En criptografía , un cifrado de bloques es un algoritmo determinista que opera en grupos de bits de longitud fija , llamados bloques . Los cifrados en bloque son los componentes básicos de muchos protocolos criptográficos . Son omnipresentes en el almacenamiento e intercambio de datos, donde dichos datos se protegen y autentican mediante cifrado .
Un cifrado de bloques utiliza bloques como una transformación invariable. Incluso un cifrado de bloques seguro es adecuado para cifrar un solo bloque de datos a la vez, utilizando una clave fija. Se han diseñado multitud de modos de funcionamiento para permitir su uso repetido de forma segura para lograr los objetivos de seguridad de confidencialidad y autenticidad . Sin embargo, los cifrados en bloque también pueden aparecer como bloques de construcción en otros protocolos criptográficos, como funciones hash universales y generadores de números pseudoaleatorios .
Un cifrado de bloque consta de dos algoritmos emparejados , uno para cifrado, E , y el otro para descifrado , D. [1] Ambos algoritmos aceptan dos entradas: un bloque de entrada de tamaño n bits y una clave de tamaño k bits; y ambos producen un bloque de salida de n bits. El algoritmo de descifrado D se define como la función inversa del cifrado, es decir, D = E −1 . Más formalmente, [2] [3] un cifrado de bloque se especifica mediante una función de cifrado
que toma como entrada una clave K , de longitud de bits k (llamada tamaño de clave ), y una cadena de bits P , de longitud n (llamada tamaño de bloque ), y devuelve una cadena C de n bits. P se denomina texto plano y C se denomina texto cifrado . Para cada K , se requiere que la función E K ( P ) sea una aplicación invertible en {0,1} n . La inversa de E se define como una función
tomando una clave K y un texto cifrado C para devolver un valor de texto plano P , tal que
Por ejemplo, un algoritmo de cifrado de cifrado en bloque podría tomar un bloque de texto sin formato de 128 bits como entrada y generar un bloque de texto cifrado de 128 bits correspondiente. La transformación exacta se controla mediante una segunda entrada: la clave secreta. El descifrado es similar: el algoritmo de descifrado toma, en este ejemplo, un bloque de texto cifrado de 128 bits junto con la clave secreta y produce el bloque original de 128 bits de texto sin formato. [4]
Para cada clave K , E K es una permutación (un mapeo biyectivo ) sobre el conjunto de bloques de entrada. Cada tecla selecciona una permutación del conjunto de posibles permutaciones. [5]
El diseño moderno de los cifrados en bloque se basa en el concepto de cifrado de producto iterado . En su publicación fundamental de 1949, Teoría de la comunicación de los sistemas secretos , Claude Shannon analizó los cifrados de productos y los sugirió como un medio para mejorar eficazmente la seguridad mediante la combinación de operaciones simples como sustituciones y permutaciones . [6] Los cifrados de productos iterados llevan a cabo el cifrado en múltiples rondas , cada una de las cuales utiliza una subclave diferente derivada de la clave original. Una implementación generalizada de tales cifrados, denominada red Feistel en honor a Horst Feistel, se implementa notablemente en el cifrado DES . [7] Muchas otras realizaciones de cifrados en bloque, como el AES , se clasifican como redes de sustitución-permutación . [8]
La raíz de todos los formatos de bloques criptográficos utilizados dentro de los estándares del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y del Instituto Nacional Estadounidense de Estándares (ANSI) se encuentra en el Atalla Key Block (AKB), que fue una innovación clave de Atalla Box , el primer módulo de seguridad de hardware (HSM). Fue desarrollado en 1972 por Mohamed M. Atalla , fundador de Atalla Corporation (ahora Utimaco Atalla ), y lanzado en 1973. El AKB era un bloque de claves necesario para intercambiar de forma segura claves simétricas o PIN con otros actores de la industria bancaria. . Este intercambio seguro se realiza utilizando el formato AKB. [9] Atalla Box protegió más del 90% de todas las redes de cajeros automáticos en funcionamiento en 1998, [10] y los productos Atalla todavía protegen la mayoría de las transacciones en cajeros automáticos del mundo en 2014. [11]
La publicación del cifrado DES por la Oficina Nacional de Estándares de los Estados Unidos (posteriormente el Instituto Nacional de Estándares y Tecnología de los Estados Unidos , NIST) en 1977 fue fundamental para la comprensión pública del diseño moderno del cifrado en bloques. También influyó en el desarrollo académico de los ataques criptoanalíticos . Tanto el criptoanálisis diferencial como el lineal surgieron de estudios sobre el diseño de DES. A partir de 2016 [actualizar], existe una paleta de técnicas de ataque contra las cuales un cifrado de bloque debe ser seguro, además de ser robusto contra ataques de fuerza bruta .
