ProHoster > Blog > administração > O melhor da categoria: a história do padrão de criptografia AES

O melhor da categoria: a história do padrão de criptografia AES

O melhor da categoria: a história do padrão de criptografia AES
Desde maio de 2020, as vendas oficiais de discos rígidos externos WD My Book que suportam criptografia de hardware AES com chave de 256 bits começaram na Rússia. Devido a restrições legais, anteriormente tais dispositivos só podiam ser adquiridos em lojas de eletrônicos online estrangeiras ou no mercado “cinza”, mas agora qualquer pessoa pode adquirir uma unidade protegida com garantia proprietária de 3 anos da Western Digital. Em homenagem a este evento significativo, decidimos fazer uma pequena excursão pela história e descobrir como surgiu o Advanced Encryption Standard e por que ele é tão bom em comparação com soluções concorrentes.

Por muito tempo, o padrão oficial de criptografia simétrica nos Estados Unidos foi o DES (Data Encryption Standard), desenvolvido pela IBM e incluído na lista de Padrões Federais de Processamento de Informações em 1977 (FIPS 46-3). O algoritmo é baseado em desenvolvimentos obtidos durante um projeto de pesquisa de codinome Lúcifer. Quando, em 15 de maio de 1973, o National Bureau of Standards dos EUA anunciou uma competição para criar um padrão de criptografia para agências governamentais, a empresa americana entrou na corrida criptográfica com a terceira versão do Lucifer, que usava uma rede Feistel atualizada. E junto com outros concorrentes, falhou: nenhum dos algoritmos submetidos à primeira competição atendeu aos rígidos requisitos formulados pelos especialistas do NBS.

O melhor da categoria: a história do padrão de criptografia AES
É claro que a IBM não poderia simplesmente aceitar a derrota: quando a competição foi reiniciada em 27 de agosto de 1974, a corporação americana apresentou novamente um pedido, apresentando uma versão melhorada do Lúcifer. Desta vez o júri não teve uma única reclamação: tendo realizado um trabalho competente sobre os erros, a IBM eliminou com sucesso todas as deficiências, pelo que não havia do que reclamar. Tendo obtido uma vitória esmagadora, Lúcifer mudou seu nome para DES e foi publicado no Registro Federal em 17 de março de 1975.

Contudo, durante simpósios públicos organizados em 1976 para discutir o novo padrão criptográfico, o DES foi fortemente criticado pela comunidade de especialistas. A razão para isso foram as alterações feitas no algoritmo pelos especialistas da NSA: em particular, o comprimento da chave foi reduzido para 56 bits (inicialmente o Lucifer suportava o trabalho com chaves de 64 e 128 bits), e a lógica dos blocos de permutação foi alterada . Segundo os criptógrafos, as “melhorias” não tinham sentido e a única coisa que a Agência de Segurança Nacional buscava ao implementar as modificações era poder visualizar livremente documentos criptografados.

Em conexão com estas acusações, foi criada uma comissão especial no Senado dos EUA, cujo objetivo era verificar a validade das ações da NSA. Em 1978, foi publicado um relatório após a investigação, que afirmava o seguinte:

  • Os representantes da NSA participaram na finalização do DES apenas indiretamente, e a sua contribuição referiu-se apenas a alterações no funcionamento dos blocos de permutação;
  • a versão final do DES revelou-se mais resistente a hackers e análises criptográficas do que a original, portanto as alterações foram justificadas;
  • um comprimento de chave de 56 bits é mais que suficiente para a grande maioria das aplicações, porque quebrar tal cifra exigiria um supercomputador que custasse pelo menos várias dezenas de milhões de dólares, e como os atacantes comuns e até mesmo os hackers profissionais não possuem tais recursos, não há nada com o que se preocupar.

As conclusões da comissão foram parcialmente confirmadas em 1990, quando os criptógrafos israelenses Eli Biham e Adi Shamir, trabalhando no conceito de criptoanálise diferencial, conduziram um grande estudo de algoritmos de bloco, incluindo DES. Os cientistas concluíram que o novo modelo de permutação era muito mais resistente a ataques do que o original, o que significa que a NSA realmente ajudou a tapar várias lacunas no algoritmo.

O melhor da categoria: a história do padrão de criptografia AES
Adi Shamir

Ao mesmo tempo, a limitação do comprimento da chave revelou-se um problema, e muito sério, o que foi comprovado de forma convincente em 1998 pela organização pública Electronic Frontier Foundation (EFF) como parte do experimento DES Challenge II, conduzido sob os auspícios do Laboratório RSA. Um supercomputador foi construído especificamente para quebrar o DES, codinome EFF DES Cracker, criado por John Gilmore, cofundador da EFF e diretor do projeto DES Challenge, e Paul Kocher, fundador da Cryptography Research.

