ProHoster > Log > administrasjon > Best i klassen: The History of AES Encryption Standard

Best i klassen: The History of AES Encryption Standard

Best i klassen: The History of AES Encryption Standard
Siden mai 2020 har offisielt salg av eksterne WD My Book-harddisker som støtter AES-maskinvarekryptering med en 256-bits nøkkel startet i Russland. På grunn av juridiske begrensninger kunne tidligere slike enheter bare kjøpes i utenlandske elektroniske nettbutikker eller på det "grå" markedet, men nå kan hvem som helst skaffe seg en beskyttet stasjon med en proprietær 3-års garanti fra Western Digital. Til ære for denne betydningsfulle begivenheten bestemte vi oss for å gjøre en kort utflukt i historien og finne ut hvordan Advanced Encryption Standard så ut og hvorfor den er så bra sammenlignet med konkurrerende løsninger.

I lang tid var den offisielle standarden for symmetrisk kryptering i USA DES (Data Encryption Standard), utviklet av IBM og inkludert i listen over Federal Information Processing Standards i 1977 (FIPS 46-3). Algoritmen er basert på utviklingen oppnådd under et forskningsprosjekt med kodenavnet Lucifer. Da US National Bureau of Standards den 15. mai 1973 utlyste en konkurranse for å lage en krypteringsstandard for offentlige etater, gikk det amerikanske selskapet inn i det kryptografiske kappløpet med den tredje versjonen av Lucifer, som brukte et oppdatert Feistel-nettverk. Og sammen med andre konkurrenter mislyktes det: ikke en eneste av algoritmene som ble sendt inn til den første konkurransen oppfylte de strenge kravene formulert av NBS-eksperter.

Best i klassen: The History of AES Encryption Standard
Selvfølgelig kunne IBM ikke bare akseptere nederlag: Da konkurransen ble startet på nytt den 27. august 1974, sendte det amerikanske selskapet igjen en søknad som presenterte en forbedret versjon av Lucifer. Denne gangen hadde ikke juryen en eneste klage: etter å ha utført kompetent arbeid på feilene, eliminerte IBM alle manglene, så det var ingenting å klage på. Etter å ha vunnet en jordskredseier, skiftet Lucifer navn til DES og ble publisert i Federal Register 17. mars 1975.

Under offentlige symposier organisert i 1976 for å diskutere den nye kryptografiske standarden, ble DES imidlertid sterkt kritisert av ekspertmiljøet. Årsaken til dette var endringene som ble gjort i algoritmen av NSA-spesialister: spesielt ble nøkkellengden redusert til 56 biter (opprinnelig støttet Lucifer arbeid med 64- og 128-bits nøkler), og logikken til permutasjonsblokkene ble endret . Ifølge kryptografer var "forbedringene" meningsløse, og det eneste National Security Agency strebet etter ved å implementere modifikasjonene var å kunne se krypterte dokumenter fritt.

I forbindelse med disse anklagene ble det opprettet en spesiell kommisjon under det amerikanske senatet, hvis formål var å verifisere gyldigheten av NSAs handlinger. I 1978 ble det publisert en rapport etter undersøkelsen, som sa følgende:

  • NSA-representanter deltok kun indirekte i sluttføringen av DES, og deres bidrag gjaldt kun endringer i driften av permutasjonsblokkene;
  • den endelige versjonen av DES viste seg å være mer motstandsdyktig mot hacking og kryptografisk analyse enn originalen, så endringene var berettiget;
  • en nøkkellengde på 56 biter er mer enn nok for de aller fleste applikasjoner, fordi å bryte en slik chiffer vil kreve en superdatamaskin som koster minst flere titalls millioner dollar, og siden vanlige angripere og til og med profesjonelle hackere ikke har slike ressurser, det er ingenting å bekymre seg for.