La mayoría de los algoritmos de cifrado de bloques se clasifican como cifrados de bloques iterados, lo que significa que transforman bloques de texto sin formato de tamaño fijo en bloques de texto cifrado de tamaño idéntico , mediante la aplicación repetida de una transformación invertible conocida como función redonda , y cada iteración se denomina ronda. . [12]
Por lo general, la función de ronda R toma diferentes claves de ronda K i como segunda entrada, que se deriva de la clave original: [ cita necesaria ]
donde está el texto plano y el texto cifrado, siendo r el número de rondas.
Con frecuencia, además de esto, se utiliza un blanqueamiento clave . Al principio y al final, los datos se modifican con material clave (a menudo con XOR ):
Dado uno de los esquemas de diseño de cifrado de bloques iterados estándar, es bastante fácil construir un cifrado de bloques que sea criptográficamente seguro, simplemente usando una gran cantidad de rondas. Sin embargo, esto hará que el cifrado sea ineficaz. Por tanto, la eficiencia es el criterio de diseño adicional más importante para los cifrados profesionales. Además, un buen cifrado de bloques está diseñado para evitar ataques de canal lateral, como la predicción de bifurcaciones y los accesos a la memoria dependientes de la entrada que podrían filtrar datos secretos a través del estado de la caché o el tiempo de ejecución. Además, el cifrado debe ser conciso, para pequeñas implementaciones de hardware y software.
Un tipo importante de cifrado de bloque iterado conocido como red de sustitución-permutación (SPN) toma un bloque de texto plano y la clave como entradas y aplica varias rondas alternas que consisten en una etapa de sustitución seguida de una etapa de permutación , para producir cada bloque de texto cifrado. producción. [13] La etapa de sustitución no lineal mezcla los bits clave con los del texto sin formato, creando la confusión de Shannon . La etapa de permutación lineal luego disipa las redundancias, creando difusión . [14] [15]
Una caja de sustitución (S-box) sustituye un pequeño bloque de bits de entrada por otro bloque de bits de salida. Esta sustitución debe ser uno a uno , para garantizar la invertibilidad (de ahí el descifrado). Una S-box segura tendrá la propiedad de que cambiar un bit de entrada cambiará aproximadamente la mitad de los bits de salida en promedio, exhibiendo lo que se conoce como efecto avalancha , es decir, tiene la propiedad de que cada bit de salida dependerá de cada bit de entrada. [dieciséis]
Una caja de permutación (P-box) es una permutación de todos los bits: toma las salidas de todas las S-boxes de una ronda, permuta los bits y los introduce en las S-boxes de la siguiente ronda. Una buena P-box tiene la propiedad de que los bits de salida de cualquier S-box se distribuyen a tantas entradas de S-box como sea posible. [ cita necesaria ]
En cada ronda, la clave de ronda (obtenida de la clave con algunas operaciones simples, por ejemplo, usando S-boxes y P-boxes) se combina usando alguna operación de grupo, generalmente XOR . [ cita necesaria ]
El descifrado se realiza simplemente invirtiendo el proceso (usando las inversas de las cajas S y P y aplicando las claves redondas en orden inverso). [17]
En un cifrado Feistel , el bloque de texto sin formato que se va a cifrar se divide en dos mitades del mismo tamaño. La función de ronda se aplica a una mitad, usando una subclave, y luego la salida se aplica XOR con la otra mitad. Luego se intercambian las dos mitades. [18]
Sea la función de ronda y sean las subclaves para las rondas respectivamente.
Entonces la operación básica es la siguiente: [18]
Divida el bloque de texto sin formato en dos partes iguales, ( , )
Para cada ronda , calcule
Entonces el texto cifrado es .
El descifrado de un texto cifrado se logra calculando
Luego está el texto sin formato nuevamente.
Una ventaja del modelo de Feistel en comparación con una red de sustitución-permutación es que la función redonda no tiene por qué ser invertible. [19]
El esquema Lai-Massey ofrece propiedades de seguridad similares a las de la estructura Feistel . También comparte la ventaja de que la función redonda no tiene por qué ser reversible. Otra similitud es que también divide el bloque de entrada en dos partes iguales. Sin embargo, la función de ronda se aplica a la diferencia entre los dos y luego el resultado se suma a ambos medios bloques.
Sean la función de ronda y una función de media vuelta y sean las subclaves para las rondas respectivamente.