O melhor da categoria: a história do padrão de criptografia AES
Processador EFF DES Cracker

O sistema que desenvolveram foi capaz de encontrar com sucesso a chave de uma amostra criptografada usando força bruta em apenas 56 horas, ou seja, em menos de três dias. Para isso, o DES Cracker precisava verificar cerca de um quarto de todas as combinações possíveis, o que significa que mesmo nas circunstâncias mais desfavoráveis, o hacking levaria cerca de 224 horas, ou seja, não mais que 10 dias. Ao mesmo tempo, o custo do supercomputador, levando em consideração os recursos gastos em seu projeto, foi de apenas 250 mil dólares. Não é difícil adivinhar que hoje é ainda mais fácil e barato decifrar esse código: não só o hardware se tornou muito mais poderoso, mas também graças ao desenvolvimento das tecnologias da Internet, um hacker não precisa comprar ou alugar o equipamento necessário - basta criar uma botnet de PCs infectados por vírus.

Este experimento demonstrou claramente o quão obsoleto o DES é. E como nessa altura o algoritmo era utilizado em quase 50% das soluções na área da encriptação de dados (segundo a mesma estimativa da EFF), a questão de encontrar uma alternativa tornou-se mais premente do que nunca.

Novos desafios - nova competição

O melhor da categoria: a história do padrão de criptografia AES
Para ser justo, deve-se dizer que a busca por um substituto para o Padrão de Criptografia de Dados começou quase simultaneamente com a preparação do EFF DES Cracker: O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) em 1997 anunciou o lançamento de um competição de algoritmos de criptografia projetada para identificar um novo “padrão ouro” para criptosegurança. E se antigamente um evento semelhante era realizado exclusivamente “para o nosso próprio povo”, então, tendo em conta a experiência malsucedida de 30 anos atrás, o NIST decidiu tornar a competição totalmente aberta: qualquer empresa e qualquer indivíduo poderia participar. independentemente da localização ou cidadania.

Esta abordagem justificou-se ainda na fase de seleção dos candidatos: entre os autores que se candidataram à participação no concurso Advanced Encryption Standard estavam criptologistas mundialmente famosos (Ross Anderson, Eli Biham, Lars Knudsen) e pequenas empresas de TI especializadas em segurança cibernética (Counterpane) , e grandes corporações (alemã Deutsche Telekom) e instituições educacionais (KU Leuven, Bélgica), bem como start-ups e pequenas empresas das quais poucos ouviram falar fora dos seus países (por exemplo, Tecnologia Apropriada Internacional da Costa Rica).

Curiosamente, desta vez o NIST aprovou apenas dois requisitos básicos para algoritmos participantes:

  • o bloco de dados deve ter tamanho fixo de 128 bits;
  • o algoritmo deve suportar pelo menos três tamanhos de chave: 128, 192 e 256 bits.

Alcançar tal resultado foi relativamente simples, mas, como dizem, o diabo está nos detalhes: havia muito mais requisitos secundários e foi muito mais difícil atendê-los. Enquanto isso, foi com base neles que os revisores do NIST selecionaram os concorrentes. Aqui estão os critérios que os candidatos à vitória deveriam atender:

  1. capacidade de resistir a quaisquer ataques criptoanalíticos conhecidos no momento da competição, incluindo ataques através de canais de terceiros;
  2. a ausência de chaves de criptografia fracas e equivalentes (equivalentes significam aquelas chaves que, embora apresentem diferenças significativas entre si, levam a cifras idênticas);
  3. a velocidade de criptografia é estável e aproximadamente a mesma em todas as plataformas atuais (de 8 a 64 bits);
  4. otimização para sistemas multiprocessadores, suporte para paralelização de operações;
  5. requisitos mínimos para a quantidade de RAM;
  6. sem restrições para uso em cenários padrão (como base para construção de funções hash, PRNGs, etc.);
  7. A estrutura do algoritmo deve ser razoável e fácil de entender.

O último ponto pode parecer estranho, mas se você pensar bem faz sentido, pois um algoritmo bem estruturado é muito mais fácil de analisar, e também é muito mais difícil esconder um “marcador” nele, com a ajuda de qual um desenvolvedor poderia obter acesso ilimitado a dados criptografados.

A aceitação das inscrições para a competição Advanced Encryption Standard durou um ano e meio. Um total de 15 algoritmos participaram:

  1. CAST-256, desenvolvido pela empresa canadense Entrust Technologies baseado no CAST-128, criado por Carlisle Adams e Stafford Tavares;
  2. Crypton, criado pelo criptologista Chae Hoon Lim, da empresa sul-coreana de segurança cibernética Future Systems;
  3. DEAL, cujo conceito foi originalmente proposto pelo matemático dinamarquês Lars Knudsen, e posteriormente suas ideias foram desenvolvidas por Richard Outerbridge, que se candidatou à participação no concurso;
  4. DFC, um projeto conjunto da Escola Superior de Educação de Paris, do Centro Nacional Francês de Investigação Científica (CNRS) e da empresa de telecomunicações France Telecom;
  5. E2, desenvolvido sob os auspícios da maior empresa de telecomunicações do Japão, Nippon Telegraph and Telephone;
  6. FROG, ideia da empresa costarriquenha Tecnologia Apropriada Internacional;
  7. HPC, inventado pelo criptologista e matemático americano Richard Schreppel, da Universidade do Arizona;
  8. LOKI97, criado pelos criptógrafos australianos Lawrence Brown e Jennifer Seberry;
  9. Magenta, desenvolvido por Michael Jacobson e Klaus Huber para a empresa alemã de telecomunicações Deutsche Telekom AG;
  10. MARS da IBM, na criação da qual participou Don Coppersmith, um dos autores de Lúcifer;
  11. RC6, escrito por Ron Rivest, Matt Robshaw e Ray Sydney especificamente para a competição AES;
  12. Rijndael, criado por Vincent Raymen e Johan Damen da Universidade Católica de Leuven;
  13. SAFER+, desenvolvido pela empresa californiana Cylink em conjunto com a Academia Nacional de Ciências da República da Armênia;
  14. Serpente, criada por Ross Anderson, Eli Beaham e Lars Knudsen;
  15. Twofish, desenvolvido pelo grupo de pesquisa de Bruce Schneier com base no algoritmo criptográfico Blowfish proposto por Bruce em 1993.

Com base nos resultados da primeira rodada, foram identificados 5 finalistas, incluindo Serpent, Twofish, MARS, RC6 e Rijndael. Os membros do júri encontraram falhas em quase todos os algoritmos listados, exceto um. Quem foi o vencedor? Vamos estender um pouco a intriga e primeiro considerar as principais vantagens e desvantagens de cada uma das soluções listadas.

MARS

No caso do “deus da guerra”, os especialistas notaram a identidade do procedimento de criptografia e descriptografia de dados, mas é aqui que suas vantagens eram limitadas. O algoritmo da IBM consumia surpreendentemente energia, tornando-o inadequado para trabalhar em ambientes com recursos limitados. Também houve problemas com a paralelização dos cálculos. Para operar de forma eficaz, o MARS exigia suporte de hardware para multiplicação de 32 bits e rotação de bits variáveis, o que novamente impôs limitações à lista de plataformas suportadas.

O MARS também se revelou bastante vulnerável a ataques de temporização e de energia, teve problemas com a expansão de chaves em tempo real e a sua complexidade excessiva dificultou a análise da arquitectura e criou problemas adicionais na fase de implementação prática. Em suma, em comparação com os outros finalistas, MARS parecia um verdadeiro outsider.

RC6

O algoritmo herdou algumas das transformações do seu antecessor, o RC5, que já havia sido exaustivamente pesquisado anteriormente, o que, aliado a uma estrutura simples e visual, tornou-o totalmente transparente para os especialistas e eliminou a presença de “marcadores”. Além disso, o RC6 demonstrou velocidades recordes de processamento de dados em plataformas de 32 bits, e os procedimentos de criptografia e descriptografia foram implementados de forma absolutamente idêntica.

No entanto, o algoritmo apresentava os mesmos problemas do MARS mencionado acima: havia vulnerabilidade a ataques de canal lateral, dependência de desempenho do suporte para operações de 32 bits, bem como problemas com computação paralela, expansão de chave e demanda por recursos de hardware. . Nesse sentido, ele não era de forma alguma adequado para o papel de vencedor.

Dois peixes

O Twofish revelou-se bastante rápido e bem otimizado para trabalhar em dispositivos de baixo consumo de energia, fez um excelente trabalho de expansão de teclas e ofereceu diversas opções de implementação, o que possibilitou adaptá-lo sutilmente a tarefas específicas. Ao mesmo tempo, os “dois peixes” revelaram-se vulneráveis ​​a ataques através de canais laterais (em particular, em termos de tempo e consumo de energia), não eram particularmente amigáveis ​​com sistemas multiprocessadores e eram excessivamente complexos, que, aliás, , também afetou a velocidade da expansão das chaves.

serpente

O algoritmo tinha uma estrutura simples e compreensível, o que simplificou significativamente sua auditoria, não exigia muito do poder da plataforma de hardware, tinha suporte para expansão de chaves em tempo real e era relativamente fácil de modificar, o que o diferenciava de seu oponentes. Apesar disso, o Serpent foi, em princípio, o mais lento dos finalistas; além disso, os procedimentos para criptografar e descriptografar informações nele contidos eram radicalmente diferentes e exigiam abordagens de implementação fundamentalmente diferentes.

Rijndael

Rijndael revelou-se extremamente próximo do ideal: o algoritmo atendeu plenamente aos requisitos do NIST, embora não inferior, e em termos de totalidade de características, visivelmente superior aos seus concorrentes. Reindal tinha apenas dois pontos fracos: vulnerabilidade a ataques de consumo de energia no procedimento de expansão de chave, que é um cenário muito específico, e certos problemas com a expansão de chave em tempo real (este mecanismo funcionou sem restrições para apenas dois concorrentes - Serpent e Twofish) . Além disso, segundo os especialistas, Reindal tinha uma margem de força criptográfica ligeiramente inferior à do Serpent, Twofish e MARS, o que, no entanto, foi mais do que compensado pela sua resistência à grande maioria dos tipos de ataques de canal lateral e a uma vasta gama de opções de implementação.

categoria

serpente

Dois peixes

MARS

RC6

Rijndael

Força criptográfica

+

+

+

+

+

Reserva de força criptográfica

++

++

++

+

+

Velocidade de criptografia quando implementada em software

-

±

±

+

+

Velocidade de expansão chave quando implementada em software

±

-

±

±

+

Cartões inteligentes com grande capacidade

+

+

-

±

++

Cartões inteligentes com recursos limitados

±

+

-

±

++

Implementação de hardware (FPGA)

+

+

-

±

+

Implementação de hardware (chip especializado)

+

±

-

-

+

Proteção contra tempo de execução e ataques de energia

+

±

-

-

+

Proteção contra ataques de consumo de energia no procedimento de expansão principal

±

±

±

±

-

Proteção contra ataques de consumo de energia em implementações de cartões inteligentes

±

+

-

±

+

Capacidade de expandir a chave instantaneamente

+

+

±

±

±

Disponibilidade de opções de implementação (sem perda de compatibilidade)

+

+

±

±

+

Capacidade de computação paralela

±

±

±

±

+

Em termos da totalidade das características, Reindal estava muito acima dos seus concorrentes, pelo que o resultado da votação final revelou-se bastante lógico: o algoritmo obteve uma vitória esmagadora, recebendo 86 votos a favor e apenas 10 contra. Serpent ficou com um respeitável segundo lugar com 59 votos, enquanto Twofish ficou na terceira posição: 31 membros do júri o defenderam. Eles foram seguidos por RC6, ganhando 23 votos, e MARS naturalmente terminou em último lugar, recebendo apenas 13 votos a favor e 83 contra.

Em 2 de outubro de 2000, Rijndael foi declarado vencedor da competição AES, tradicionalmente mudando seu nome para Advanced Encryption Standard, pelo qual é conhecido atualmente. O procedimento de padronização durou cerca de um ano: em 26 de novembro de 2001, o AES foi incluído na lista de Padrões Federais de Processamento de Informações, recebendo o índice FIPS 197. O novo algoritmo também foi muito apreciado pela NSA e, desde junho de 2003, pelos EUA. A Agência de Segurança Nacional até reconheceu que o AES com criptografia de chave de 256 bits é forte o suficiente para garantir a segurança de documentos ultrassecretos.

As unidades externas WD My Book suportam criptografia de hardware AES-256

Graças à combinação de alta confiabilidade e desempenho, o Advanced Encryption Standard rapidamente ganhou reconhecimento mundial, tornando-se um dos algoritmos de criptografia simétrica mais populares do mundo e sendo incluído em muitas bibliotecas criptográficas (OpenSSL, GnuTLS, Crypto API do Linux, etc.). O AES é agora amplamente utilizado em aplicações empresariais e de consumo e é compatível com uma ampla variedade de dispositivos. Em particular, a criptografia de hardware AES-256 é usada na família de unidades externas My Book da Western Digital para garantir a proteção dos dados armazenados. Vamos dar uma olhada nesses dispositivos.

O melhor da categoria: a história do padrão de criptografia AES
A linha de discos rígidos para desktop WD My Book inclui seis modelos de capacidades variadas: 4, 6, 8, 10, 12 e 14 terabytes, permitindo que você escolha o dispositivo que melhor atende às suas necessidades. Por padrão, os HDDs externos usam o sistema de arquivos exFAT, que garante compatibilidade com uma ampla variedade de sistemas operacionais, incluindo Microsoft Windows 7, 8, 8.1 e 10, bem como Apple macOS versão 10.13 (High Sierra) e superior. Os usuários do sistema operacional Linux têm a oportunidade de montar um disco rígido usando o driver exfat-nofuse.

My Book se conecta ao seu computador usando uma interface USB 3.0 de alta velocidade, que é compatível com versões anteriores de USB 2.0. Por um lado, isso permite transferir arquivos na velocidade mais alta possível, porque a largura de banda do USB SuperSpeed ​​é de 5 Gbps (ou seja, 640 MB/s), o que é mais que suficiente. Ao mesmo tempo, o recurso de compatibilidade com versões anteriores garante suporte para quase todos os dispositivos lançados nos últimos 10 anos.

O melhor da categoria: a história do padrão de criptografia AES
Embora o My Book não exija instalação de software adicional graças à tecnologia Plug and Play que detecta e configura automaticamente dispositivos periféricos, ainda recomendamos o uso do pacote de software proprietário WD Discovery que acompanha cada dispositivo.

O melhor da categoria: a história do padrão de criptografia AES
O conjunto inclui os seguintes aplicativos:

Utilitários de unidade WD

O programa permite que você obtenha informações atualizadas sobre o estado atual da unidade com base em dados SMART e verifique se há setores defeituosos no disco rígido. Além disso, com a ajuda do Drive Utilities, você pode destruir rapidamente todos os dados salvos no seu My Book: neste caso, os arquivos não serão apenas apagados, mas também completamente sobrescritos várias vezes, de modo que não será mais possível para restaurá-los após a conclusão do procedimento.

Backup WD

Usando este utilitário, você pode configurar backups de acordo com uma programação especificada. Vale dizer que o WD Backup suporta trabalhar com Google Drive e Dropbox, ao mesmo tempo que permite selecionar quaisquer combinações possíveis de origem e destino ao criar um backup. Assim, você pode configurar a transferência automática de dados do My Book para a nuvem ou importar os arquivos e pastas necessários dos serviços listados para um disco rígido externo e uma máquina local. Além disso, é possível sincronizar com sua conta do Facebook, o que permite criar automaticamente cópias de segurança de fotos e vídeos do seu perfil.

WD Security

É com a ajuda deste utilitário que você pode restringir o acesso à unidade com uma senha e gerenciar a criptografia de dados. Para isso, basta especificar uma senha (seu comprimento máximo pode chegar a 25 caracteres), após a qual todas as informações do disco serão criptografadas, e somente quem souber a senha poderá acessar os arquivos salvos. Para maior comodidade, o WD Security permite criar uma lista de dispositivos confiáveis ​​que, quando conectados, desbloquearão automaticamente o My Book.

Enfatizamos que o WD Security fornece apenas uma interface visual conveniente para gerenciar a proteção criptográfica, enquanto a criptografia dos dados é realizada pela própria unidade externa no nível do hardware. Esta abordagem oferece uma série de vantagens importantes, nomeadamente:

  • um gerador de números aleatórios de hardware, em vez de um PRNG, é responsável pela criação de chaves de criptografia, o que ajuda a atingir um alto grau de entropia e aumentar sua força criptográfica;
  • durante o procedimento de criptografia e descriptografia, as chaves criptográficas não são baixadas na RAM do computador, nem são criadas cópias temporárias dos arquivos processados ​​em pastas ocultas na unidade do sistema, o que ajuda a minimizar a probabilidade de sua interceptação;
  • a velocidade de processamento de arquivos não depende de forma alguma do desempenho do dispositivo cliente;
  • Após ativar a proteção, a criptografia dos arquivos será realizada automaticamente, “on the fly”, sem exigir ações adicionais por parte do usuário.

Todos os itens acima garantem a segurança dos dados e permitem eliminar quase completamente a possibilidade de roubo de informações confidenciais. Levando em consideração os recursos adicionais da unidade, isso torna o My Book um dos dispositivos de armazenamento mais protegidos disponíveis no mercado russo.

Fonte: habr.com

Adicionar um comentário