la crittografia hardware AES con chiave a 256 bit. A causa delle restrizioni legali, prima tali dispositivi potevano essere acquistati solo nei negozi di elettronica online stranieri o sul mercato "grigio", ma ora chiunque può acquistare un'unità protetta con una garanzia proprietaria di 3 anni di Western Digital. In onore di questo evento significativo, abbiamo deciso di fare una breve escursione nella storia e di capire come è apparso l'Advanced Encryption Standard e perché è così valido rispetto alle soluzioni concorrenti.

Per molto tempo lo standard ufficiale per la crittografia simmetrica negli Stati Uniti è stato il DES (Data Encryption Standard), sviluppato da IBM e incluso nell'elenco dei Federal Information Processing Standards nel 1977 (FIPS 46-3). L'algoritmo si basa sugli sviluppi ottenuti durante un progetto di ricerca nome in codice Lucifer. Quando il 15 maggio 1973 il National Bureau of Standards degli Stati Uniti annunciò un concorso per creare uno standard di crittografia per le agenzie governative, la società americana entrò nella corsa crittografica con la terza versione di Lucifer, che utilizzava una rete Feistel aggiornata. E insieme ad altri concorrenti ha fallito: nessuno degli algoritmi presentati al primo concorso soddisfaceva i severi requisiti formulati dagli esperti di NBS.

Il migliore della categoria: la storia dello standard di crittografia AES
Naturalmente l'IBM non poteva semplicemente accettare la sconfitta: quando la competizione riprese, il 27 agosto 1974, la società americana presentò nuovamente una domanda, presentando una versione migliorata di Lucifer. Questa volta la giuria non ha presentato un solo reclamo: avendo svolto un lavoro competente sugli errori, IBM ha eliminato con successo tutte le carenze, quindi non c'era nulla di cui lamentarsi. Dopo aver ottenuto una vittoria schiacciante, Lucifero cambiò il suo nome in DES e fu pubblicato nel Registro federale il 17 marzo 1975.

Tuttavia, durante i simposi pubblici organizzati nel 1976 per discutere del nuovo standard crittografico, il DES fu pesantemente criticato dalla comunità degli esperti. La ragione di ciò sono state le modifiche apportate all'algoritmo dagli specialisti della NSA: in particolare, la lunghezza della chiave è stata ridotta a 56 bit (inizialmente Lucifer supportava il funzionamento con chiavi a 64 e 128 bit) e la logica dei blocchi di permutazione è stata modificata. . Secondo i crittografi i “miglioramenti” erano privi di significato e l’unico obiettivo a cui mirava l’Agenzia per la sicurezza nazionale con l’implementazione delle modifiche era poter visualizzare liberamente i documenti crittografati.

In relazione a queste accuse è stata creata una commissione speciale presso il Senato degli Stati Uniti, il cui scopo era verificare la validità delle azioni della NSA. Nel 1978, a seguito dell'indagine, fu pubblicato un rapporto in cui si affermava quanto segue:

  • I rappresentanti della NSA hanno partecipato alla finalizzazione del DES solo indirettamente, e il loro contributo ha riguardato solo cambiamenti nel funzionamento dei blocchi di permutazione;
  • la versione finale del DES si è rivelata più resistente all'hacking e all'analisi crittografica rispetto all'originale, quindi le modifiche erano giustificate;
  • una lunghezza della chiave di 56 bit è più che sufficiente per la stragrande maggioranza delle applicazioni, perché per violare un codice del genere sarebbe necessario un supercomputer che costasse almeno diverse decine di milioni di dollari, e poiché gli aggressori comuni e persino gli hacker professionisti non dispongono di tali risorse, non c'è niente di cui preoccuparsi.

Le conclusioni della commissione furono parzialmente confermate nel 1990, quando i crittografi israeliani Eli Biham e Adi Shamir, lavorando sul concetto di crittoanalisi differenziale, condussero un ampio studio sugli algoritmi a blocchi, incluso il DES. Gli scienziati hanno concluso che il nuovo modello di permutazione era molto più resistente agli attacchi rispetto a quello originale, il che significa che la NSA ha effettivamente contribuito a colmare diversi buchi nell’algoritmo.