Entonces la operación básica es la siguiente:
Divida el bloque de texto sin formato en dos partes iguales, ( , )
Para cada ronda , calcule
dónde y
Entonces el texto cifrado es .
El descifrado de un texto cifrado se logra calculando
dónde y
Luego está el texto sin formato nuevamente.
Muchos cifrados de bloque y hashes modernos son algoritmos ARX ; su función de ronda implica solo tres operaciones: (A) suma modular, (R) rotación con cantidades de rotación fijas y (X) XOR . Los ejemplos incluyen ChaCha20 , Speck , XXTEA y BLAKE . Muchos autores dibujan una red ARX, una especie de diagrama de flujo de datos , para ilustrar esta función circular. [20]
Estas operaciones ARX son populares porque son relativamente rápidas y económicas en hardware y software, su implementación puede ser extremadamente simple y también porque se ejecutan en un tiempo constante y, por lo tanto, son inmunes a los ataques de sincronización . La técnica del criptoanálisis rotacional intenta atacar estas funciones redondas.
Otras operaciones que se utilizan a menudo en los cifrados de bloques incluyen rotaciones dependientes de datos como en RC5 y RC6 , un cuadro de sustitución implementado como una tabla de búsqueda como en Data Encryption Standard y Advanced Encryption Standard , un cuadro de permutación y multiplicación como en IDEA .
Un cifrado de bloque por sí solo permite el cifrado de un único bloque de datos de la longitud del bloque de cifrado. Para un mensaje de longitud variable, los datos primero deben dividirse en bloques de cifrado separados. En el caso más simple, conocido como modo de libro de códigos electrónico (ECB), un mensaje se divide primero en bloques separados del tamaño del bloque de cifrado (posiblemente extendiendo el último bloque con bits de relleno ) y luego cada bloque se cifra y descifra de forma independiente. Sin embargo, un método tan ingenuo es generalmente inseguro porque bloques iguales de texto claro siempre generarán bloques iguales de texto cifrado (para la misma clave), por lo que los patrones en el mensaje de texto claro se vuelven evidentes en la salida del texto cifrado. [21]
Para superar esta limitación, se han diseñado varios modos de operación de cifrado en bloques [22] [23] y se han especificado en recomendaciones nacionales como NIST 800-38A [24] y BSI TR-02102 [25] y estándares internacionales como ISO/CEI 10116 . [26] El concepto general es utilizar la aleatorización de los datos de texto sin formato basada en un valor de entrada adicional, frecuentemente llamado vector de inicialización , para crear lo que se denomina cifrado probabilístico . [27] En el popular modo de encadenamiento de bloques de cifrado (CBC), para que el cifrado sea seguro, el vector de inicialización pasado junto con el mensaje de texto sin formato debe ser un valor aleatorio o pseudoaleatorio , que se agrega de manera exclusiva o al primero. bloque de texto sin formato antes de cifrarlo. El bloque de texto cifrado resultante se utiliza luego como nuevo vector de inicialización para el siguiente bloque de texto sin formato. En el modo de retroalimentación de cifrado (CFB), que emula un cifrado de flujo de sincronización automática , el vector de inicialización primero se cifra y luego se agrega al bloque de texto sin formato. El modo de retroalimentación de salida (OFB) cifra repetidamente el vector de inicialización para crear un flujo de claves para la emulación de un cifrado de flujo síncrono . El modo de contador más nuevo (CTR) crea de manera similar un flujo de claves, pero tiene la ventaja de solo necesita valores únicos y no (pseudo)aleatorios como vectores de inicialización; la aleatoriedad necesaria se deriva internamente utilizando el vector de inicialización como contador de bloques y cifrando este contador para cada bloque. [24]
Desde un punto de vista teórico de la seguridad , los modos de operación deben proporcionar lo que se conoce como seguridad semántica . [28] Informalmente, significa que dado algún texto cifrado bajo una clave desconocida, uno prácticamente no puede derivar ninguna información del texto cifrado (aparte de la longitud del mensaje) sobre lo que uno habría conocido sin ver el texto cifrado. Se ha demostrado que todos los modos analizados anteriormente, con excepción del modo ECB, proporcionan esta propiedad en los llamados ataques de texto plano elegido .
