一流的：AES 加密標準的歷史

自 2020 年 256 月起，支援 3 位元金鑰 AES 硬體加密的 WD My Book 外接硬碟已開始在俄羅斯正式銷售。由於法律限制，以前此類設備只能在國外線上電子商店或「灰色」市場上購買，但現在任何人都可以從西部數據獲得具有 XNUMX 年專有保固的受保護驅動器。為了紀念這一重大事件，我們決定對歷史進行簡短的回顧，並弄清楚高級加密標準是如何出現的以及為什麼它與競爭解決方案相比如此出色。

長期以來，美國對稱加密的官方標準是 DES（資料加密標準），由 IBM 開發，並於 1977 年列入聯邦資訊處理標準清單（FIPS 46-3）。該演算法基於代號為 Lucifer 的研究項目中取得的進展。 15 年 1973 月 XNUMX 日，美國國家標準局宣布開展一項為政府機構創建加密標準的競賽，美國公司憑藉第三版 Lucifer 進入了加密競賽，該版本使用了更新的 Feistel 網路。與其他參賽者一樣，它失敗了：提交給第一屆比賽的演算法沒有一個符合國家統計局專家製定的嚴格要求。

當然，IBM也不能簡單地接受失敗：當比賽於27年1974月17日重新開始時，這家美國公司再次提交了申請，提出了Lucifer的改進版本。這次陪審團沒有提出任何抱怨：IBM 對錯誤進行了出色的工作，成功地消除了所有缺陷，因此沒有什麼可抱怨的。在獲得壓倒性勝利後，路西法將自己的名字改為DES，並於1975年XNUMX月XNUMX日在《聯邦公報》上發表。

然而，在 1976 年組織的討論新密碼標準的公開研討會上，DES 受到了專家界的嚴厲批評。原因是 NSA 專家對演算法進行了更改：特別是，密鑰長度減少到 56 位元（Lucifer 最初支援使用 64 位元和 128 位元密鑰），並且更改了排列區塊的邏輯。密碼學家表示，這些「改進」毫無意義，國家安全局實施修改的唯一目的就是能夠自由查看加密文件。

針對這些指控，美國參議院成立了一個特別委員會，其目的是核實國家安全局行動的有效性。 1978年，調查結束後發表了一份報告，其中指出：

• NSA 代表僅間接參與了 DES 的最終確定，他們的貢獻僅涉及排列塊操作的變化；
• DES 的最終版本比原始版本更能抵抗駭客攻擊和密碼分析，因此這些變更是合理的；
• 56位元的密鑰長度對於絕大多數應用來說已經綽綽有餘，因為破解這樣的密碼需要至少花費數千萬美元的超級計算機，而普通攻擊者甚至專業黑客都沒有這樣的資源，沒有什麼可擔心的。

該委員會的結論在 1990 年得到了部分證實，當時以色列密碼學家 Eli Biham 和 Adi Shamir 研究差分密碼分析的概念，對包括 DES 在內的分組演算法進行了大量研究。科學家們得出的結論是，新的排列模型比原來的模型更能抵抗攻擊，這意味著美國國家安全局實際上幫助填補了演算法中的多個漏洞。

阿迪沙米爾

同時，密鑰長度的限制被證明是一個問題，而且是一個非常嚴重的問題，公共組織電子前沿基金會(EFF) 在1998 年作為DES 挑戰II 實驗的一部分令人信服地證明了這一點，在 RSA 實驗室的贊助下進行。專為破解 DES 而打造的超級計算機，代號為 EFF DES Cracker，由 EFF 聯合創始人兼 DES Challenge 專案總監 John Gilmore 和 Cryptography Research 創始人 Paul Kocher 創建。

處理器 EFF DES 破解器

他們開發的系統能夠在短短 56 小時內，也就是不到三天的時間內，使用暴力破解成功找到加密樣本的金鑰。為此，DES Cracker 需要檢查大約四分之一的所有可能組合，這意味著即使在最不利的情況下，駭客攻擊也需要大約 224 小時，即不超過 10 天。同時，考慮到其設計所花費的資金，超級電腦的成本僅為250萬美元。不難猜測，今天破解這樣的代碼更加容易和便宜：不僅硬體變得更加強大，而且由於互聯網技術的發展，黑客不必購買或租用密碼。 。

這個實驗清楚地證明了 DES 是多麼過時。由於當時該演算法被用於資料加密領域近 50% 的解決方案（根據相同 EFF），因此尋找替代方案的問題變得比以往任何時候都更加緊迫。

新挑戰新競爭

公平地說，應該說，尋找資料加密標準的替代品幾乎是與 EFF DES Cracker 的準備同時開始的：美國國家標準與技術研究院 (NIST) 宣布啟動加密演算法競賽早在1997 年，旨在確定加密安全的新“黃金標準”。如果說在過去，類似的活動是專門為「我們自己的人民」舉辦的，那麼，考慮到30年前的失敗經驗，NIST決定將比賽完全開放：任何公司和個人都可以參加無論身在何處或國籍如何。

這種方法甚至在選擇申請人的階段就得到了回報：申請參加高級加密標準競賽的作者中有世界著名的密碼學家（Ross Anderson、Eli Biham、Lars Knudsen）和專門從事網絡安全的小型IT 公司（Counterpane） 、大型企業（德國電信）、教育機構（比利時魯汶大學），以及在國外很少聽說過的新創公司和小型公司（例如，哥斯達黎加的 Tecnologia Apropriada Internacional）。

有趣的是，這次 NIST 僅批准了參與演算法的兩個基本要求：

• 資料塊必須具有固定大小 128 位元；
• 該演算法必須支援至少三種密鑰大小：128、192 和 256 位元。

要實現這樣的結果相對簡單，但正如他們所說，問題在於細節：還有更多次要要求，而且滿足這些要求要困難得多。同時，NIST 評審員也是根據他們的意見來選擇參賽者的。以下是候選人必須滿足的標準：

1. 有能力抵禦比賽時已知的任何密碼分析攻擊，包括透過第三方管道的攻擊；
2. 不存在弱且等效的加密金鑰（等效是指雖然彼此之間有顯著差異，但會產生相同密碼的金鑰）；
3. 加密速度穩定，並且在所有當前平台（從 8 位元到 64 位元）上大致相同；
4. 多處理器系統最佳化，支援並行操作；
5. RAM 量的最低要求；
6. 在標準場景中使用沒有限制（作為建構雜湊函數、PRNG等的基礎）；
7. 演算法的結構必須合理​​、易於理解。

最後一點可能看起來很奇怪，但如果你仔細想想，這是有道理的，因為結構良好的演算法更容易分析，而且在其中隱藏「書籤」也更困難，借助開發人員可以無限制地存取加密數據。

高級加密標準競賽的申請受理持續了一年半的時間。共有15種演算法參與其中：

1. CAST-256，由加拿大公司 Entrust Technologies 基於 Carlisle Adams 和 Stafford Tavares 創建的 CAST-128 開發；
2. Crypton，由韓國網路安全公司 Future Systems 的密碼學家 Chae Hoon Lim 創立；
3. DEAL，其概念最初由丹麥數學家Lars Knudsen提出，後來由Richard Outerbridge發展併申請參加比賽；
4. DFC，巴黎教育學院、法國國家科學研究中心 (CNRS) 和法國電信公司的聯合計畫；
5. E2，由日本最大的電信公司日本電報電話公司贊助開發；
6. FROG，哥斯大黎加公司 Tecnologia Apropriada Internacional 的創意；
7. HPC，由美國亞利桑那大學密碼學家、數學家 Richard Schreppel 發明；
8. LOKI97，由澳洲密碼學家勞倫斯布朗和珍妮佛塞伯里創立；
9. Magenta，由 Michael Jacobson 和 Klaus Huber 為德國電信公司 Deutsche Telekom AG 開發；
10. IBM 的 MARS，Lucifer 的作者之一 Don Coppersmith 參與了該計畫的創建；
11. RC6，由 Ron Rivest、Matt Robshaw 和 Ray Sydney 專門為 AES 競賽編寫；
12. Rijndael，由魯汶天主教大學的 Vincent Raymen 和 Johan Damen 創建；
13. SAFER+，由加州公司 Cylink 與亞美尼亞共和國國家科學院共同開發；
14. Serpent，由 Ross Anderson、Eli Beaham 和 Lars Knudsen 創作；
15. Twofish，由 Bruce Schneier 的研究小組基於 Bruce 於 1993 年提出的 Blowfish 加密演算法開發。

根據第一輪的結果，確定了 5 名決賽入圍者，包括 Serpent、Twofish、MARS、RC6 和 Rijndael。陪審團發現幾乎所有列出的演算法都存在缺陷，只有一個例外。誰是贏家？讓我們稍微擴展一下這個問題，首先考慮一下列出的每個解決方案的主要優點和缺點。

MARS

以「戰神」為例，專家注意到了資料加密和解密程式的同一性，但這正是其優勢有限的地方。 IBM 的演算法非常耗電，因此不適合在資源有限的環境中工作。計算的並行化也存在問題。為了有效運行，MARS 需要 32 位元乘法和可變位元循環的硬體支持，這再次對支援的平台列表施加了限制。

MARS 還很容易受到時序和功率攻擊，在動態金鑰擴展方面存在問題，而且其過於複雜的結構導致難以分析架構，並在實際實施階段產生了額外的問題。簡而言之，與其他決賽入圍者相比，MARS 看起來像是一個真正的局外人。

RC6

該演算法繼承了先前經過深入研究的前身 RC5 的一些轉換，結合簡單直觀的結構，使其對專家完全透明，並消除了「書籤」的存在。此外，RC6在32位元平台上展示了​​創紀錄的資料處理速度，並且加密和解密過程的實現完全相同。

但該演算法也存在與上述MARS相同的問題：存在側通道攻擊的脆弱性、性能依賴於對32位元運算的支持，以及並行計算、金鑰擴展和對硬體資源的要求等問題。從這一點來說，他根本不適合勝者這個角色。

Twofish的

事實證明，Twofish 速度相當快，並且針對低功耗設備進行了很好的優化，在擴展密鑰方面做得非常出色，並提供了多種實現選項，這使得它可以巧妙地適應特定任務。同時，「兩條魚」很容易受到旁道攻擊（特別是在時間和功耗方面），對多處理器系統不是特別友好，而且過於複雜，順便說一句，也影響了密鑰擴展的速度。

蛇

該演算法結構簡單易懂，極大地簡化了審核，對硬體平台的性能要求不高，支援動態擴展密鑰，修改相對容易，使其在同類演算法中脫穎而出。儘管如此，從原則上來說，Serpent 是入圍者中最慢的，而且，其中加密和解密資訊的過程完全不同，需要完全不同的實作方法。

裡因達爾

事實證明，Rijndael 非常接近理想狀態：演算法完全滿足 NIST 要求，但並不遜色，而且就整體特徵而言，明顯優於其競爭對手。 Reindal 只有兩個弱點：密鑰擴展過程容易受到能耗攻擊，這是一個非常具體的場景，以及即時密鑰擴展的某些問題（該機制僅對兩個競爭對手 - Serpent 和 Twofish 沒有限制） 。此外，根據專家的說法，Reindal 的密碼強度略低於 Serpent、Twofish 和 MARS，但是，它對絕大多數類型的旁道攻擊的抵抗力和廣泛的範圍足以彌補這一點。

類別

蛇

Twofish的

MARS

RC6

裡因達爾

加密強度

+

+

+

+

+

密碼強度儲備

++

++

++

+

+

在軟體中實施時的加密速度

±

±

+

+

在軟體中實現時的密鑰擴展速度

±

±

±

+

大容量智慧卡

+

+

±

++

資源有限的智慧卡

±

+

±

++

硬體實現（FPGA）

+

+

±

+

硬體實現（專用晶片）

+

±

+

防止執行時間和電源攻擊

+

±

+

金鑰擴展過程防功耗攻擊

±

±

±

±

防止智慧卡實施中的功耗攻擊

±

+

±

+

能夠動態擴充金鑰

+

+

±

±

±

實施選項的可用性（不喪失相容性）

+

+

±

±

+

平行計算的可能性

±

±

±

±

+

就特徵的整體性而言，Reindal 遙遙領先於他的競爭對手，因此最終投票的結果非常符合邏輯：該演算法獲得壓倒性勝利，獲得 86 票支持，只有 10 票反對。 Serpent 以 59 票名列第二，而 Twofish 則位居第三：有 31 名評審團成員支持。緊隨其後的是 RC6，贏得了 23 票，而 MARS 自然墊底，只有 13 票贊成，83 票反對。

2 年 2000 月 26 日，Rijndael 被宣佈為 AES 競賽的獲勝者，傳統上將其名稱更改為目前眾所周知的高級加密標準。標準化過程持續了大約一年：2001年197月2003日，AES被列入聯邦資訊處理標準清單，獲得FIPS 256索引，新演算法也得到了NSA的高度讚賞，並從XNUMX年XNUMX月開始，美國國家安全局（NSA）高度讚賞AES。

WD My Book 外接硬碟支援 AES-256 硬體加密

由於其兼具高可靠性和高性能，高級加密標準（AES）迅速獲得全球認可，成為世界上最受歡迎的對稱加密演算法之一，並被許多加密庫（OpenSSL、GnuTLS 等）所包含。 Linux（例如 Crypto API 等）。 AES 目前廣泛應用於企業和消費級應用，並由眾多設備所支援。特別是，西部資料 My Book 系列外接硬碟採用了 AES-256 硬體加密，以確保儲存資料的安全。讓我們來詳細了解這些設備。

WD My Book桌上型硬碟系列包含六款不同容量的型號：4TB、6TB、8TB、10TB、12TB和14TB，方便您找到最適合自身需求的硬碟。這些外接硬碟預設採用exFAT檔案系統，確保與包括微軟作業系統在內的多種作業系統相容。 Windows 7、8、8.1 和 10，以及蘋果 macOS 版本 10.13 (High Sierra) 及更高版本。作業系統用戶 Linux 能夠使用 exfat-nofuse 驅動程式掛載硬碟。

My Book 使用高速 USB 3.0 連接埠連接到您的計算機，該介面向後相容於 USB 2.0。一方面，這可以讓你以盡可能高的速度傳輸文件，因為USB SuperSpeed頻寬為5 Gbps（即640 MB/s），這已經綽綽有餘了。同時，向後相容功能確保了對過去 10 年來發布的幾乎所有設備的支援。

儘管由於即插即用技術可以自動偵測和配置週邊設備，My Book 不需要安裝任何額外的軟體，但我們仍然建議使用每個設備隨附的專有 WD Discovery 軟體套件。

該套件包括以下應用程式：

WD Drive實用程序

該程式可讓您根據 SMART 資料獲取有關驅動器當前狀態的最新信息，並檢查硬碟是否有壞扇區。此外，借助Drive Utilities，您可以快速銷毀My Book上儲存的所有資料：在這種情況下，檔案不僅會被刪除，而且會多次完全覆蓋，從而不再可能在程式完成後恢復它們。

西部數據備份

使用此實用程序，您可以根據指定的計劃配置備份。值得一提的是，WD Backup 支援與 Google Drive 和 Dropbox 配合使用，同時允許您在建立備份時選擇任何可能的來源-目標組合。因此，您可以設定自動將資料從 My Book 傳輸到雲，或將必要的文件和資料夾從列出的服務匯入到外部硬碟和本機。此外，還可以與您的 Facebook 帳戶同步，這樣您就可以從您的個人資料中自動建立照片和影片的備份副本。

西部資料安全

使用此實用程序，您可以使用密碼限制對磁碟機的存​​取並管理資料加密。只需指定一個密碼（最大長度可達25個字元），之後磁碟上的所有資訊都會被加密，只有知道密碼的人才能存取已儲存的檔案。為了更方便，WD Security 允許您建立可信任設備列表，這些設備在連接時將自動解鎖 My Book。

我們強調，WD Security 僅提供了一個方便的視覺化介面來管理加密保護，而資料加密是由外部磁碟機本身在硬體層面進行的。這種方法具有許多重要的優點，即：

• 硬體隨機數產生器（而不是 PRNG）負責創建加密金鑰，這有助於實現高度熵並提高其加密強度；
• 在加密和解密過程中，加密金鑰不會下載到電腦的RAM 中，也不會在系統磁碟機上的隱藏資料夾中建立已處理檔案的臨時副本，這有助於最大限度地減少其被攔截的可能性；
• 文件處理速度不以任何方式依賴客戶端設備的效能；
• 啟動保護後，檔案加密將自動「即時」執行，無需使用者執行其他操作。

所有這些都保證了資料安全，讓您幾乎完全杜絕機密資訊被盜的可能性。考慮到該驅動器的附加功能，這使得 My Book 成為俄羅斯市場上受保護最好的儲存設備之一。

來源： www.habr.com