🥇クラス最高: AES 暗号化規格の歴史

2020 年 256 月以降、3 ビットキーによる AES ハードウェア暗号化をサポートする WD My Book 外付けハードドライブの正式販売がロシアで開始されました。法的規制により、以前はこのようなデバイスは海外のオンライン家電量販店か「グレー」マーケットでしか購入できませんでしたが、現在では誰でも Western Digital の独自の XNUMX 年間保証が付いた保護されたドライブを入手できるようになりました。この重要なイベントを記念して、私たちは歴史を少し遡って、Advanced Encryption Standard がどのように登場したのか、また競合ソリューションと比較してなぜこれが優れているのかを理解することにしました。

長い間、米国における対称暗号化の公式標準は、IBM によって開発され、1977 年に連邦情報処理標準のリストに含まれた DES (データ暗号化標準) でした (FIPS 46-3)。このアルゴリズムは、コード名「Lucifer」という研究プロジェクト中に得られた開発に基づいています。 15 年 1973 月 XNUMX 日に、米国国家標準局が政府機関向けの暗号化標準を作成する競争を発表したとき、米国企業は更新された Feistel ネットワークを使用する Lucifer の XNUMX 番目のバージョンで暗号化競争に参加しました。そして、他の競合他社と同じく失敗に終わりました。最初のコンテストに提出されたアルゴリズムは、NBS の専門家によって策定された厳格な要件を XNUMX つも満たしていませんでした。

もちろん、IBM は単純に敗北を受け入れるわけにはいきませんでした。27 年 1974 月 17 日に競争が再開されたとき、アメリカ企業は再び申請を提出し、ルシファーの改良版を提出しました。今回、陪審員には何の不満もありませんでした。IBM はエラーに対して適切な作業を行った結果、すべての欠点を取り除くことに成功したため、文句を言うべき点は何もありませんでした。地滑り的な勝利を収めたルシファーは名前を DES に変更し、1975 年 XNUMX 月 XNUMX 日に連邦官報に掲載されました。

しかし、新しい暗号規格について議論するために 1976 年に開催された公開シンポジウムでは、DES は専門家コミュニティから激しく批判されました。この理由は、NSA 専門家によってアルゴリズムに加えられた変更でした。特に、キーの長さが 56 ビットに削減され (当初、Lucifer は 64 ビットおよび 128 ビットのキーの操作をサポートしていました)、置換ブロックのロジックが変更されました。。暗号学者らによると、「改良」には意味がなく、国家安全保障局が改良を導入することで目指していたのは、暗号化された文書を自由に閲覧できるようにすることだけだったという。

これらの告発に関連して、米国上院の下に特別委員会が設置され、その目的はNSAの行動の正当性を検証することであった。調査後の 1978 年に次のような報告書が発表されました。

NSA の代表者は DES の最終決定に間接的にのみ参加し、その貢献は置換ブロックの動作の変更のみに関係していました。
DES の最終バージョンはオリジナルよりもハッキングや暗号解析に対する耐性が高いことが判明したため、変更は正当化されました。
56 ビットの鍵の長さは、ほとんどのアプリケーションにとって十分です。そのような暗号を解読するには、少なくとも数千万ドルかかるスーパーコンピューターが必要であり、一般の攻撃者やプロのハッカーでさえそのようなリソースを持っていないためです。心配することはありません。

委員会の結論は、差分暗号解読の概念に取り組んでいたイスラエルの暗号学者イーライ・ビハムとアディ・シャミルがDESを含むブロックアルゴリズムの大規模な研究を行った1990年に部分的に確認された。科学者らは、新しい順列モデルは元のモデルよりも攻撃に対する耐性がはるかに高いと結論付けました。これは、NSA が実際にアルゴリズムのいくつかの穴をふさぐのに貢献したことを意味します。

アディ・シャミル

同時に、鍵の長さの制限が問題であり、非常に深刻な問題であることが判明しました。このことは、1998 年に DES チャレンジ II 実験の一環として公的機関電子フロンティア財団 (EFF) によって説得力を持って証明されました。 RSA研究所の後援の下で実施されました。 DES のクラッキング専用に構築されたスーパーコンピューターは、コード名 EFF DES Cracker で、EFF の共同創設者で DES Challenge プロジェクトのディレクターである John Gilmore と Cryptography Research の創設者 Paul Kocher によって作成されました。