Il migliore della categoria: la storia dello standard di crittografia AES
Adi Shamir

Allo stesso tempo, la limitazione della lunghezza delle chiavi si è rivelata un problema, per giunta molto serio, come è stato dimostrato in modo convincente nel 1998 dall’organizzazione pubblica Electronic Frontier Foundation (EFF) nell’ambito dell’esperimento DES Challenge II. condotto sotto gli auspici del Laboratorio RSA. È stato costruito un supercomputer appositamente per il cracking del DES, nome in codice EFF DES Cracker, creato da John Gilmore, co-fondatore di EFF e direttore del progetto DES Challenge, e Paul Kocher, fondatore di Cryptography Research.

Il migliore della categoria: la storia dello standard di crittografia AES
Processore EFF DES Cracker

Il sistema da loro sviluppato è riuscito a trovare con successo la chiave di un campione crittografato utilizzando la forza bruta in sole 56 ore, ovvero in meno di tre giorni. Per fare ciò, DES Cracker doveva controllare circa un quarto di tutte le possibili combinazioni, il che significa che anche nelle circostanze più sfavorevoli l'hacking avrebbe richiesto circa 224 ore, ovvero non più di 10 giorni. Allo stesso tempo, il costo del supercomputer, tenendo conto dei fondi spesi per la sua progettazione, era di soli 250mila dollari. Non è difficile intuire che oggi sia ancora più semplice ed economico decifrare un codice del genere: non solo l'hardware è diventato molto più potente, ma anche grazie allo sviluppo delle tecnologie Internet un hacker non deve più acquistare o noleggiare il attrezzatura necessaria: è sufficiente creare una botnet di PC infetti da un virus.

Questo esperimento ha dimostrato chiaramente quanto sia obsoleto il DES. E poiché all’epoca l’algoritmo veniva utilizzato in quasi il 50% delle soluzioni nel campo della crittografia dei dati (secondo la stessa stima EFF), la questione di trovare un’alternativa è diventata più urgente che mai.

Nuove sfide - nuova competizione

Il migliore della categoria: la storia dello standard di crittografia AES
Per essere onesti, va detto che la ricerca di un sostituto per il Data Encryption Standard è iniziata quasi contemporaneamente alla preparazione dell'EFF DES Cracker: il National Institute of Standards and Technology (NIST) degli Stati Uniti nel 1997 ha annunciato il lancio di un Concorso per algoritmi di crittografia progettato per identificare un nuovo “gold standard” per la criptosicurezza. E se ai vecchi tempi un evento simile veniva organizzato esclusivamente "per la nostra gente", allora, tenendo presente l'esperienza infruttuosa di 30 anni fa, il NIST ha deciso di rendere il concorso completamente aperto: qualsiasi azienda e qualsiasi individuo poteva partecipare esso, indipendentemente dalla posizione o dalla cittadinanza.

Questo approccio si è giustificato anche nella fase di selezione dei candidati: tra gli autori che hanno presentato domanda per partecipare al concorso Advanced Encryption Standard c'erano crittologi di fama mondiale (Ross Anderson, Eli Biham, Lars Knudsen) e piccole società IT specializzate in sicurezza informatica (Counterpane ) , e grandi aziende (Deutsche Telekom tedesca), istituti di istruzione (KU Leuven, Belgio), nonché start-up e piccole imprese di cui pochi hanno sentito parlare al di fuori dei loro paesi (ad esempio, Tecnologia Apropriada Internacional dal Costa Rica).

È interessante notare che questa volta il NIST ha approvato solo due requisiti di base per gli algoritmi partecipanti:

  • il blocco dati deve avere una dimensione fissa di 128 bit;
  • l'algoritmo deve supportare almeno tre dimensioni di chiave: 128, 192 e 256 bit.