Kommisjonens konklusjoner ble delvis bekreftet i 1990, da de israelske kryptografene Eli Biham og Adi Shamir, som jobbet med konseptet differensiell kryptoanalyse, gjennomførte en stor studie av blokkalgoritmer, inkludert DES. Forskerne konkluderte med at den nye permutasjonsmodellen var mye mer motstandsdyktig mot angrep enn den opprinnelige, noe som betyr at NSA faktisk hjalp til med å plugge flere hull i algoritmen.

Best i klassen: The History of AES Encryption Standard
Adi Shamir

Samtidig viste begrensningen av nøkkellengde seg å være et problem, og et svært alvorlig et på det, som ble overbevisende bevist i 1998 av den offentlige organisasjonen Electronic Frontier Foundation (EFF) som en del av DES Challenge II-eksperimentet, gjennomført i regi av RSA Laboratory. En superdatamaskin ble bygget spesielt for å knekke DES, kodenavnet EFF DES Cracker, som ble skapt av John Gilmore, medgründer av EFF og direktør for DES Challenge-prosjektet, og Paul Kocher, grunnlegger av Cryptography Research.

Best i klassen: The History of AES Encryption Standard
Prosessor EFF DES Cracker

Systemet de utviklet var i stand til å finne nøkkelen til en kryptert prøve ved bruk av brute force på bare 56 timer, det vil si på mindre enn tre dager. For å gjøre dette trengte DES Cracker å sjekke omtrent en fjerdedel av alle mulige kombinasjoner, noe som betyr at selv under de mest ugunstige omstendighetene ville hacking ta omtrent 224 timer, det vil si ikke mer enn 10 dager. Samtidig var kostnaden for superdatamaskinen, tatt i betraktning midlene brukt på designen, bare 250 tusen dollar. Det er ikke vanskelig å gjette at det i dag er enda enklere og billigere å knekke en slik kode: ikke bare har maskinvaren blitt mye kraftigere, men også takket være utviklingen av Internett-teknologier trenger ikke en hacker å kjøpe eller leie nødvendig utstyr - det er ganske nok å lage et botnett av PC-er infisert med et virus.

Dette eksperimentet demonstrerte tydelig hvor foreldet DES er. Og siden algoritmen på den tiden ble brukt i nesten 50 % av løsningene innen datakryptering (ifølge samme EFF-estimat), ble spørsmålet om å finne et alternativ mer presserende enn noen gang.

Nye utfordringer – ny konkurranse

Best i klassen: The History of AES Encryption Standard
For å være rettferdig skal det sies at søket etter en erstatning for datakrypteringsstandarden begynte nesten samtidig med utarbeidelsen av EFF DES Cracker: The US National Institute of Standards and Technology (NIST) kunngjorde tilbake i 1997 lanseringen av en krypteringsalgoritmekonkurranse designet for å identifisere en ny "gullstandard" for kryptosikkerhet. Og hvis et lignende arrangement i gamle dager ble holdt utelukkende "for våre egne folk", så, med tanke på den mislykkede opplevelsen for 30 år siden, bestemte NIST seg for å gjøre konkurransen helt åpen: enhver bedrift og enhver person kunne delta i det, uavhengig av sted eller statsborgerskap.

Denne tilnærmingen rettferdiggjorde seg selv på stadiet med å velge søkere: Blant forfatterne som søkte om å delta i Advanced Encryption Standard-konkurransen var verdenskjente kryptologer (Ross Anderson, Eli Biham, Lars Knudsen) og små IT-selskaper som spesialiserer seg på cybersikkerhet (Counterpane ) , og store selskaper (tyske Deutsche Telekom), og utdanningsinstitusjoner (KU Leuven, Belgia), samt oppstartsbedrifter og små firmaer som få har hørt om utenfor deres land (for eksempel Tecnologia Apropriada Internacional fra Costa Rica).

Interessant nok godkjente NIST denne gangen bare to grunnleggende krav for deltakende algoritmer:

  • datablokken må ha en fast størrelse på 128 biter;
  • Algoritmen må støtte minst tre nøkkelstørrelser: 128, 192 og 256 biter.