プロセッサ EFF DES クラッカー

彼らが開発したシステムは、ブルートフォースを使用して暗号化されたサンプルの鍵をわずか 56 時間、つまり 224 日以内に見つけることに成功しました。これを行うために、DES クラッカーは考えられるすべての組み合わせの約 10 分の 250 をチェックする必要がありました。これは、最も不利な状況でもハッキングにかかる時間は約 XNUMX 時間、つまり XNUMX 日以内であることを意味します。同時に、スーパーコンピューターのコストは、設計に費やされた資金を考慮しても、わずか XNUMX 万ドルでした。今日では、そのようなコードを解読することがさらに簡単かつ安価になったことは推測に難しくありません。ハードウェアがはるかに強力になっただけでなく、インターネット技術の発展のおかげで、ハッカーはハードウェアを購入したりレンタルしたりする必要がなくなりました。必要な機器 - ウイルスに感染した PC のボットネットを作成するには十分です。

この実験は、DES がいかに時代遅れであるかを明確に示しました。そして当時、このアルゴリズムはデータ暗号化分野のソリューションのほぼ 50% で使用されていたため (同じ EFF 推定によると)、代替案を見つけるという問題はこれまで以上に差し迫ったものになりました。

新たな挑戦 - 新たな競争

公平を期すために、データ暗号化標準に代わる標準の模索は、EFF DES クラッカーの準備とほぼ同時に始まったと言わなければなりません。米国国立標準技術研究所 (NIST) は、暗号化アルゴリズムのコンテストの開始を発表しました。 1997 年に遡り、暗号セキュリティの新しい「ゴールドスタンダード」を特定するために設計されました。そして、昔、同様のイベントが「自国民のため」にのみ開催されていたとしたら、30 年前の失敗した経験を念頭に置いて、NIST はコンテストを完全にオープンにすることを決定しました。つまり、どの企業や個人でも参加できるのです。場所や国籍に関係なく。

このアプローチは、応募者を選択する段階でも正当化されました。Advanced Encryption Standard コンテストへの参加を応募した著者の中には、世界的に有名な暗号学者 (Ross Anderson、Eli Biham、Lars Knudsen) やサイバーセキュリティを専門とする小規模な IT 企業 (Counterpane) も含まれていました。、大企業 (ドイツのドイツテレコム)、教育機関 (ベルギーのルーヴェン大学)、そして国外ではほとんど聞いたことがない新興企業や中小企業 (コスタリカの Tecnologia Apropriada Internacional など) も含まれます。

興味深いことに、今回 NIST が承認したのは、参加アルゴリズムに対する XNUMX つの基本要件のみです。

データブロックは 128 ビットの固定サイズでなければなりません。
アルゴリズムは少なくとも 128 つのキーサイズ (192、256、XNUMX ビット) をサポートする必要があります。

このような結果を達成するのは比較的簡単でしたが、よく言われるように、悪魔は細部に宿ります。さらに多くの二次的な要件があり、それらを満たすのははるかに困難でした。一方、NIST の審査員はこれらの基準に基づいて出場者を選出しました。勝利の申請者が満たさなければならない基準は次のとおりです。

サードパーティのチャネルを介した攻撃を含む、競技会の時点で知られているあらゆる暗号解読攻撃に耐える能力。
弱い同等の暗号化キーが存在しない（同等とは、互いに大きな違いはあるものの、同一の暗号をもたらすキーを意味します）。
暗号化速度は安定しており、現在のすべてのプラットフォーム (8 ～ 64 ビット) でほぼ同じです。
マルチプロセッサシステムの最適化、操作の並列化のサポート。
RAM の量の最小要件。
標準シナリオ (ハッシュ関数、PRNG などを構築するための基礎として) での使用に制限はありません。
アルゴリズムの構造は合理的で理解しやすいものでなければなりません。

最後の点は奇妙に思えるかもしれませんが、よく考えてみれば当然のことです。なぜなら、よく構造化されたアルゴリズムは分析がはるかに簡単であり、その中に「ブックマーク」を隠すこともはるかに困難だからです。これにより、開発者は暗号化されたデータに無制限にアクセスできるようになります。