Raggiungere un risultato del genere è stato relativamente semplice, ma, come si suol dire, il diavolo sta nei dettagli: c'erano molti più requisiti secondari ed era molto più difficile soddisfarli. Nel frattempo, è stato su questa base che i revisori del NIST hanno selezionato i concorrenti. Ecco i criteri che i candidati alla vittoria dovevano soddisfare:

  1. capacità di resistere a qualsiasi attacco crittoanalitico noto al momento del concorso, compresi gli attacchi attraverso canali di terze parti;
  2. l'assenza di chiavi di crittografia deboli ed equivalenti (per equivalenti si intendono quelle chiavi che, pur presentando differenze significative tra loro, portano a cifre identiche);
  3. la velocità di crittografia è stabile e approssimativamente la stessa su tutte le piattaforme attuali (da 8 a 64 bit);
  4. ottimizzazione per sistemi multiprocessore, supporto per la parallelizzazione delle operazioni;
  5. requisiti minimi per la quantità di RAM;
  6. nessuna restrizione per l'utilizzo in scenari standard (come base per la costruzione di funzioni hash, PRNG, ecc.);
  7. La struttura dell'algoritmo deve essere ragionevole e facile da comprendere.

L’ultimo punto può sembrare strano, ma se ci pensi ha senso, perché un algoritmo ben strutturato è molto più facile da analizzare, ed è anche molto più difficile nascondervi un “segnalibro”, con l’aiuto di quale uno sviluppatore potrebbe ottenere accesso illimitato ai dati crittografati.

L'accettazione delle domande per il concorso Advanced Encryption Standard è durata un anno e mezzo. Vi hanno preso parte in totale 15 algoritmi:

  1. CAST-256, sviluppato dalla società canadese Entrust Technologies basato su CAST-128, creato da Carlisle Adams e Stafford Tavares;
  2. Crypton, creato dal crittologo Chae Hoon Lim della società di sicurezza informatica sudcoreana Future Systems;
  3. DEAL, il cui concetto è stato originariamente proposto dal matematico danese Lars Knudsen, e in seguito le sue idee sono state sviluppate da Richard Outerbridge, che ha presentato domanda di partecipazione al concorso;
  4. DFC, un progetto congiunto della Scuola dell'Educazione di Parigi, del Centro nazionale francese per la ricerca scientifica (CNRS) e della società di telecomunicazioni France Telecom;
  5. E2, sviluppato sotto gli auspici della più grande compagnia di telecomunicazioni del Giappone, Nippon Telegraph and Telephone;
  6. FROG, nato da un'idea della società costaricana Tecnologia Apropriada Internacional;
  7. HPC, inventato dal crittologo e matematico americano Richard Schreppel dell'Università dell'Arizona;
  8. LOKI97, creato dai crittografi australiani Lawrence Brown e Jennifer Seberry;
  9. Magenta, sviluppato da Michael Jacobson e Klaus Huber per la società di telecomunicazioni tedesca Deutsche Telekom AG;
  10. MARS di IBM, alla cui creazione ha preso parte Don Coppersmith, uno degli autori di Lucifer;
  11. RC6, scritto da Ron Rivest, Matt Robshaw e Ray Sydney appositamente per la competizione AES;
  12. Rijndael, creato da Vincent Raymen e Johan Damen dell'Università Cattolica di Lovanio;
  13. SAFER+, sviluppato dalla società californiana Cylink insieme all'Accademia Nazionale delle Scienze della Repubblica d'Armenia;
  14. Serpent, creato da Ross Anderson, Eli Beaham e Lars Knudsen;
  15. Twofish, sviluppato dal gruppo di ricerca di Bruce Schneier sulla base dell'algoritmo crittografico Blowfish proposto da Bruce nel 1993.

Sulla base dei risultati del primo round, sono stati identificati 5 finalisti, tra cui Serpent, Twofish, MARS, RC6 e Rijndael. I membri della giuria hanno riscontrato difetti in quasi tutti gli algoritmi elencati, tranne uno. Chi è stato il vincitore? Estendiamo un po' l'intrigo e consideriamo prima i principali vantaggi e svantaggi di ciascuna delle soluzioni elencate.

