一流的：AES 加密标准的历史

自 2020 年 256 月起，支持 3 位密钥 AES 硬件加密的 WD My Book 外置硬盘已开始在俄罗斯正式销售。 由于法律限制，以前此类设备只能在国外在线电子商店或“灰色”市场上购买，但现在任何人都可以从西部数据获得具有 XNUMX 年专有保修的受保护驱动器。 为了纪念这一重大事件，我们决定对历史进行一次简短的回顾，并弄清楚高级加密标准是如何出现的以及为什么它与竞争解决方案相比如此出色。

长期以来，美国对称加密的官方标准是 DES（数据加密标准），由 IBM 开发，并于 1977 年列入联邦信息处理标准列表（FIPS 46-3）。 该算法基于代号为 Lucifer 的研究项目中取得的进展。 15 年 1973 月 XNUMX 日，美国国家标准局宣布开展一项为政府机构创建加密标准的竞赛，美国公司凭借第三版 Lucifer 进入了加密竞赛，该版本使用了更新的 Feistel 网络。 与其他参赛者一样，它失败了：提交给第一届比赛的算法没有一个符合国家统计局专家制定的严格要求。

当然，IBM也不能简单地接受失败：当比赛于27年1974月17日重新开始时，这家美国公司再次提交了申请，提出了Lucifer的改进版本。 这次评审团没有提出任何抱怨：IBM 对错误进行了出色的工作，成功地消除了所有缺陷，因此没有什么可抱怨的。 获得压倒性胜利后，路西法将自己的名字改为DES，并于1975年XNUMX月XNUMX日在《联邦公报》上发表。

然而，在 1976 年组织的讨论新密码标准的公共研讨会上，DES 受到了专家界的严厉批评。 其原因是 NSA 专家对算法进行了更改：特别是，密钥长度减少到 56 位（Lucifer 最初支持使用 64 位和 128 位密钥），并且更改了排列块的逻辑。 密码学家表示，这些“改进”毫无意义，国家安全局实施修改的唯一目的就是能够自由查看加密文档。

针对这些指控，美国参议院成立了一个特别委员会，其目的是核实国家安全局行动的有效性。 1978年，调查结束后发表了一份报告，其中指出：

• NSA 代表仅间接参与了 DES 的最终确定，他们的贡献仅涉及排列块操作的变化；
• DES 的最终版本比原始版本更能抵抗黑客攻击和密码分析，因此这些更改是合理的；
• 56位的密钥长度对于绝大多数应用来说已经足够了，因为破解这样的密码需要至少花费数千万美元的超级计算机，而普通攻击者甚至专业黑客都没有这样的资源，没有什么可担心的。

该委员会的结论在 1990 年得到了部分证实，当时以色列密码学家 Eli Biham 和 Adi Shamir 研究差分密码分析的概念，对包括 DES 在内的分组算法进行了大量研究。 科学家们得出的结论是，新的排列模型比原来的模型更能抵抗攻击，这意味着美国国家安全局实际上帮助填补了算法中的多个漏洞。

阿迪沙米尔

与此同时，密钥长度的限制被证明是一个问题，而且是一个非常严重的问题，公共组织电子前沿基金会 (EFF) 在 1998 年作为 DES 挑战 II 实验的一部分令人信服地证明了这一点，在 RSA 实验室的赞助下进行。 专门为破解 DES 打造了一台超级计算机，代号为 EFF DES Cracker，由 EFF 联合创始人兼 DES Challenge 项目总监 John Gilmore 和 Cryptography Research 创始人 Paul Kocher 创建。

处理器 EFF DES 破解器

他们开发的系统能够在短短 56 小时内，即不到三天的时间内，使用暴力破解成功找到加密样本的密钥。 为此，DES Cracker 需要检查大约四分之一的所有可能组合，这意味着即使在最不利的情况下，黑客攻击也需要大约 224 小时，即不超过 10 天。 同时，考虑到其设计所花费的资金，超级计算机的成本仅为250万美元。 不难猜测，今天破解这样的代码更加容易和便宜：不仅硬件变得更加强大，而且由于互联网技术的发展，黑客不必购买或租用密码。必要的设备 - 创建一个感染病毒的电脑僵尸网络就足够了。

这个实验清楚地证明了 DES 是多么过时。 由于当时该算法被用于数据加密领域近 50% 的解决方案（根据相同的 EFF 估计），因此寻找替代方案的问题变得比以往任何时候都更加紧迫。

新挑战新竞争

公平地说，应该说，寻找数据加密标准的替代品几乎是与 EFF DES 破解程序的准备同时开始的：美国国家标准与技术研究所 (NIST) 早在 1997 年就宣布推出一个加密算法竞赛旨在确定加密安全的新“黄金标准”。 如果说在过去，类似的活动是专门为“我们自己的人民”举办的，那么，考虑到30年前的失败经验，NIST决定将比赛完全开放：任何公司和个人都可以参加无论身在何处或国籍如何。

即使在选择申请人的阶段，这种方法也证明了自己的合理性：申请参加高级加密标准竞赛的作者中有世界著名的密码学家（Ross Anderson、Eli Biham、Lars Knudsen）和专门从事网络安全的小型 IT 公司（Counterpane） 、大型企业（德国电信）、教育机构（比利时鲁汶大学），以及在国外很少听说过的初创企业和小公司（例如，哥斯达黎加的 Tecnologia Apropriada Internacional）。

有趣的是，这次 NIST 仅批准了参与算法的两个基本要求：

• 数据块必须具有固定大小 128 位；
• 该算法必须支持至少三种密钥大小：128、192 和 256 位。

实现这样的结果相对简单，但正如他们所说，问题在于细节：还有更多次要要求，而且满足这些要求要困难得多。 同时，NIST 评审员也是根据他们的意见来选择参赛者的。 以下是获胜申请人必须满足的标准：

1. 有能力抵御比赛时已知的任何密码分析攻击，包括通过第三方渠道的攻击；
2. 不存在弱且等效的加密密钥（等效是指虽然彼此之间存在显着差异，但会产生相同密码的密钥）；
3. 加密速度稳定，并且在所有当前平台（从 8 位到 64 位）上大致相同；
4. 多处理器系统优化，支持并行操作；
5. RAM 量的最低要求；
6. 在标准场景中使用没有限制（作为构造哈希函数、PRNG等的基础）；
7. 算法的结构必须合理、易于理解。

最后一点可能看起来很奇怪，但如果你仔细想想，这是有道理的，因为结构良好的算法更容易分析，而且在其中隐藏“书签”也更困难，借助开发人员可以无限制地访问加密数据。

高级加密标准竞赛的申请受理持续了一年半的时间。 共有15种算法参与其中：

1. CAST-256，由加拿大公司 Entrust Technologies 基于 Carlisle Adams 和 Stafford Tavares 创建的 CAST-128 开发；
2. Crypton，由韩国网络安全公司 Future Systems 的密码学家 Chae Hoon Lim 创建；
3. DEAL，其概念最初由丹麦数学家Lars Knudsen提出，后来由Richard Outerbridge发展并申请参加比赛；
4. DFC，巴黎教育学院、法国国家科学研究中心 (CNRS) 和法国电信公司的联合项目；
5. E2，由日本最大的电信公司日本电报电话公司赞助开发；
6. FROG，哥斯达黎加公司 Tecnologia Apropriada Internacional 的创意；
7. HPC，由美国亚利桑那大学密码学家、数学家 Richard Schreppel 发明；
8. LOKI97，由澳大利亚密码学家劳伦斯·布朗和詹妮弗·塞伯里创建；
9. Magenta，由 Michael Jacobson 和 Klaus Huber 为德国电信公司 Deutsche Telekom AG 开发；
10. IBM 的 MARS，Lucifer 的作者之一 Don Coppersmith 参与了该项目的创建；
11. RC6，由 Ron Rivest、Matt Robshaw 和 Ray Sydney 专门为 AES 竞赛编写；
12. Rijndael，由鲁汶天主教大学的 Vincent Raymen 和 Johan Damen 创建；
13. SAFER+，由加利福尼亚公司 Cylink 与亚美尼亚共和国国家科学院共同开发；
14. Serpent，由 Ross Anderson、Eli Beaham 和 Lars Knudsen 创作；
15. Twofish，由 Bruce Schneier 的研究小组基于 Bruce 于 1993 年提出的 Blowfish 加密算法开发。