Å oppnå et slikt resultat var relativt enkelt, men som de sier, djevelen er i detaljene: det var mange flere sekundære krav, og det var mye vanskeligere å oppfylle dem. I mellomtiden var det på deres grunnlag at NIST-anmeldere valgte ut deltakerne. Her er kriteriene som søkere til seier måtte oppfylle:

  1. evne til å motstå kryptoanalytiske angrep kjent på konkurransetidspunktet, inkludert angrep gjennom tredjepartskanaler;
  2. fraværet av svake og ekvivalente krypteringsnøkler (ekvivalent betyr de nøklene som, selv om de har betydelige forskjeller fra hverandre, fører til identiske chiffer);
  3. krypteringshastigheten er stabil og omtrent den samme på alle nåværende plattformer (fra 8 til 64-bit);
  4. optimalisering for multiprosessorsystemer, støtte for parallellisering av operasjoner;
  5. minimumskrav for mengden RAM;
  6. ingen restriksjoner for bruk i standardscenarier (som grunnlag for å konstruere hash-funksjoner, PRNG-er, etc.);
  7. Strukturen til algoritmen må være rimelig og lett å forstå.

Det siste punktet kan virke rart, men hvis du tenker på det, er det fornuftig, fordi en godt strukturert algoritme er mye lettere å analysere, og det er også mye vanskeligere å skjule et "bokmerke" i den, ved hjelp av som en utvikler kan få ubegrenset tilgang til krypterte data.

Aksepten av søknader til Advanced Encryption Standard-konkurransen varte i halvannet år. Totalt 15 algoritmer deltok i det:

  1. CAST-256, utviklet av det kanadiske selskapet Entrust Technologies basert på CAST-128, laget av Carlisle Adams og Stafford Tavares;
  2. Crypton, laget av kryptolog Chae Hoon Lim fra det sørkoreanske cybersikkerhetsselskapet Future Systems;
  3. DEAL, konseptet som opprinnelig ble foreslått av den danske matematikeren Lars Knudsen, og senere hans ideer ble utviklet av Richard Outerbridge, som søkte om å delta i konkurransen;
  4. DFC, et fellesprosjekt av Paris School of Education, det franske nasjonale senteret for vitenskapelig forskning (CNRS) og telekommunikasjonsselskapet France Telecom;
  5. E2, utviklet i regi av Japans største telekommunikasjonsselskap, Nippon Telegraph and Telephone;
  6. FROG, ideen til det costaricanske selskapet Tecnologia Apropriada Internacional;
  7. HPC, oppfunnet av den amerikanske kryptologen og matematikeren Richard Schreppel fra University of Arizona;
  8. LOKI97, laget av de australske kryptografene Lawrence Brown og Jennifer Seberry;
  9. Magenta, utviklet av Michael Jacobson og Klaus Huber for det tyske telekommunikasjonsselskapet Deutsche Telekom AG;
  10. MARS fra IBM, hvor Don Coppersmith, en av forfatterne av Lucifer, deltok;
  11. RC6, skrevet av Ron Rivest, Matt Robshaw og Ray Sydney spesielt for AES-konkurransen;
  12. Rijndael, skapt av Vincent Raymen og Johan Damen fra det katolske universitetet i Leuven;
  13. SAFER+, utviklet av det kaliforniske selskapet Cylink sammen med National Academy of Sciences of the Republic of Armenia;
  14. Serpent, skapt av Ross Anderson, Eli Beaham og Lars Knudsen;
  15. Twofish, utviklet av Bruce Schneiers forskningsgruppe basert på Blowfish kryptografiske algoritme foreslått av Bruce tilbake i 1993.