Algunos modos, como el modo CBC, solo funcionan en bloques completos de texto sin formato. Simplemente extender el último bloque de un mensaje con cero bits es insuficiente ya que no permite al receptor distinguir fácilmente mensajes que difieren sólo en el número de bits de relleno. Más importante aún, una solución tan simple da lugar a ataques de oráculo de relleno muy eficientes . [29] Por lo tanto, se necesita un esquema de relleno adecuado para extender el último bloque de texto plano al tamaño del bloque del cifrado. Si bien se ha demostrado que muchos esquemas populares descritos en los estándares y en la literatura son vulnerables a los ataques de Oracle de relleno, [29] [30] una solución que agrega un bit y luego extiende el último bloque con cero bits, estandarizada como " Se ha demostrado que el método de relleno de 2" en ISO/IEC 9797-1, [31] es seguro contra estos ataques. [30]
Esta propiedad hace que la seguridad del cifrado se degrade cuadráticamente y debe tenerse en cuenta al seleccionar un tamaño de bloque. Sin embargo, existe una compensación, ya que los tamaños de bloques grandes pueden hacer que el algoritmo se vuelva ineficiente para operar. [32] Los cifrados de bloques anteriores, como el DES , normalmente seleccionaban un tamaño de bloque de 64 bits, mientras que los diseños más nuevos, como el AES, admiten tamaños de bloque de 128 bits o más, y algunos cifrados admiten una variedad de tamaños de bloque diferentes. [33]
Un criptoanálisis lineal es una forma de criptoanálisis basada en encontrar aproximaciones afines a la acción de un cifrado . El criptoanálisis lineal es uno de los dos ataques más utilizados contra cifrados en bloque; el otro es el criptoanálisis diferencial . [34]
El descubrimiento se atribuye a Mitsuru Matsui , quien aplicó por primera vez la técnica al cifrado FEAL (Matsui y Yamagishi, 1992). [35]
El criptoanálisis integral es un ataque criptoanalítico que es particularmente aplicable a cifrados de bloque basados en redes de sustitución-permutación. A diferencia del criptoanálisis diferencial, que utiliza pares de textos claros elegidos con una diferencia XOR fija, el criptoanálisis integral utiliza conjuntos o incluso múltiples conjuntos de textos claros elegidos de los cuales una parte se mantiene constante y otra parte varía según todas las posibilidades. Por ejemplo, un ataque podría utilizar 256 textos planos elegidos que tienen todos los bits iguales excepto 8, pero todos difieren en esos 8 bits. Tal conjunto necesariamente tiene una suma XOR de 0, y las sumas XOR de los correspondientes conjuntos de textos cifrados proporcionan información sobre la operación del cifrado. Este contraste entre las diferencias entre pares de textos y las sumas de conjuntos de textos más grandes inspiró el nombre de "criptoanálisis integral", tomando prestada la terminología del cálculo. [ cita necesaria ]
Además del criptoanálisis lineal y diferencial, existe un catálogo cada vez mayor de ataques: el criptoanálisis diferencial truncado , el criptoanálisis diferencial parcial, el criptoanálisis integral , que engloba los ataques cuadrados e integrales, los ataques deslizantes , los ataques boomerang , el ataque XSL , el criptoanálisis diferencial imposible y el algebraico. ataques. Para que un nuevo diseño de cifrado de bloques tenga credibilidad, debe demostrar evidencia de seguridad contra ataques conocidos. [ cita necesaria ]
Cuando se utiliza un cifrado de bloque en un modo de operación determinado , lo ideal es que el algoritmo resultante sea tan seguro como el propio cifrado de bloque. El BCE (discutido anteriormente) carece enfáticamente de esta propiedad: independientemente de cuán seguro sea el cifrado de bloque subyacente, el modo BCE puede ser atacado fácilmente. Por otro lado, se puede demostrar que el modo CBC es seguro bajo el supuesto de que el cifrado de bloque subyacente también es seguro. Sin embargo, tenga en cuenta que hacer declaraciones como esta requiere definiciones matemáticas formales de lo que significa que un algoritmo de cifrado o un cifrado de bloque "sea seguro". Esta sección describe dos nociones comunes sobre las propiedades que debe tener un cifrado de bloque. Cada uno corresponde a un modelo matemático que puede usarse para probar propiedades de algoritmos de nivel superior, como CBC.
Este enfoque general de la criptografía (demostrar que los algoritmos de nivel superior (como el CBC) son seguros bajo supuestos establecidos explícitamente con respecto a sus componentes (como un cifrado de bloque)) se conoce como seguridad demostrable .
Informalmente, un cifrado en bloque es seguro en el modelo estándar si un atacante no puede distinguir entre el cifrado en bloque (equipado con una clave aleatoria) y una permutación aleatoria.
Para ser un poco más preciso, sea E un cifrado de bloques de n bits. Imaginemos el siguiente juego:
El atacante, que podemos modelar como un algoritmo, se llama adversario . La función f (que el adversario pudo consultar) se llama oráculo .