Advanced Encryption Standard コンテストの応募受付は 15 年半続きました。合計 XNUMX のアルゴリズムが参加しました。

CAST-256、Carlisle Adams と Stafford Tavares によって作成された CAST-128 に基づいてカナダの企業 Entrust Technologies によって開発されました。
Crypton は、韓国のサイバーセキュリティ企業 Future Systems の暗号学者 Chae Hoon Lim によって作成されました。
DEAL の概念はもともとデンマークの数学者ラース・クヌッセンによって提案され、その後彼のアイデアはコンテストへの参加を申請したリチャード・アウターブリッジによって開発されました。
DFC は、パリ教育学校、フランス国立科学研究センター (CNRS)、電気通信会社フランステレコムの共同プロジェクトです。
E2、日本最大の電気通信会社である日本電信電話の支援の下で開発されました。
FROG はコスタリカの企業 Tecnologia Apropriada Internacional の発案です。
HPC は、アリゾナ大学のアメリカの暗号学者で数学者のリチャード・シュレッペルによって発明されました。
LOKI97、オーストラリアの暗号学者ローレンス・ブラウンとジェニファー・セベリーによって作成されました。
マゼンタ、ドイツの電気通信会社ドイツテレコム AG のために Michael Jacobson と Klaus Huber によって開発されました。
IBM の MARS。ルシファーの著者の XNUMX 人であるドン・カッパースミスが作成に参加しました。
RC6、特に AES コンテストのために Ron Rivest、Matt Robshaw、Ray Sydney によって書かれました。
Rijndael、ルーヴェン・カトリック大学の Vincent Raymen と Johan Damen によって作成されました。
SAFER+、カリフォルニアの企業 Cylink がアルメニア共和国国立科学アカデミーと共同で開発。
Serpent、ロス・アンダーソン、イーライ・ビーハム、ラース・クヌーセンによって作成されました。
Twofish は、1993 年にブルースによって提案された Blowfish 暗号化アルゴリズムに基づいて、ブルースシュナイアーの研究グループによって開発されました。

最初のラウンドの結果に基づいて、Serpent、Twofish、MARS、RC5、Rijndael を含む 6 つの最終候補者が特定されました。陪審員は、XNUMX つを除いて、リストされたアルゴリズムのほぼすべてに欠陥を発見しました。勝者は誰でしたか？興味を少し広げて、まず、リストされた各ソリューションの主な利点と欠点を検討してみましょう。

MARS

「戦争の神」の場合、専門家はデータの暗号化と復号化手順の正体に注目しましたが、これがその利点が限定されている点です。 IBM のアルゴリズムは驚くほど電力を消費するため、リソースに制約のある環境での作業には適していませんでした。計算の並列化にも問題がありました。 MARS を効果的に動作させるには、32 ビット乗算と可変ビット回転のハードウェアサポートが必要でしたが、これにより、サポートされるプラットフォームのリストに再び制限が課せられました。

また、MARS はタイミング攻撃や電力攻撃に対して非常に脆弱であり、オンザフライのキー拡張に問題があり、その過度の複雑さによりアーキテクチャの分析が困難になり、実際の実装段階でさらなる問題が発生することが判明しました。つまり、他のファイナリストに比べて、MARS はまったくの部外者のように見えました。

RC6

このアルゴリズムは、以前に徹底的に研究された前世代の RC5 からの変更の一部を継承しており、シンプルで視覚的な構造と組み合わせることで、専門家にとって完全に透明になり、「ブックマーク」の存在が排除されました。さらに、RC6 は 32 ビットプラットフォームでの記録データ処理速度を実証し、暗号化と復号化の手順はまったく同じに実装されました。

ただし、このアルゴリズムには、前述の MARS と同じ問題がありました。サイドチャネル攻撃に対する脆弱性、32 ビット操作のサポートに対するパフォーマンスの依存性、並列コンピューティング、キー拡張、ハードウェアリソースの要求などの問題がありました。。この点で、彼は勝者の役割には決して適していませんでした。