Basert på resultatene fra den første runden ble 5 finalister identifisert, inkludert Serpent, Twofish, MARS, RC6 og Rijndael. Jurymedlemmene fant feil i nesten hver eneste av de listede algoritmene, bortsett fra én. Hvem var vinneren? La oss utvide intrigen litt og først vurdere de viktigste fordelene og ulempene ved hver av de listede løsningene.

MARS

Når det gjelder "krigsguden", bemerket eksperter identiteten til datakrypterings- og dekrypteringsprosedyren, men det er her fordelene var begrenset. IBMs algoritme var overraskende kraftkrevende, noe som gjorde den uegnet for arbeid i miljøer med begrensede ressurser. Det var også problemer med parallellisering av beregninger. For å fungere effektivt krevde MARS maskinvarestøtte for 32-bits multiplikasjon og variabel-bitrotasjon, noe som igjen påla begrensninger på listen over støttede plattformer.

MARS viste seg også å være ganske sårbart for timing og kraftangrep, hadde problemer med nøkkelutvidelse underveis, og dens overdrevne kompleksitet gjorde det vanskelig å analysere arkitekturen og skapte ytterligere problemer på stadiet av praktisk implementering. Kort sagt, sammenlignet med de andre finalistene så MARS ut som en ekte outsider.

RC6

Algoritmen arvet noen av transformasjonene fra forgjengeren, RC5, som hadde blitt grundig undersøkt tidligere, som, kombinert med en enkel og visuell struktur, gjorde den helt gjennomsiktig for eksperter og eliminerte tilstedeværelsen av «bokmerker». I tillegg demonstrerte RC6 rekorddatabehandlingshastigheter på 32-biters plattformer, og krypterings- og dekrypteringsprosedyrene ble implementert helt identisk.

Algoritmen hadde imidlertid de samme problemene som den ovennevnte MARS: det var sårbarhet for sidekanalangrep, ytelsesavhengighet av støtte for 32-bits operasjoner, samt problemer med parallell databehandling, nøkkelutvidelse og krav til maskinvareressurser . I denne forbindelse var han på ingen måte egnet for rollen som vinner.

Tofisk

Twofish viste seg å være ganske rask og godt optimalisert for å jobbe på enheter med lav effekt, gjorde en utmerket jobb med å utvide nøkler og tilbød flere implementeringsalternativer, som gjorde det mulig å subtilt tilpasse den til spesifikke oppgaver. Samtidig viste de "to fiskene" seg å være sårbare for angrep via sidekanaler (spesielt når det gjelder tid og strømforbruk), var ikke spesielt vennlige med multiprosessorsystemer og var altfor komplekse, som forresten , påvirket også hastigheten på nøkkelutvidelsen.

Serpent

Algoritmen hadde en enkel og forståelig struktur, som forenklet revisjonen betydelig, var ikke spesielt krevende for kraften til maskinvareplattformen, hadde støtte for å utvide nøkler på farten, og var relativt enkel å modifisere, noe som gjorde at den skilte seg ut fra sine motstandere. Til tross for dette var Serpent i prinsippet den tregeste av finalistene, dessuten var prosedyrene for kryptering og dekryptering av informasjon i den radikalt forskjellige og krevde fundamentalt forskjellige tilnærminger til implementering.

Rijndael

Rijndael viste seg å være ekstremt nær idealet: Algoritmen oppfylte NIST-kravene fullt ut, selv om den ikke var dårligere, og når det gjelder helheten av egenskaper, merkbart overlegen konkurrentene. Reindal hadde bare to svakheter: sårbarhet for energiforbruksangrep på nøkkelutvidelsesprosedyren, som er et veldig spesifikt scenario, og visse problemer med nøkkelutvidelse underveis (denne mekanismen fungerte uten restriksjoner for bare to konkurrenter - Serpent og Twofish) . I tillegg, ifølge eksperter, hadde Reindal en noe lavere kryptografisk styrkemargin enn Serpent, Twofish og MARS, noe som imidlertid ble mer enn kompensert av motstanden mot de aller fleste typer sidekanalangrep og et bredt spekter. av implementeringsalternativer.

kategori

Serpent

Tofisk

MARS

RC6

Rijndael

Kryptografisk styrke

+

+

+

+

+

Kryptografisk styrkereserve

++

++

++

+

+

Krypteringshastighet når implementert i programvare

-

±

±

+

+

Nøkkelutvidelseshastighet når implementert i programvare

±

-

±

±

+

Smartkort med stor kapasitet

+

+

-

±

++

Smartkort med begrensede ressurser

±

+

-

±

++

Maskinvareimplementering (FPGA)

+

+

-

±

+

Maskinvareimplementering (spesialisert brikke)

+

±

-

-

+

Beskyttelse mot utførelsestid og kraftangrep

+

±

-

-

+

Beskyttelse mot strømforbruksangrep på nøkkelutvidelsesprosedyren

±

±

±

±

-

Beskyttelse mot strømforbruksangrep på smartkortimplementeringer

±

+

-

±

+

Evne til å utvide nøkkelen i farten

+

+

±

±

±

Tilgjengelighet av implementeringsalternativer (uten tap av kompatibilitet)

+

+

±

±

+

Mulighet for parallell databehandling

±

±

±

±

+

Når det gjelder totaliteten av egenskaper, var Reindal hode og skuldre over konkurrentene, så resultatet av den endelige avstemningen viste seg å være ganske logisk: Algoritmen vant en jordskredsseier, og fikk 86 stemmer for og bare 10 mot. Serpent tok en respektabel andreplass med 59 stemmer, mens Twofish var på tredjeplass: 31 jurymedlemmer sto opp for det. De ble fulgt av RC6, som vant 23 stemmer, og MARS havnet naturlig nok på sisteplass, og fikk kun 13 stemmer for og 83 mot.

Den 2. oktober 2000 ble Rijndael erklært vinneren av AES-konkurransen, og endret tradisjonelt navn til Advanced Encryption Standard, som den for tiden er kjent for. Standardiseringsprosedyren varte omtrent ett år: 26. november 2001 ble AES inkludert på listen over Federal Information Processing Standards, og mottok FIPS 197. Den nye algoritmen ble også satt stor pris på av NSA, og siden juni 2003 har USA National Security Agency anerkjente til og med at AES med en 256-bits nøkkelkryptering er sterk nok til å sikre sikkerheten til topphemmelige dokumenter.

WD My Book eksterne stasjoner støtter AES-256 maskinvarekryptering

Takket være kombinasjonen av høy pålitelighet og ytelse, fikk Advanced Encryption Standard raskt verdensomspennende anerkjennelse, og ble en av de mest populære symmetriske krypteringsalgoritmene i verden og ble inkludert i mange kryptografiske biblioteker (OpenSSL, GnuTLS, Linuxs Crypto API, etc.). AES er nå mye brukt i bedrifts- og forbrukerapplikasjoner, og støttes i en lang rekke enheter. Spesielt brukes AES-256 maskinvarekryptering i Western Digitals My Book-familie av eksterne stasjoner for å sikre beskyttelse av lagrede data. La oss se nærmere på disse enhetene.

Best i klassen: The History of AES Encryption Standard
WD My Book-serien med stasjonære harddisker inkluderer seks modeller med varierende kapasitet: 4, 6, 8, 10, 12 og 14 terabyte, slik at du kan velge enheten som passer best for dine behov. Som standard bruker eksterne harddisker exFAT-filsystemet, som sikrer kompatibilitet med et bredt spekter av operativsystemer, inkludert Microsoft Windows 7, 8, 8.1 og 10, samt Apple macOS versjon 10.13 (High Sierra) og høyere. Linux OS-brukere har muligheten til å montere en harddisk ved å bruke exfat-nfuse-driveren.

My Book kobles til datamaskinen din ved hjelp av et høyhastighets USB 3.0-grensesnitt, som er bakoverkompatibelt med USB 2.0. På den ene siden lar dette deg overføre filer med høyest mulig hastighet, fordi USB SuperSpeed-båndbredden er 5 Gbps (det vil si 640 MB/s), som er mer enn nok. Samtidig sikrer bakoverkompatibilitetsfunksjonen støtte for nesten alle enheter som er utgitt de siste 10 årene.

Best i klassen: The History of AES Encryption Standard
Selv om My Book ikke krever noen ekstra programvareinstallasjon takket være Plug and Play-teknologi som automatisk oppdager og konfigurerer eksterne enheter, anbefaler vi likevel å bruke den proprietære WD Discovery-programvarepakken som følger med hver enhet.

Best i klassen: The History of AES Encryption Standard
Settet inneholder følgende applikasjoner:

WD Drive Utilities

Programmet lar deg få oppdatert informasjon om den nåværende tilstanden til stasjonen basert på SMART-data og sjekke harddisken for dårlige sektorer. I tillegg, ved hjelp av Drive Utilities, kan du raskt ødelegge alle dataene som er lagret på My Book: i dette tilfellet vil filene ikke bare bli slettet, men også overskrevet fullstendig flere ganger, slik at det ikke lenger vil være mulig for å gjenopprette dem etter at prosedyren er fullført.

WD Backup

Ved å bruke dette verktøyet kan du konfigurere sikkerhetskopier i henhold til en spesifisert tidsplan. Det er verdt å si at WD Backup støtter arbeid med Google Drive og Dropbox, samtidig som du kan velge mulige kilde-destinasjonskombinasjoner når du oppretter en sikkerhetskopi. Dermed kan du sette opp automatisk overføring av data fra My Book til skyen eller importere nødvendige filer og mapper fra de oppførte tjenestene til både en ekstern harddisk og en lokal maskin. I tillegg er det mulig å synkronisere med Facebook-kontoen din, som lar deg automatisk lage sikkerhetskopier av bilder og videoer fra profilen din.

WD-sikkerhet

Det er ved hjelp av dette verktøyet du kan begrense tilgangen til stasjonen med et passord og administrere datakryptering. Alt som kreves for dette er å spesifisere et passord (dets maksimale lengde kan nå 25 tegn), hvoretter all informasjon på disken vil bli kryptert, og bare de som kjenner passordfrasen vil få tilgang til de lagrede filene. For ekstra bekvemmelighet lar WD Security deg lage en liste over pålitelige enheter som, når de er tilkoblet, automatisk låser opp My Book.

Vi understreker at WD Security kun gir et praktisk visuelt grensesnitt for å administrere kryptografisk beskyttelse, mens datakryptering utføres av den eksterne stasjonen selv på maskinvarenivå. Denne tilnærmingen gir en rekke viktige fordeler, nemlig:

  • en maskinvare tilfeldig tallgenerator, i stedet for en PRNG, er ansvarlig for å lage krypteringsnøkler, noe som bidrar til å oppnå en høy grad av entropi og øke deres kryptografiske styrke;
  • under krypterings- og dekrypteringsprosedyren lastes ikke kryptografiske nøkler ned til datamaskinens RAM, og heller ikke midlertidige kopier av behandlede filer opprettet i skjulte mapper på systemstasjonen, noe som bidrar til å minimere sannsynligheten for avskjæring av dem;
  • hastigheten på filbehandlingen avhenger ikke på noen måte av ytelsen til klientenheten;
  • Etter aktivering av beskyttelse vil filkryptering utføres automatisk, "i farten", uten at det kreves ytterligere handlinger fra brukerens side.

Alt det ovennevnte garanterer datasikkerhet og lar deg nesten fullstendig eliminere muligheten for tyveri av konfidensiell informasjon. Tatt i betraktning de ekstra egenskapene til stasjonen, gjør dette My Book til en av de best beskyttede lagringsenhetene som er tilgjengelig på det russiske markedet.

Kilde: www.habr.com

Legg til en kommentar