MARS

Nel caso del “dio della guerra”, gli esperti hanno notato l’identità della procedura di crittografia e decrittografia dei dati, ma è qui che i suoi vantaggi erano limitati. L'algoritmo di IBM era sorprendentemente assetato di energia, rendendolo inadatto a lavorare in ambienti con risorse limitate. Si sono verificati anche problemi con la parallelizzazione dei calcoli. Per funzionare in modo efficace, MARS richiedeva il supporto hardware per la moltiplicazione a 32 bit e la rotazione a bit variabile, che ancora una volta imponevano limitazioni all'elenco delle piattaforme supportate.

MARS si è rivelato piuttosto vulnerabile agli attacchi temporali e di potenza, ha avuto problemi con l'espansione dei tasti al volo e la sua eccessiva complessità ha reso difficile l'analisi dell'architettura e ha creato ulteriori problemi nella fase di implementazione pratica. Insomma, rispetto agli altri finalisti, MARS sembrava un vero outsider.

RC6

L’algoritmo ha ereditato alcune trasformazioni dal suo predecessore, RC5, che erano state studiate approfonditamente in precedenza, le quali, combinate con una struttura semplice e visiva, lo rendevano completamente trasparente agli esperti ed eliminavano la presenza di “segnalibri”. Inoltre, RC6 ha dimostrato velocità record di elaborazione dei dati su piattaforme a 32 bit e le procedure di crittografia e decrittografia sono state implementate in modo assolutamente identico.

Tuttavia, l'algoritmo presentava gli stessi problemi del già citato MARS: vulnerabilità agli attacchi side-channel, dipendenza delle prestazioni dal supporto per operazioni a 32 bit, nonché problemi con il calcolo parallelo, espansione delle chiavi e richieste di risorse hardware. . A questo proposito, non era in alcun modo adatto al ruolo di vincitore.

Twofish

Twofish si è rivelato abbastanza veloce e ben ottimizzato per lavorare su dispositivi a basso consumo, ha svolto un ottimo lavoro nell'espansione dei tasti e ha offerto diverse opzioni di implementazione che hanno permesso di adattarlo in modo sottile a compiti specifici. Allo stesso tempo, i “due pesci” si sono rivelati vulnerabili agli attacchi tramite canali laterali (soprattutto in termini di tempo e consumo energetico), non erano particolarmente amichevoli con i sistemi multiprocessore ed erano eccessivamente complessi, il che, tra l’altro , ha influito anche sulla velocità di espansione delle chiavi.

serpente

L'algoritmo aveva una struttura semplice e comprensibile, che ne semplificava notevolmente il controllo, non era particolarmente esigente in termini di potenza della piattaforma hardware, supportava l'espansione dei tasti al volo ed era relativamente facile da modificare, il che lo distingueva dai suoi concorrenti. avversari. Nonostante ciò, Serpent è stato, in linea di principio, il più lento dei finalisti, inoltre, le procedure per crittografare e decrittografare le informazioni in esso contenute erano radicalmente diverse e richiedevano approcci di implementazione fondamentalmente diversi.

Rijndael

Rijndael si è rivelato estremamente vicino all'ideale: l'algoritmo ha soddisfatto pienamente i requisiti NIST, pur non essendo inferiore, e in termini di totalità delle caratteristiche, notevolmente superiore ai suoi concorrenti. Reindal aveva solo due punti deboli: vulnerabilità agli attacchi con consumo di energia sulla procedura di espansione della chiave, che è uno scenario molto specifico, e alcuni problemi con l'espansione della chiave al volo (questo meccanismo funzionava senza restrizioni solo per due concorrenti: Serpent e Twofish) . Inoltre, secondo gli esperti, Reindal aveva un margine di forza crittografica leggermente inferiore rispetto a Serpent, Twofish e MARS, che, tuttavia, era più che compensato dalla sua resistenza alla stragrande maggioranza dei tipi di attacchi side-channel e da un'ampia gamma delle opzioni di implementazione.