二匹

Twofish は非常に高速で、低電力デバイスでの作業に最適化されていることが判明し、キーの拡張に優れた仕事をし、特定のタスクに微妙に適応させることを可能にするいくつかの実装オプションを提供しました。同時に、「XNUMX 匹の魚」はサイドチャネル経由の攻撃に対して脆弱であり (特に時間と電力消費の点で)、マルチプロセッサシステムとはあまり相性が良くなく、過度に複雑であることが判明しました。、キー拡張の速度にも影響します。

蛇

このアルゴリズムはシンプルで理解しやすい構造を備えており、監査が大幅に簡素化され、ハードウェアプラットフォームの能力を特に要求せず、オンザフライでのキーの拡張がサポートされており、変更が比較的簡単でした。反対者。それにもかかわらず、Serpent は原則としてファイナリストの中で最も遅く、さらに、その中の情報を暗号化および復号化する手順が根本的に異なり、実装には根本的に異なるアプローチが必要でした。

ラインダール

Rijndael は理想に非常に近いことが判明しました。アルゴリズムは NIST の要件を完全に満たしており、劣っているわけではありませんが、特性全体の点で競合他社よりも著しく優れています。 Reindal には XNUMX つの弱点しかありませんでした。XNUMX つは非常に特殊なシナリオであるキー拡張手順に対するエネルギー消費攻撃に対する脆弱性、もう XNUMX つはオンザフライキー拡張に関する特定の問題です (このメカニズムは XNUMX つの競合他社 (Serpent と Twofish) のみで制限なく機能しました)。。さらに、専門家によると、Reindal の暗号強度は Serpent、Twofish、MARS よりわずかに劣っていましたが、大部分の種類のサイドチャネル攻撃や広範囲の攻撃に対する耐性によって補って余りあるものでした。実装オプションの。

カテゴリ

蛇

二匹

MARS

RC6

ラインダール

暗号強度

暗号強度の予備力

ソフトウェア実装時の暗号化速度

ソフトウェア実装時のキー拡張速度

大容量のICカード

リソースが限られているスマートカード

ハードウェア実装 (FPGA)

ハードウェア実装（専用チップ）

実行時間および電力攻撃に対する保護

キー拡張手順に対する電力消費攻撃に対する保護

スマートカード実装に対する電力消費攻撃からの保護

オンザフライでキーを展開する機能

実装オプションの利用可能性 (互換性を失うことなく)

並列計算の可能性

特徴の全体の点で、レインダルは競合他社より頭も肩も上でした。そのため、最終投票の結果は非常に論理的であることが判明しました。アルゴリズムは、賛成 86 票、反対 10 票を獲得し、地滑り的な勝利を収めました。 Serpent は 59 票を獲得して立派な 31 位となり、Twofish は 6 位でした。23 人の陪審員がこれを支持しました。これに RC13 が 83 票を獲得し、MARS は賛成 XNUMX 票、反対 XNUMX 票で当然最下位となりました。

2 年 2000 月 26 日、Rijndael が AES コンペティションの勝者と宣言され、伝統的にその名前が Advanced Encryption Standard に変更され、現在はその名前で知られています。標準化手順は約 2001 年続きました: 197 年 2003 月 256 日に、AES は連邦情報処理標準のリストに追加され、FIPS XNUMX インデックスを取得しました。新しいアルゴリズムは NSA によっても高く評価され、XNUMX 年 XNUMX 月以降、米国でも国家安全保障局も、XNUMX ビットキー暗号化による AES が最高機密文書のセキュリティを確保するのに十分な強度があることを認めました。

WD My Book の外付けドライブは AES-256 ハードウェア暗号化をサポートしています

高い信頼性とパフォーマンスの組み合わせのおかげで、Advanced Encryption Standard はすぐに世界的に認知され、世界で最も人気のある対称暗号化アルゴリズムの 256 つとなり、多くの暗号化ライブラリ (OpenSSL、GnuTLS、Linux の Crypto API など) に組み込まれました。 AES は現在、企業および消費者アプリケーションで広く使用されており、さまざまなデバイスでサポートされています。特に、AES-XNUMX ハードウェア暗号化は、保存されたデータを確実に保護するために、Western Digital の外部ドライブの My Book ファミリで使用されています。これらのデバイスを詳しく見てみましょう。