根据第一轮的结果，确定了 5 名决赛入围者，包括 Serpent、Twofish、MARS、RC6 和 Rijndael。 评审团成员发现几乎所有列出的算法都存在缺陷，只有一个除外。 谁是赢家？ 让我们稍微扩展一下这个问题，首先考虑一下列出的每个解决方案的主要优点和缺点。

火星

以“战神”为例，专家注意到了数据加密和解密程序的同一性，但这正是其优势有限的地方。 IBM 的算法非常耗电，因此不适合在资源有限的环境中工作。 计算的并行化也存在问题。 为了有效运行，MARS 需要对 32 位乘法和可变位旋转的硬件支持，这再次对支持的平台列表施加了限制。

MARS 还很容易受到时序和功率攻击，在动态密钥扩展方面存在问题，而且其过于复杂的结构导致难以分析架构，并在实际实施阶段产生了额外的问题。 简而言之，与其他决赛入围者相比，MARS 看起来像是一个真正的局外人。

RC6

该算法继承了之前经过深入研究的前身 RC5 的一些转换，结合简单直观的结构，使其对专家完全透明，并消除了“书签”的存在。 此外，RC6在32位平台上展示了​​创纪录的数据处理速度，并且加密和解密过程的实现完全相同。

但该算法也存在与上述MARS相同的问题：存在侧通道攻击的脆弱性、性能依赖于对32位运算的支持，以及并行计算、密钥扩展和对硬件资源的要求等问题。 。 从这一点来说，他根本不适合胜者这个角色。

Twofish的

事实证明，Twofish 速度相当快，并且针对低功耗设备进行了很好的优化，在扩展密钥方面做得非常出色，并提供了多种实现选项，这使得它可以巧妙地适应特定任务。 与此同时，“两条鱼”很容易受到旁道攻击（特别是在时间和功耗方面），对多处理器系统不是特别友好，而且过于复杂，顺便说一句，也影响了密钥扩展的速度。

蛇

该算法结构简单易懂，极大地简化了审核，对硬件平台的性能要求不高，支持动态扩展密钥，修改相对容易，使其在同类算法中脱颖而出。对手。 尽管如此，从原则上来说，Serpent 是入围者中最慢的，而且，其中加密和解密信息的过程完全不同，需要完全不同的实现方法。

里因达尔

事实证明，Rijndael 非常接近理想状态：该算法完全满足 NIST 要求，但并不逊色，而且就总体特征而言，明显优于其竞争对手。 Reindal 只有两个弱点：密钥扩展过程容易受到能耗攻击，这是一个非常具体的场景，以及即时密钥扩展的某些问题（该机制仅对两个竞争对手 - Serpent 和 Twofish 没有限制） 。 此外，根据专家的说法，Reindal 的加密强度略低于 Serpent、Twofish 和 MARS，但是，它对绝大多数类型的旁路攻击的抵抗力和广泛的范围足以弥补这一点。的实施方案。

类别

蛇

Twofish的

火星

RC6

里因达尔

加密强度

+

+

+

+

+

密码强度储备

++

++

++

+

+

在软件中实施时的加密速度

-

±

±

+

+

在软件中实现时的密钥扩展速度

±

-

±

±

+

大容量智能卡

+

+

-

±

++

资源有限的智能卡

±

+

-

±

++

硬件实现（FPGA）

+

+

-

±

+

硬件实现（专用芯片）

+

±

-

-

+

防止执行时间和电源攻击

+

±

-

-

+

密钥扩展过程防功耗攻击

±

±

±

±

-

防止智能卡实施中的功耗攻击

±

+

-

±

+

能够动态扩展密钥

+

+

±

±

±

实施选项的可用性（不损失兼容性）

+

+

±

±

+

并行计算的可能性

±

±

±

±

+

就特征的整体性而言，Reindal 遥遥领先于他的竞争对手，因此最终投票的结果非常符合逻辑：该算法获得压倒性胜利，获得 86 票支持，只有 10 票反对。 Serpent 以 59 票名列第二，而 Twofish 则位居第三：有 31 名评审团成员支持。 紧随其后的是 RC6，赢得了 23 票，而 MARS 自然垫底，只有 13 票赞成，83 票反对。

2 年 2000 月 26 日，Rijndael 被宣布为 AES 竞赛的获胜者，传统上将其名称更改为目前众所周知的高级加密标准。 标准化过程持续了大约一年的时间：2001年197月2003日，AES被列入联邦信息处理标准清单，获得FIPS 256索引。新算法也得到了NSA的高度赞赏，自XNUMX年XNUMX月起，AES被列入美国联邦信息处理标准列表。美国国家安全局甚至承认具有XNUMX位密钥的AES加密强度足以确保绝密文件的安全。

WD My Book 外置硬盘支持 AES-256 硬件加密

得益于高可靠性和性能的结合，高级加密标准很快获得了全世界的认可，成为世界上最流行的对称加密算法之一，并被包含在许多密码库中（OpenSSL、GnuTLS、Linux的Crypto API等）。 AES 现在广泛应用于企业和消费者应用程序，并得到多种设备的支持。 尤其是，Western Digital 的 My Book 系列外置硬盘采用了 AES-256 硬件加密，以确保存储数据的保护。 让我们仔细看看这些设备。

WD My Book 台式硬盘系列包括六种不同容量的型号：4、6、8、10、12 和 14 TB，让您可以选择最适合您需求的设备。 默认情况下，外部硬盘使用 exFAT 文件系统，这可确保与多种操作系统兼容，包括 Microsoft Windows 7、8、8.1 和 10，以及 Apple macOS 版本 10.13 (High Sierra) 及更高版本。 Linux 操作系统用户有机会使用 exfat-nofuse 驱动程序安装硬盘驱动器。

My Book 使用高速 USB 3.0 接口连接到您的计算机，该接口向后兼容 USB 2.0。 一方面，这可以让你以尽可能高的速度传输文件，因为USB SuperSpeed带宽为5 Gbps（即640 MB/s），这已经绰绰有余了。 同时，向后兼容功能确保了对过去 10 年来发布的几乎所有设备的支持。

尽管由于即插即用技术可以自动检测和配置外围设备，My Book 不需要安装任何额外的软件，但我们仍然建议使用每个设备附带的专有 WD Discovery 软件包。

该套件包括以下应用程序：

WD Drive Utilities

该程序允许您根据 SMART 数据获取有关驱动器当前状态的最新信息，并检查硬盘驱动器是否有坏扇区。 此外，借助Drive Utilities，您可以快速销毁My Book上保存的所有数据：在这种情况下，文件不仅会被删除，而且会被完全覆盖多次，从而不再可能程序完成后恢复它们。

WD备份

使用此实用程序，您可以根据指定的计划配置备份。 值得一提的是，WD Backup 支持与 Google Drive 和 Dropbox 配合使用，同时允许您在创建备份时选择任何可能的源-目标组合。 因此，您可以设置自动将数据从 My Book 传输到云，或将必要的文件和文件夹从列出的服务导入到外部硬盘驱动器和本地计算机。 此外，还可以与您的 Facebook 帐户同步，这样您就可以从您的个人资料中自动创建照片和视频的备份副本。

WD安全

借助此实用程序，您可以使用密码限制对驱动器的访问并管理数据加密。 只需指定一个密码（最大长度可达25个字符），之后磁盘上的所有信息都将被加密，只有知道密码的人才能访问保存的文件。 为了更加方便，WD Security 允许您创建可信设备列表，这些设备在连接时将自动解锁 My Book。

我们强调，WD Security 仅提供了一个方便的可视化界面来管理加密保护，而数据加密是由外部驱动器本身在硬件层面进行的。 这种方法具有许多重要的优点，即：

• 硬件随机数生成器（而不是 PRNG）负责创建加密密钥，这有助于实现高度熵并提高其加密强度；
• 在加密和解密过程中，加密密钥不会下载到计算机的 RAM 中，也不会在系统驱动器上的隐藏文件夹中创建已处理文件的临时副本，这有助于最大限度地减少其被拦截的可能性；
• 文件处理速度不以任何方式依赖于客户端设备的性能；
• 激活保护后，文件加密将自动“即时”执行，无需用户执行其他操作。

所有这些都保证了数据安全，让您几乎完全杜绝机密信息被盗的可能性。 考虑到该驱动器的附加功能，这使得 My Book 成为俄罗斯市场上受保护最好的存储设备之一。

来源： habr.com