categoria

serpente

Twofish

MARS

RC6

Rijndael

Forza crittografica

+

+

+

+

+

Riserva di forza crittografica

++

++

++

+

+

Velocità di crittografia quando implementata nel software

-

±

±

+

+

Velocità di espansione dei tasti quando implementata nel software

±

-

±

±

+

Smart card di grande capacità

+

+

-

±

++

Smart card con risorse limitate

±

+

-

±

++

Implementazione hardware (FPGA)

+

+

-

±

+

Implementazione hardware (chip specializzato)

+

±

-

-

+

Protezione contro i tempi di esecuzione e gli attacchi di potenza

+

±

-

-

+

Protezione contro attacchi di consumo energetico sulla procedura di espansione dei tasti

±

±

±

±

-

Protezione dagli attacchi legati al consumo energetico sulle implementazioni delle smart card

±

+

-

±

+

Possibilità di espandere la chiave al volo

+

+

±

±

±

Disponibilità di opzioni di implementazione (senza perdita di compatibilità)

+

+

±

±

+

Possibilità di calcolo parallelo

±

±

±

±

+

In termini di totalità delle caratteristiche, Reindal era una spanna sopra i suoi concorrenti, quindi il risultato del voto finale si è rivelato abbastanza logico: l'algoritmo ha ottenuto una vittoria schiacciante, ricevendo 86 voti a favore e solo 10 contrari. Serpent ha ottenuto un rispettabile secondo posto con 59 voti, mentre Twofish si è piazzato al terzo posto: a difenderlo hanno preso parte 31 membri della giuria. Sono stati seguiti da RC6, che ha ottenuto 23 voti, e MARS è finito naturalmente all'ultimo posto, ricevendo solo 13 voti a favore e 83 contrari.

Il 2 ottobre 2000, Rijndael è stato annunciato come il vincitore del concorso AES, cambiando tradizionalmente il suo nome in Advanced Encryption Standard, con cui è attualmente noto. L'iter di standardizzazione è durato circa un anno: il 26 novembre 2001 AES è stato inserito nella lista dei Federal Information Processing Standards, ricevendo l'indice FIPS 197. Il nuovo algoritmo è stato molto apprezzato anche dalla NSA, e dal giugno 2003 anche quella statunitense La National Security Agency ha persino riconosciuto che AES con una chiave di crittografia a 256 bit è sufficientemente potente da garantire la sicurezza dei documenti top secret.

Le unità esterne WD My Book supportano la crittografia hardware AES-256

Grazie alla combinazione di elevata affidabilità e prestazioni, Advanced Encryption Standard ha rapidamente guadagnato riconoscimento a livello mondiale, diventando uno degli algoritmi di crittografia simmetrica più popolari al mondo ed essendo incluso in molte librerie crittografiche (OpenSSL, GnuTLS, Crypto API di Linux, ecc.). AES è ora ampiamente utilizzato nelle applicazioni aziendali e consumer ed è supportato in un'ampia varietà di dispositivi. In particolare, la crittografia hardware AES-256 viene utilizzata nella famiglia di unità esterne My Book di Western Digital per garantire la protezione dei dati archiviati. Diamo uno sguardo più da vicino a questi dispositivi.

Il migliore della categoria: la storia dello standard di crittografia AES
La linea di dischi rigidi desktop WD My Book comprende sei modelli di diverse capacità: 4, 6, 8, 10, 12 e 14 terabyte, consentendoti di scegliere il dispositivo più adatto alle tue esigenze. Per impostazione predefinita, gli HDD esterni utilizzano il file system exFAT, che garantisce la compatibilità con un'ampia gamma di sistemi operativi, tra cui Microsoft Windows 7, 8, 8.1 e 10, nonché Apple macOS versione 10.13 (High Sierra) e successive. Gli utenti del sistema operativo Linux hanno la possibilità di montare un disco rigido utilizzando il driver exfat-nofuse.