デスクトップハードドライブの WD My Book シリーズには、4、6、8、10、12、14 テラバイトのさまざまな容量の 7 つのモデルがあり、ニーズに最適なデバイスを選択できます。デフォルトでは、外付け HDD は exFAT ファイルシステムを使用します。これにより、Microsoft Windows 8、8.1、10、10.13 や Apple macOS バージョン XNUMX (High Sierra) 以降を含む幅広いオペレーティングシステムとの互換性が保証されます。 Linux OS ユーザーは、exfat-nofuse ドライバーを使用してハードドライブをマウントすることができます。

My Book は、USB 3.0 と下位互換性のある高速 USB 2.0 インターフェイスを使用してコンピュータに接続します。一方で、USB SuperSpeed 帯域幅は 5 Gbps (つまり 640 MB/秒) であり、十分以上であるため、可能な限り最高の速度でファイルを転送できます。同時に、下位互換性機能により、過去 10 年間にリリースされたほぼすべてのデバイスのサポートが保証されます。

My Book では、周辺デバイスを自動的に検出して構成するプラグアンドプレイテクノロジのおかげで、追加のソフトウェアのインストールは必要ありませんが、各デバイスに付属する独自の WD Discovery ソフトウェアパッケージを使用することをお勧めします。

セットには次のアプリケーションが含まれています。

WDドライブユーティリティ

このプログラムを使用すると、SMART データに基づいてドライブの現在の状態に関する最新情報を取得し、ハードドライブの不良セクタをチェックできます。さらに、ドライブユーティリティの助けを借りて、マイブックに保存されているすべてのデータをすぐに破棄できます。この場合、ファイルは消去されるだけでなく、数回完全に上書きされるため、もはや不可能になります。手順が完了したら復元します。

WDバックアップ

このユーティリティを使用すると、指定したスケジュールに従ってバックアップを構成できます。 WD Backup は Google Drive と Dropbox との連携をサポートしており、バックアップの作成時にソースと宛先の可能な組み合わせを選択できることは注目に値します。したがって、My Book からクラウドへのデータの自動転送を設定したり、リストされたサービスから必要なファイルやフォルダーを外付けハードドライブとローカルマシンの両方にインポートしたりできます。さらに、Facebook アカウントと同期することも可能で、プロフィールから写真やビデオのバックアップコピーを自動的に作成できます。

WDセキュリティ

このユーティリティを使用すると、パスワードを使用してドライブへのアクセスを制限し、データの暗号化を管理できます。これに必要なのは、パスワード (最大長は 25 文字) を指定することだけです。その後、ディスク上のすべての情報が暗号化され、パスフレーズを知っている人だけが保存されたファイルにアクセスできるようになります。さらに利便性を高めるために、WD Security を使用すると、接続時に My Book のロックを自動的に解除する信頼できるデバイスのリストを作成できます。

WD Security は暗号化保護を管理するための便利なビジュアルインターフェイスのみを提供し、データ暗号化は外部ドライブ自体によってハードウェアレベルで実行されることを強調します。このアプローチには、次のような多くの重要な利点があります。

PRNG ではなく、ハードウェア乱数ジェネレーターが暗号化キーの作成を担当します。これは、高度なエントロピーを達成し、暗号強度を高めるのに役立ちます。
暗号化および復号化の手順中に、暗号化キーはコンピューターの RAM にダウンロードされず、処理されたファイルの一時コピーがシステムドライブ上の隠しフォルダーに作成されることもありません。これにより、暗号化キーが傍受される可能性を最小限に抑えることができます。
ファイル処理の速度はクライアントデバイスのパフォーマンスにはまったく依存しません。
保護を有効にすると、ユーザー側で追加のアクションを必要とせずに、ファイル暗号化が「オンザフライ」で自動的に実行されます。

上記のすべてによりデータのセキュリティが保証され、機密情報の盗難の可能性をほぼ完全に排除できます。ドライブの追加機能を考慮すると、My Book はロシア市場で入手可能な最も保護されたストレージデバイスの XNUMX つになります。

出所： habr.com

クラス最高: AES 暗号化規格の歴史

新たな挑戦 - 新たな競争

MARS

RC6

二匹

蛇

ラインダール

WD My Book の外付けドライブは AES-256 ハードウェア暗号化をサポートしています

WDドライブユーティリティ

WDバックアップ

WDセキュリティ

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル