Estándar avanzado de la encripción

En la criptografía, el la encripción avanzada estándar ( AES ), también conocida como Rijndael, es una cifra de bloque adoptada como estándar de la encripción por el gobierno de los E. Se ha analizado extensivamente y ahora se utiliza extensamente por todo el mundo al igual que el caso con su precursor, el estándar de encripción de datos (DES). AES fue anunciado por el National Institute of Standards and Technology (NIST) como publicación 197 (PAA 197) de los PAA de los E. en el 2001 del 26 de noviembre después de un proceso de cinco años de la estandardización (véase el proceso estándar avanzado de la encripción para más detalles). Se hacía eficaz como el 26 de mayo estándar, 2002 . En fecha el 2006, AES es uno de los algoritmos más populares usados en la criptografía dominante simétrica . Está disponible por la opción en muchos diversos paquetes de la encripción.

La cifra fue desarrollada por dos criptógrafos, Juan Daemen y belgas Vincent Rijmen, y sometida al proceso de selección de AES bajo el nombre " Rijndael", una baúl de viaje de los nombres de los inventores. (Rijndael es rɛindaːl, que suena casi como " Dahl" del Rin;).

Desarrollo

Rijndael era un refinamiento del cuadrado, de un diseño anterior de Daemen y de Rijmen. El cuadrado era un desarrollo del tiburón .

Desemejante de su DES del precursor, Rijndael es una red, no una red de la Substitución-permutación de Feistel. AES es rápido en el software y el soporte físico, es relativamente fácil de ejecutar, y requiere poca memoria . Como nuevo estándar de la encripción, se está desplegando actual en un gran escala. clear=" del

Descripción de la cifra

En realidad, AES no es exacto Rijndael (aunque él se utiliza en la práctica alternativamente) mientras que Rijndael apoya una gama más grande del bloque y los tamaños dominantes AES tiene un tamaño de bloque fijo de 128 pedacitos y un tamaño dominante de 128, 192, o 256 pedacitos, mientras que Rijndael se puede especificar con llave y tamaños de bloque en cualquier múltiplo de 32 pedacitos, con un mínimo de 128 pedacitos y un máximo de 256 pedacitos.

Debido al tamaño de bloque fijo de 128 pedacitos, AES funciona encendido un 4× el arsenal 4 de los octetos llamó el estado del (las versiones de Rijndael con un tamaño de bloque más grande tienen columnas adicionales en el estado). La mayoría de los cálculos de AES se hacen en un campo finito especial.

Algoritmo de alto nivel de la cifra

KeyExpansion usar el horario dominante de Rijndael
Redondo inicial AddRoundKey
Redondea el SubBytes — un paso no linear de la substitución donde cada octeto se substituye por otro según una tabla de operaciones de búsqueda .

&mdash de ShiftRows; un paso de la transposición donde cada fila del estado se cambia de puesto cíclico algunos pasos.

&mdash de MixColumns; una operación de mezcla que funciona encendido las columnas del estado, combinando los cuatro octetos en cada

de la columna &mdash de AddRoundKey; cada octeto del estado se combina con la llave redonda; cada llave redonda se deriva de la llave de cifra usar un horario de la llave.

redondo final del

MixColumns

SubBytes

de ShiftRows AddRoundKey

El paso de `SubBytes`

En el paso de SubBytes, cada octeto en el arsenal es actualizado usar una caja de 8 bits, el S-box de la substitución de Rijndael. Esta operación proporciona la ausencia de linealidad en la cifra . El S-box usado se deriva de lo contrario multiplicativo sobre el GF ( 2⁸ ) del, sabido para tener buenas características de la ausencia de linealidad. Para evitar los ataques basados en características algebraicas simples, el S-box es construido combinando la función inversa con un inversible afina la transformación . El S-box también se elige para evitar cualquier punto fijo (y así que es un Derangement ), y también cualesquiera puntos fijos opuestos.

El paso de `ShiftRows`

El paso de ShiftRows funciona encendido las filas del estado; cíclico cambia de puesto los octetos en cada fila por cierto compensado. Para AES, la primera fila se deja sin cambios. Cada octeto de la segunda fila se cambia de puesto una a la izquierda. Semejantemente, las terceras y cuartas filas son cambiadas de puesto por compensaciones de dos y tres respectivamente. Para el bloque de pedacitos del tamaño 128 y de 192 pedacitos el patrón de desplazamiento es igual. De esta manera, cada columna del estado de salida del paso de ShiftRows se compone de octetos de cada columna del estado de entrada. (Las variantes de Rijndael con un tamaño de bloque más grande tienen compensaciones levemente diversas). En el caso del bloque de pedacito 256, la primera fila es sin cambios y el desplazamiento para la segunda, tercera y cuarta fila es 1 octeto, el octeto 3 el octeto y 4 respectivamente - aunque este cambio solicita solamente la cifra de Rijndael cuando está utilizado con un bloque de pedacito 256, que no se utiliza para AES.

El paso de `MixColumns`

En el paso de MixColumns, los cuatro octetos de cada columna del estado se combinan usar una transformación linear inversible. La función de MixColumns toma cuatro octetos como entrada y salidas cuatro octetos, donde cada octeto de la entrada afecta a los cuatro octetos hechos salir. Junto con ShiftRows, MixColumns proporciona la difusión en la cifra. Cada columna se trata como polinomio sobre el GF ( 2⁸ ) y después es el modulo multiplicado

x^4+1

con un

c polinómico fijo (x) = 3x^3 + x^2 + x + 2

. El paso de MixColumns se puede también ver como multiplicación por una matriz de los MDS del detalle en el campo finito de Rijndael.

Este proceso se describe más lejos en las columnas de la mezcla de Rijndael del artículo.

El paso de `AddRoundKey`

En el paso de AddRoundKey, el subkey se combina con el estado. Para cada uno redondo, un subkey se deriva de la llave principal usar el horario dominante de Rijndael; cada subkey es los mismos tamaños como el estado. El subkey es agregado combinando cada octeto del estado con el octeto correspondiente del subkey usar bitwise el XOR .

Optimización de la cifra

En sistemas con palabras de 32 bits o más grandes, es posible acelerar la ejecución de esta cifra combinando SubBytes y ShiftRows con MixColumns, y transformándolo en una secuencia de operaciones de búsqueda de tabla. El requiere cuatro 256 tablas de 32 bits de la entrada, que utiliza un total de cuatro Kibibytes (4096 octetos) de la memoria--un kibibyte para cada tabla. Un redondo se puede ahora hacer con 16 operaciones de búsqueda de tabla y 12 de 32 bits exclusivo-u operaciones, seguidas por cuatro de 32 bits exclusivo-u operaciones en el paso de AddRoundKey.

Si el tamaño resultante de la tabla de cuatro kibibyte es demasiado grande para una plataforma dada de la blanco, la operación de operaciones de búsqueda de tabla se puede realizar con una sola entrada 256 que la tabla de 32 bits por el uso de la circular gira.

Usar un acercamiento byte-oriented es posible combinar los pasos de SubBytes, de ShiftRows, y de MixColumns en una sola operación redonda.

Seguridad

En fecha 2006, los únicos ataques acertados contra AES han sido los ataques laterales del canal el que la agencia de seguridad nacional (NSA) repasó a todos los finalistas de AES, incluyendo Rijndael, e indicaron que todos eran bastante seguros para los datos no-clasificados del gobierno de los E. En junio de 2003, el gobierno de los E. anunció que AES se puede utilizar para la información clasificada : " del ; El el diseño y la fuerza de todas las longitudes dominantes del algoritmo de AES (es decir, 128, 192 y 256) es suficiente proteger la información clasificada hasta el nivel SECRETO. La información SECRETÍSIMA requerirá uso de las 192 o 256 longitudes dominantes. La puesta en práctica de AES en productos se prepuso proteger los sistemas de seguridad nacionales y/o la información se debe repasar y certificar por el NSA antes de su adquisición y uso. " de ; Esto las marcas que el público ha tenido acceso a una cifra aprobó la primera vez por el NSA para la encripción de la información SECRETÍSIMA. Muchos productos públicos utilizan 128 llaves secretas del pedacito por abandono; es posible que el NSA sospecha una debilidad fundamental en llaves este cortocircuito, o pueden preferir simplemente un margen de seguridad para los documentos secretísimos (que pueden requerir décadas de la seguridad en el futuro).

La manera más común de atacar cifras de bloque es intentar varios ataques contra las versiones de la cifra con un número reducido de redondos. AES tiene 10 redondos para 128 llaves del pedacito, 12 redondos para 192 llaves del pedacito, y 14 redondos para 256 llaves del pedacito. Antes de 2006, los ataques más conocidos estaban en 7 redondos para 128 llaves del pedacito, 8 redondos para 192 llaves del pedacito, y 9 redondos para 256 llaves del pedacito.

Algunos criptógrafos se preocupan de la seguridad de AES. Sienten que el margen entre el número de redondos especificados en la cifra y los ataques más conocidos es demasiado pequeño para la comodidad. Hay un riesgo que una cierta manera de mejorar tales ataques pudo ser encontrada y entonces la cifra podría estar rota. En este significado, un " criptográfico ; break" está cualquier cosa más rápidamente que una búsqueda exhaustiva, así un ataque contra 128 una pedacito-llave AES que requiere “solamente” las operaciones 2¹²⁰ (comparadas a las llaves posibles 2¹²⁸) sería considerado una rotura aunque sería, actualmente, absolutamente infeasible. En el uso práctico, cualquie rotura de AES que es solamente que “bueno” ser inaplicable. Actualmente, tales preocupaciones pueden ser no hechas caso. El ataque público-sabido acertado más grande de la fuerza bruta ha estado contra una llave 64-bit RC5 por el Distributed.

Otros discusiones se centran alrededor de la estructura matemática de AES. Desemejante de la mayoría de las otras cifras de bloque, AES tiene una descripción algebraica muy aseado . Esto todavía no ha llevado a ninguna ataques, pero algunos investigadores sienten que eso basar una cifra en una nueva asunción de la dureza es aventurado. Esto ha llevado Ferguson, Schroeppel, y las pescadillas a escribir, " … nos referimos sobre el uso de Rijndael en applications." seguridad-crítico;

En el 2002, un ataque teórico, llamó el " " del ataque XSL;, fue anunciado por el Nicolás Courtois y el José Pieprzyk, demostrando una debilidad potencial en el algoritmo de AES. Varios expertos de la criptografía han encontrado problemas en las matemáticas subyacentes del ataque propuesto, sugiriendo que los autores pudieron haber incurrido en una equivocación en sus estimaciones. Si esta línea de ataque se puede hacer para trabajar contra AES sigue siendo un no se sabe. Actualmente, el ataque de XSL contra AES aparece especulativo; es inverosímil que el ataque actual se podría realizar en la práctica.

Ataques laterales del canal

Los ataques laterales del canal no atacan la cifra subyacente, sino atacan las puestas en práctica de la cifra en los sistemas que se escapan inadvertidamente datos. Hay varios tales ataques sabidos contra AES.

En abril de 2005, el D. Bernstein anunció un ataque de la sincronización del escondrijo que él rompía un servidor de encargo que utilizó encripción de s AES de OpenSSL '. El servidor de encargo fue diseñado para dar hacia fuera tanta información de la sincronización como sea posible, y el ataque requerido sobre 200 millones de plaintexts elegidos. Algunos dicen que el ataque no es práctico sobre el Internet con una distancia de uno o más saltos; El Bruce Schneier llamó la investigación un " sincronización agradable attack."

En octubre de 2005, el Dag Arne Osvik, Adi Shamir y Eran Tromer presentaron un papel que demostraba varios los ataques de la sincronización del escondrijo contra AES. Un ataque podía obtener una llave entera de AES después de solamente 800 operaciones que accionaban encripciones, en un total de 65 milisegundos. Este ataque requiere a atacante poder funcionar con programas sobre el mismo sistema que está realizando AES.

Validación de los PAA

El programa criptográfico (CMVP) de la validación del módulo es funcionado en común por la división y el establecimiento (CSE) de la seguridad de computadora del National Institute of Standards and Technology (NIST) del Gobierno de los Estados Unidos de la seguridad de comunicaciones del gobierno de Canadá. El uso de módulos criptográficos validados es requerido por el Gobierno de los Estados Unidos para todas las aplicaciones sin clasificar de la criptografía. El gobierno de Canadá también recomienda el uso de los módulos criptográficos validados de los PAA 140 en usos sin clasificar de sus departamentos.

Aunque publicación 197 (" del NIST; PAA 197") es el documento único que cubre el algoritmo de AES, acercamiento de los vendedores típicamente el CMVP bajo PAA 140 y pide tener varios algoritmos (tales como 3DES o SHA1 ) validó al mismo tiempo. Por lo tanto, es raro encontrar que los módulos criptográficos que son únicamente PAA 197 validados y el NIST sí mismo no tarda generalmente la época de enumerar los módulos validados de los PAA 197 por separado en su Web site público. En lugar, la validación de los PAA 197 típicamente apenas se enumera como " PAA aprobados: AES" la notación (con un número de certificado específico de los PAA 197) en la lista actual de PAA 140 validó los módulos criptográficos.

La validación de los PAA es desafiadora alcanzar técnico y fiscal. Hay una batería estandardizada de pruebas así como un elemento de la revisión del código fuente que se deba pasar durante varios días. El coste para realizar estas pruebas a través de un laboratorio aprobado puede ser significativo (e.) y no incluye el tiempo que toma para escribir, para probar, para documentar y para preparar un módulo para la validación. Después de la validación, los módulos deben ser resometidos y ser evaluados de nuevo si se cambian de cualquier manera.

Ver también

Estándar de encripción de datos (DES; el AES estándar substituye)
Proceso estándar de la encripción avanzada

Notas y referencias

¡explicación de cómo generar notas al pie de la página usar .

Zenithic

Bastar Division

Random links:

Ciudad de Arizona, Arizona | Nell Gwyn | MILNET | Cuadrilla del rubor real | Emmett Johns

="http://pagead2.googlesyndication.com/pagead/show_ads.js">