Najlepšie vo svojej triede: História štandardu šifrovania AES

Od mája 2020 sa v Rusku začal oficiálny predaj externých pevných diskov WD My Book, ktoré podporujú hardvérové ​​šifrovanie AES s 256-bitovým kľúčom. Kvôli právnym obmedzeniam bolo možné takéto zariadenia predtým kúpiť iba v zahraničných online obchodoch s elektronikou alebo na „šedom“ trhu, no teraz môže každý získať chránený disk s patentovanou 3-ročnou zárukou od spoločnosti Western Digital. Na počesť tejto významnej udalosti sme sa rozhodli urobiť si krátky exkurz do histórie a zistiť, ako sa objavil Advanced Encryption Standard a prečo je taký dobrý v porovnaní s konkurenčnými riešeniami.

Po dlhú dobu bol oficiálnym štandardom pre symetrické šifrovanie v Spojených štátoch DES (Data Encryption Standard), vyvinutý spoločnosťou IBM a zaradený do zoznamu Federal Information Processing Standards v roku 1977 (FIPS 46-3). Algoritmus je založený na vývoji získaných počas výskumného projektu s kódovým názvom Lucifer. Keď 15. mája 1973 americký Národný úrad pre štandardy vyhlásil súťaž na vytvorenie šifrovacieho štandardu pre vládne agentúry, americká korporácia vstúpila do kryptografických pretekov s treťou verziou Lucifera, ktorá používala aktualizovanú sieť Feistel. A spolu s ďalšími konkurentmi neuspel: ani jeden z algoritmov prihlásených do prvej súťaže nespĺňal prísne požiadavky formulované odborníkmi NBS.

Samozrejme, IBM nemohla jednoducho akceptovať porážku: keď bola súťaž 27. augusta 1974 reštartovaná, americká korporácia opäť predložila prihlášku a predstavila vylepšenú verziu Lucifera. Tentoraz porota nemala jedinú sťažnosť: po vykonaní kompetentnej práce na chybách spoločnosť IBM úspešne odstránila všetky nedostatky, takže nebolo čo vytknúť. Po drvivom víťazstve si Lucifer zmenil meno na DES a bol zverejnený vo federálnom registri 17. marca 1975.

Počas verejných sympózií organizovaných v roku 1976 na diskusiu o novom kryptografickom štandarde bol však DES odbornou komunitou silne kritizovaný. Dôvodom boli zmeny, ktoré v algoritme vykonali špecialisti NSA: najmä dĺžka kľúča bola znížená na 56 bitov (spočiatku Lucifer podporoval prácu so 64- a 128-bitovými kľúčmi) a zmenila sa logika permutačných blokov. . Podľa kryptografov boli „vylepšenia“ bezvýznamné a jediné, o čo sa Národná bezpečnostná agentúra implementáciou úprav snažila, bola možnosť voľne prezerať zašifrované dokumenty.

V súvislosti s týmito obvineniami bola v rámci Senátu USA vytvorená špeciálna komisia, ktorej účelom bolo overiť opodstatnenosť krokov NSA. V roku 1978 bola po vyšetrovaní zverejnená správa, ktorá uvádzala nasledovné:

• Zástupcovia NBÚ sa na finalizácii DES podieľali len nepriamo a ich príspevok sa týkal len zmien vo fungovaní permutačných blokov;
• konečná verzia DES sa ukázala byť odolnejšia voči hackingu a kryptografickej analýze ako originál, takže zmeny boli opodstatnené;
• dĺžka kľúča 56 bitov je pre drvivú väčšinu aplikácií viac než dostatočná, pretože na prelomenie takejto šifry by bol potrebný superpočítač, ktorý by stál minimálne niekoľko desiatok miliónov dolárov a keďže bežní útočníci a dokonca ani profesionálni hackeri takýmito prostriedkami nedisponujú, nie je sa čoho obávať.

Závery komisie sa čiastočne potvrdili v roku 1990, keď izraelskí kryptografi Eli Biham a Adi Shamir, pracujúci na koncepte diferenciálnej kryptoanalýzy, vykonali veľkú štúdiu blokových algoritmov, vrátane DES. Vedci dospeli k záveru, že nový permutačný model bol oveľa odolnejší voči útokom ako pôvodný, čo znamená, že NSA skutočne pomohla zaplátať niekoľko dier v algoritme.

Adi Shamir

Zároveň sa ako problém, a to veľmi vážny, ukázalo obmedzenie dĺžky kľúča, čo v roku 1998 presvedčivo dokázala verejná organizácia Electronic Frontier Foundation (EFF) v rámci experimentu DES Challenge II, prebieha pod záštitou RSA Laboratory. Špeciálne na prelomenie DES bol skonštruovaný superpočítač s kódovým označením EFF DES Cracker, ktorý vytvorili John Gilmore, spoluzakladateľ EFF a riaditeľ projektu DES Challenge, a Paul Kocher, zakladateľ Cryptography Research.

Procesor EFF DES Cracker

Systém, ktorý vyvinuli, dokázal pomocou hrubej sily úspešne nájsť kľúč k zašifrovanej vzorke len za 56 hodín, teda za menej ako tri dni. Na to potreboval DES Cracker skontrolovať asi štvrtinu všetkých možných kombinácií, čo znamená, že aj za tých najnepriaznivejších okolností by hacknutie trvalo približne 224 hodín, teda nie viac ako 10 dní. Zároveň náklady na superpočítač, berúc do úvahy finančné prostriedky vynaložené na jeho dizajn, boli iba 250 tisíc dolárov. Nie je ťažké uhádnuť, že dnes je ešte jednoduchšie a lacnejšie prelomiť takýto kód: nielenže sa hardvér stal oveľa výkonnejším, ale vďaka rozvoju internetových technológií si hacker nemusí kupovať ani prenajímať potrebné vybavenie - úplne stačí na vytvorenie botnetu počítačov infikovaných vírusom.

Tento experiment jasne ukázal, aké zastarané je DES. A keďže v tom čase bol algoritmus použitý v takmer 50 % riešení v oblasti šifrovania dát (podľa rovnakého odhadu EFF), otázka hľadania alternatívy sa stala naliehavejšou ako kedykoľvek predtým.

Nové výzvy – nová konkurencia

Aby sme boli spravodliví, treba povedať, že hľadanie náhrady za štandard šifrovania údajov sa začalo takmer súčasne s prípravou EFF DES Cracker: Americký Národný inštitút pre štandardy a technológie (NIST) v roku 1997 oznámil spustenie súťaž o šifrovací algoritmus navrhnutá na identifikáciu nového „zlatého štandardu“ pre kryptobezpečnosť. A ak sa za starých čias podobné podujatie konalo výlučne „pre našich vlastných ľudí“, potom sa NIST, berúc do úvahy neúspešnú skúsenosť spred 30 rokov, rozhodol súťaž úplne otvoriť: zúčastniť sa jej mohla každá spoločnosť a každý jednotlivec. bez ohľadu na miesto alebo občianstvo.

Tento prístup sa osvedčil už vo fáze výberu uchádzačov: medzi autormi, ktorí sa uchádzali o účasť v súťaži Advanced Encryption Standard, boli svetoznámi kryptológovia (Ross Anderson, Eli Biham, Lars Knudsen) a malé IT spoločnosti špecializujúce sa na kybernetickú bezpečnosť (Counterpane ). a veľké korporácie (nemecký Deutsche Telekom) a vzdelávacie inštitúcie (KU Leuven, Belgicko), ako aj start-upy a malé firmy, o ktorých len málokto počul mimo ich krajín (napríklad Tecnologia Apropriada Internacional z Kostariky).

Je zaujímavé, že tentoraz NIST schválil iba dve základné požiadavky na zúčastnené algoritmy:

• dátový blok musí mať pevnú veľkosť 128 bitov;
• algoritmus musí podporovať aspoň tri veľkosti kľúčov: 128, 192 a 256 bitov.

Dosiahnuť takýto výsledok bolo pomerne jednoduché, no, ako sa hovorí, diabol je v detailoch: vedľajších požiadaviek bolo oveľa viac a splniť ich bolo oveľa ťažšie. Medzitým posudzovatelia NIST vybrali súťažiacich na ich základe. Tu sú kritériá, ktoré museli uchádzači o víťazstvo splniť:

1. schopnosť odolať akýmkoľvek kryptanalytickým útokom známym v čase súťaže, vrátane útokov prostredníctvom kanálov tretích strán;
2. absencia slabých a ekvivalentných šifrovacích kľúčov (ekvivalentom sa rozumejú tie kľúče, ktoré aj keď sa navzájom výrazne odlišujú, vedú k identickým šifrám);
3. rýchlosť šifrovania je stabilná a približne rovnaká na všetkých súčasných platformách (od 8 do 64 bitov);
4. optimalizácia pre viacprocesorové systémy, podpora paralelizácie operácií;
5. minimálne požiadavky na množstvo pamäte RAM;
6. žiadne obmedzenia pre použitie v štandardných scenároch (ako základ pre konštrukciu hashovacích funkcií, PRNG atď.);
7. Štruktúra algoritmu musí byť rozumná a ľahko pochopiteľná.

Posledný bod sa môže zdať divný, ale ak sa nad tým zamyslíte, dáva to zmysel, pretože dobre štruktúrovaný algoritmus sa oveľa ľahšie analyzuje a je tiež oveľa ťažšie v ňom skryť „záložku“ pomocou ktorým by vývojár mohol získať neobmedzený prístup k zašifrovaným údajom.

Prijímanie žiadostí do súťaže Advanced Encryption Standard trvalo rok a pol. Celkovo sa na ňom podieľalo 15 algoritmov:

1. CAST-256, vyvinutý kanadskou spoločnosťou Entrust Technologies na základe CAST-128, ktorý vytvorili Carlisle Adams a Stafford Tavares;
2. Crypton, ktorý vytvoril kryptológ Chae Hoon Lim z juhokórejskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou Future Systems;
3. DEAL, ktorého koncept pôvodne navrhol dánsky matematik Lars Knudsen a neskôr jeho myšlienky rozvinul Richard Outerbridge, ktorý sa uchádzal o účasť v súťaži;
4. DFC, spoločný projekt Parížskej školy vzdelávania, Francúzskeho národného centra pre vedecký výskum (CNRS) a telekomunikačnej spoločnosti France Telecom;
5. E2, vyvinutý pod záštitou najväčšej japonskej telekomunikačnej spoločnosti Nippon Telegraph and Telephone;
6. FROG, duchovné dieťa kostarickej spoločnosti Tecnologia Apropriada Internacional;
7. HPC, ktorý vynašiel americký kryptológ a matematik Richard Schreppel z University of Arizona;
8. LOKI97, ktorý vytvorili austrálski kryptografi Lawrence Brown a Jennifer Seberry;
9. Magenta, ktorú vyvinuli Michael Jacobson a Klaus Huber pre nemeckú telekomunikačnú spoločnosť Deutsche Telekom AG;
10. MARS od IBM, na tvorbe ktorej sa podieľal Don Coppersmith, jeden z autorov Lucifera;
11. RC6, ktorú napísali Ron Rivest, Matt Robshaw a Ray Sydney špeciálne pre súťaž AES;
12. Rijndael, ktorý vytvorili Vincent Raymen a Johan Damen z Katolíckej univerzity v Leuvene;
13. SAFER+, vyvinutý kalifornskou korporáciou Cylink spolu s Národnou akadémiou vied Arménskej republiky;
14. Had, ktorý vytvorili Ross Anderson, Eli Beaham a Lars Knudsen;
15. Twofish, vyvinutý výskumnou skupinou Brucea Schneiera na základe kryptografického algoritmu Blowfish, ktorý navrhol Bruce v roku 1993.

Na základe výsledkov prvého kola bolo určených 5 finalistov vrátane Serpent, Twofish, MARS, RC6 a Rijndael. Členovia poroty našli nedostatky takmer v každom z uvedených algoritmov, okrem jedného. Kto sa stal víťazom? Poďme trochu rozšíriť intrigy a najprv zvážime hlavné výhody a nevýhody každého z uvedených riešení.

MARS

V prípade „boha vojny“ experti zaznamenali identitu postupu šifrovania a dešifrovania údajov, ale tu boli jeho výhody obmedzené. Algoritmus IBM bol prekvapivo náročný na energiu, takže nebol vhodný na prácu v prostrediach s obmedzenými zdrojmi. Problémy boli aj s paralelizáciou výpočtov. Aby MARS fungoval efektívne, vyžadoval hardvérovú podporu pre 32-bitové násobenie a variabilnú rotáciu bitov, čo opäť obmedzilo zoznam podporovaných platforiem.

Ukázalo sa tiež, že MARS je dosť zraniteľný voči časovacím a energetickým útokom, mal problémy s rozširovaním kľúča za chodu a jeho nadmerná zložitosť sťažovala analýzu architektúry a vytvárala ďalšie problémy vo fáze praktickej implementácie. MARS skrátka v porovnaní s ostatnými finalistami vyzeral ako skutočný outsider.

RC6

Algoritmus zdedil niektoré transformácie od svojho predchodcu RC5, ktorý bol už predtým dôkladne preskúmaný, čo ho v kombinácii s jednoduchou a vizuálnou štruktúrou urobilo úplne transparentným pre odborníkov a eliminovalo prítomnosť „záložiek“. Okrem toho RC6 demonštroval rekordnú rýchlosť spracovania dát na 32-bitových platformách a postupy šifrovania a dešifrovania boli implementované úplne identicky.

Algoritmus mal však rovnaké problémy ako vyššie spomenutý MARS: vyskytol sa zraniteľnosť voči útokom z bočných kanálov, závislosť výkonu od podpory 32-bitových operácií, ako aj problémy s paralelným výpočtom, rozširovaním kľúčov a požiadavkami na hardvérové ​​zdroje. . V tomto smere sa do úlohy víťaza v žiadnom prípade nehodil.

Twofish

Twofish sa ukázal ako celkom rýchly a dobre optimalizovaný pre prácu na zariadeniach s nízkou spotrebou energie, výborne sa mu podarilo rozšíriť klávesy a ponúkol niekoľko možností implementácie, čo umožnilo nenápadne ho prispôsobiť konkrétnym úlohám. Zároveň sa ukázalo, že „dve ryby“ sú náchylné na útoky cez bočné kanály (najmä pokiaľ ide o čas a spotrebu energie), neboli obzvlášť priateľské k viacprocesorovým systémom a boli príliš zložité, čo mimochodom , ovplyvnilo aj rýchlosť rozširovania kľúčov.

had

Algoritmus mal jednoduchú a zrozumiteľnú štruktúru, ktorá výrazne zjednodušila jeho audit, nebol nijak zvlášť náročný na výkon hardvérovej platformy, mal podporu pre rozširovanie kľúčov za chodu a pomerne ľahko sa upravoval, čím vyčnieval z radu. oponentov. Napriek tomu bol Serpent v zásade najpomalší z finalistov, navyše postupy na šifrovanie a dešifrovanie informácií v ňom boli radikálne odlišné a vyžadovali si zásadne odlišné prístupy k implementácii.

Rijndael

Ukázalo sa, že Rijndael je extrémne blízko k ideálu: algoritmus plne spĺňal požiadavky NIST, pričom nie je horší a pokiaľ ide o súhrn vlastností, výrazne lepší ako jeho konkurenti. Reindal mal len dve slabé stránky: zraniteľnosť voči útokom na spotrebu energie na kľúčový postup rozširovania, čo je veľmi špecifický scenár, a určité problémy s rozširovaním kľúča za chodu (tento mechanizmus fungoval bez obmedzení len pre dvoch konkurentov - Serpent a Twofish) . Okrem toho mal Reindal podľa odborníkov o niečo nižšiu mieru kryptografickej sily ako Serpent, Twofish a MARS, čo však bolo viac než kompenzované jeho odolnosťou voči drvivej väčšine typov útokov postranným kanálom a širokým rozsahom implementačných možností.

kategórie

had

Twofish

MARS

RC6

Rijndael

Kryptografická sila

+

+

+

+

+

Kryptografická rezerva sily

++

++

++

+

+

Rýchlosť šifrovania pri implementácii v softvéri

-

±

±

+

+

Kľúčová rýchlosť rozšírenia pri implementácii v softvéri

±

-

±

±

+

Smart karty s veľkou kapacitou

+

+

-

±

++

Smart karty s obmedzenými zdrojmi

±

+

-

±

++

Hardvérová implementácia (FPGA)

+

+

-

±

+

Implementácia hardvéru (špecializovaný čip)

+

±

-

-

+

Ochrana proti času vykonávania a útokom sily

+

±

-

-

+

Ochrana pred útokmi spotreby energie na postup rozšírenia kľúča

±

±

±

±

-

Ochrana pred útokmi na spotrebu energie na implementáciách čipových kariet

±

+

-

±

+

Možnosť rozšírenia kľúča za chodu

+

+

±

±

±

Dostupnosť možností implementácie (bez straty kompatibility)

+

+

±

±

+

Možnosť paralelných výpočtov

±

±

±

±

+

Pokiaľ ide o súhrn charakteristík, Reindal bol hlavou a ramenami nad svojimi konkurentmi, takže výsledok konečného hlasovania sa ukázal ako celkom logický: algoritmus zvíťazil s veľkým náskokom, keď získal 86 hlasov za a iba 10 proti. Serpent obsadil slušné druhé miesto s 59 hlasmi, pričom Twofish bol na treťom mieste: postavilo sa zaň 31 členov poroty. Po nich nasledoval RC6 so ziskom 23 hlasov a MARS prirodzene skončil na poslednom mieste, získal len 13 hlasov za a 83 proti.

2. októbra 2000 bol Rijndael vyhlásený za víťaza súťaže AES, pričom už tradične zmenil svoj názov na Advanced Encryption Standard, pod ktorým je v súčasnosti známy. Štandardizačná procedúra trvala približne rok: 26. novembra 2001 bol AES zaradený do zoznamu Federal Information Processing Standards a získal index FIPS 197. Nový algoritmus vysoko ocenil aj NSA a od júna 2003 aj USA Národná bezpečnostná agentúra dokonca uznala, že AES s 256-bitovým kľúčovým šifrovaním je dostatočne silné na to, aby zaistilo bezpečnosť prísne tajných dokumentov.

Externé disky WD My Book podporujú hardvérové ​​šifrovanie AES-256

Vďaka kombinácii vysokej spoľahlivosti a výkonu si Advanced Encryption Standard rýchlo získal celosvetové uznanie, stal sa jedným z najpopulárnejších symetrických šifrovacích algoritmov na svete a je súčasťou mnohých kryptografických knižníc (OpenSSL, GnuTLS, Linux's Crypto API atď.). AES je teraz široko používaný v podnikových a spotrebiteľských aplikáciách a je podporovaný v širokej škále zariadení. Najmä hardvérové ​​šifrovanie AES-256 sa používa v rade externých diskov Western Digital My Book, aby sa zabezpečila ochrana uložených údajov. Poďme sa na tieto zariadenia pozrieť bližšie.

Rad stolných pevných diskov WD My Book obsahuje šesť modelov s rôznymi kapacitami: 4, 6, 8, 10, 12 a 14 terabajtov, čo vám umožňuje vybrať si zariadenie, ktoré najlepšie vyhovuje vašim potrebám. Externé pevné disky štandardne používajú súborový systém exFAT, ktorý zaisťuje kompatibilitu so širokou škálou operačných systémov vrátane Microsoft Windows 7, 8, 8.1 a 10, ako aj Apple macOS verzie 10.13 (High Sierra) a vyššej. Používatelia operačného systému Linux majú možnosť pripojiť pevný disk pomocou ovládača exfat-nofuse.

My Book sa pripája k počítaču pomocou vysokorýchlostného rozhrania USB 3.0, ktoré je spätne kompatibilné s USB 2.0. Na jednej strane to umožňuje prenášať súbory najvyššou možnou rýchlosťou, pretože šírka pásma USB SuperSpeed ​​je 5 Gbps (teda 640 MB/s), čo je viac než dosť. Funkcia spätnej kompatibility zároveň zaisťuje podporu takmer akéhokoľvek zariadenia vydaného za posledných 10 rokov.

Hoci My Book nevyžaduje žiadnu dodatočnú inštaláciu softvéru vďaka technológii Plug and Play, ktorá automaticky zisťuje a konfiguruje periférne zariadenia, stále odporúčame používať vlastný softvérový balík WD Discovery, ktorý sa dodáva s každým zariadením.

Sada obsahuje nasledujúce aplikácie:

Obslužné programy disku WD

Program vám umožňuje získať aktuálne informácie o aktuálnom stave disku na základe údajov SMART a skontrolovať, či pevný disk neobsahuje chybné sektory. Okrem toho môžete pomocou Drive Utilities rýchlo zničiť všetky údaje uložené na vašom My Book: v takom prípade sa súbory nielen vymažú, ale aj niekoľkokrát úplne prepíšu, takže to už nebude možné. na ich obnovenie po dokončení postupu.

Zálohovanie WD

Pomocou tohto nástroja môžete nakonfigurovať zálohy podľa určeného plánu. Stojí za zmienku, že WD Backup podporuje prácu s Diskom Google a Dropboxom, pričom vám pri vytváraní zálohy umožňuje vybrať akékoľvek možné kombinácie zdroj-cieľ. Môžete tak nastaviť automatický prenos údajov z disku My Book do cloudu alebo importovať potrebné súbory a priečinky z uvedených služieb na externý pevný disk aj lokálny počítač. Okrem toho je možná synchronizácia s vaším účtom na Facebooku, čo vám umožní automaticky vytvárať záložné kópie fotografií a videí z vášho profilu.

Zabezpečenie WD

Pomocou tohto nástroja môžete obmedziť prístup k disku pomocou hesla a spravovať šifrovanie údajov. Všetko, čo je potrebné na to, je zadať heslo (jeho maximálna dĺžka môže dosiahnuť 25 znakov), po ktorom budú všetky informácie na disku zašifrované a k uloženým súborom budú mať prístup iba tí, ktorí prístupovú frázu poznajú. Pre väčšie pohodlie vám WD Security umožňuje vytvoriť zoznam dôveryhodných zariadení, ktoré po pripojení automaticky odomknú My Book.

Zdôrazňujeme, že WD Security poskytuje iba pohodlné vizuálne rozhranie na správu kryptografickej ochrany, zatiaľ čo šifrovanie údajov vykonáva na hardvérovej úrovni samotný externý disk. Tento prístup poskytuje množstvo dôležitých výhod, konkrétne:

• hardvérový generátor náhodných čísel namiesto PRNG je zodpovedný za vytváranie šifrovacích kľúčov, čo pomáha dosiahnuť vysoký stupeň entropie a zvýšiť ich šifrovaciu silu;
• počas procesu šifrovania a dešifrovania sa do pamäte RAM počítača nesťahujú kryptografické kľúče ani sa nevytvárajú dočasné kópie spracovaných súborov v skrytých priečinkoch na systémovej jednotke, čo pomáha minimalizovať pravdepodobnosť ich zachytenia;
• rýchlosť spracovania súborov nijako nezávisí od výkonu klientskeho zariadenia;
• Po aktivácii ochrany sa šifrovanie súborov vykoná automaticky, „za behu“, bez toho, aby sa vyžadovali ďalšie akcie zo strany používateľa.

Všetko vyššie uvedené zaručuje bezpečnosť údajov a umožňuje takmer úplne eliminovať možnosť krádeže dôverných informácií. S prihliadnutím na ďalšie možnosti disku to robí z My Book jedno z najlepšie chránených úložných zariadení dostupných na ruskom trhu.

Zdroj: hab.com