My Book si collega al computer utilizzando un'interfaccia USB 3.0 ad alta velocità, retrocompatibile con USB 2.0. Da un lato, ciò consente di trasferire file alla massima velocità possibile, perché la larghezza di banda USB SuperSpeed ​​è di 5 Gbps (ovvero 640 MB/s), che è più che sufficiente. Allo stesso tempo, la funzionalità di compatibilità con le versioni precedenti garantisce il supporto per quasi tutti i dispositivi rilasciati negli ultimi 10 anni.

Il migliore della categoria: la storia dello standard di crittografia AES
Sebbene My Book non richieda l'installazione di alcun software aggiuntivo grazie alla tecnologia Plug and Play che rileva e configura automaticamente i dispositivi periferici, consigliamo comunque di utilizzare il pacchetto software proprietario WD Discovery fornito con ciascun dispositivo.

Il migliore della categoria: la storia dello standard di crittografia AES
Il set comprende le seguenti applicazioni:

WD Drive Utilities

Il programma consente di ottenere informazioni aggiornate sullo stato attuale dell'unità in base ai dati SMART e di controllare la presenza di settori danneggiati nel disco rigido. Inoltre, con l'aiuto di Drive Utilities, potrai distruggere velocemente tutti i dati salvati sul tuo My Book: in questo caso, i file non solo verranno cancellati, ma anche sovrascritti completamente più volte, tanto che non sarà più possibile per ripristinarli una volta completata la procedura.

WD Backup

Utilizzando questa utilità, è possibile configurare i backup in base a una pianificazione specifica. Vale la pena dire che WD Backup supporta il lavoro con Google Drive e Dropbox, consentendoti allo stesso tempo di selezionare qualsiasi possibile combinazione origine-destinazione durante la creazione di un backup. Pertanto, puoi impostare il trasferimento automatico dei dati da My Book al cloud o importare i file e le cartelle necessari dai servizi elencati sia su un disco rigido esterno che su un computer locale. Inoltre, è possibile sincronizzarsi con il tuo account Facebook, cosa che ti permette di creare automaticamente copie di backup di foto e video dal tuo profilo.

Sicurezza WD

È con l'aiuto di questa utility che puoi limitare l'accesso all'unità con una password e gestire la crittografia dei dati. Tutto ciò che serve è specificare una password (la sua lunghezza massima può raggiungere i 25 caratteri), dopodiché tutte le informazioni sul disco verranno crittografate e solo chi conosce la passphrase potrà accedere ai file salvati. Per maggiore comodità, WD Security ti consente di creare un elenco di dispositivi attendibili che, una volta connessi, sbloccheranno automaticamente My Book.

Sottolineiamo che WD Security fornisce solo una comoda interfaccia visiva per la gestione della protezione crittografica, mentre la crittografia dei dati viene eseguita dall'unità esterna stessa a livello hardware. Questo approccio offre una serie di importanti vantaggi, ovvero:

  • un generatore hardware di numeri casuali, anziché un PRNG, è responsabile della creazione delle chiavi di crittografia, che aiutano a raggiungere un elevato grado di entropia e ad aumentare la loro forza crittografica;
  • durante la procedura di crittografia e decrittografia, le chiavi crittografiche non vengono scaricate nella RAM del computer, né vengono create copie temporanee dei file elaborati in cartelle nascoste sull'unità di sistema, il che aiuta a ridurre al minimo la probabilità della loro intercettazione;
  • la velocità di elaborazione dei file non dipende in alcun modo dalle prestazioni del dispositivo client;
  • Dopo aver attivato la protezione, la crittografia dei file verrà eseguita automaticamente, “al volo”, senza richiedere ulteriori azioni da parte dell'utente.

Tutto quanto sopra garantisce la sicurezza dei dati e consente di eliminare quasi completamente la possibilità di furto di informazioni riservate. Tenendo conto delle capacità aggiuntive dell'unità, ciò rende My Book uno dei dispositivi di archiviazione meglio protetti disponibili sul mercato russo.

Fonte: habr.com

Aggiungi un commento