Tenga en cuenta que un adversario puede garantizar trivialmente un 50% de posibilidades de ganar simplemente adivinando al azar (o incluso, por ejemplo, siempre adivinando "cara"). Por lo tanto, sea P E ( A ) la probabilidad de que el adversario A gane este juego contra E y defina la ventaja de A como 2( P E ( A ) − 1/2). De ello se deduce que si A adivina al azar, su ventaja será 0; por otro lado, si A siempre gana, entonces su ventaja es 1. El cifrado de bloque E es una permutación pseudoaleatoria (PRP) si ningún adversario tiene una ventaja significativamente mayor que 0, dadas las restricciones especificadas sobre q y el tiempo de ejecución del adversario. . Si en el Paso 2 anterior los adversarios tienen la opción de aprender f −1 ( X ) en lugar de f ( X ) (pero todavía tienen pequeñas ventajas), entonces E es un PRP fuerte (SPRP). Un adversario no es adaptativo si elige todos los valores q para X antes de que comience el juego (es decir, no utiliza ninguna información obtenida de consultas anteriores para elegir cada X a medida que avanza).
Estas definiciones han resultado útiles para analizar diversos modos de operación. Por ejemplo, se puede definir un juego similar para medir la seguridad de un algoritmo de cifrado basado en cifrado de bloques y luego intentar mostrar (a través de un argumento de reducción ) que la probabilidad de que un adversario gane este nuevo juego no es mucho mayor que PE . ( A ) para algunos A . (La reducción generalmente proporciona límites a q y al tiempo de ejecución de A ). De manera equivalente, si P E ( A ) es pequeño para todos los A relevantes , entonces ningún atacante tiene una probabilidad significativa de ganar el nuevo juego. Esto formaliza la idea de que el algoritmo de nivel superior hereda la seguridad del cifrado en bloque.
Los cifrados en bloque pueden evaluarse según múltiples criterios en la práctica. Los factores comunes incluyen: [36] [37]
Generalmente se considera que Lucifer es el primer cifrado de bloques civil, desarrollado en IBM en la década de 1970 basándose en el trabajo realizado por Horst Feistel . Se adoptó una versión revisada del algoritmo como estándar federal de procesamiento de información del gobierno de EE. UU.: Estándar de cifrado de datos (DES) FIPS PUB 46 . [39] Fue elegido por la Oficina Nacional de Estándares (NBS) de EE. UU. después de una invitación pública para presentaciones y algunos cambios internos por parte de la NBS (y, potencialmente, la NSA ). DES se hizo público en 1976 y ha sido ampliamente utilizado. [ cita necesaria ]
DES fue diseñado, entre otras cosas, para resistir cierto ataque criptoanalítico conocido por la NSA y redescubierto por IBM, aunque desconocido públicamente hasta que Eli Biham y Adi Shamir lo redescubrieron nuevamente y lo publicaron a fines de la década de 1980. La técnica se llama criptoanálisis diferencial y sigue siendo uno de los pocos ataques generales contra los cifrados en bloque; El criptoanálisis lineal es otro, pero puede haber sido desconocido incluso para la NSA, antes de su publicación por Mitsuru Matsui . DES impulsó una gran cantidad de otros trabajos y publicaciones sobre criptografía y criptoanálisis en la comunidad abierta e inspiró muchos diseños de cifrado nuevos. [ cita necesaria ]
DES tiene un tamaño de bloque de 64 bits y un tamaño de clave de 56 bits. Los bloques de 64 bits se volvieron comunes en los diseños de cifrado de bloques después de DES. La longitud de la clave dependía de varios factores, incluida la regulación gubernamental. Muchos observadores [ ¿quién? ] en la década de 1970 comentó que la longitud de clave de 56 bits utilizada para DES era demasiado corta. A medida que pasó el tiempo, su insuficiencia se hizo evidente, especialmente después de que la Electronic Frontier Foundation demostrara en 1998 una máquina de propósito especial diseñada para romper DES . Una extensión de DES, Triple DES , cifra triplemente cada bloque con dos claves independientes (clave de 112 bits y seguridad de 80 bits) o tres claves independientes (clave de 168 bits y seguridad de 112 bits). Fue ampliamente adoptado como reemplazo. A partir de 2011, la versión de tres claves todavía se considera segura, aunque los estándares del Instituto Nacional de Estándares y Tecnología (NIST) ya no permiten el uso de la versión de dos claves en nuevas aplicaciones, debido a su nivel de seguridad de 80 bits. [40]
El Algoritmo Internacional de Cifrado de Datos ( IDEA ) es un cifrado de bloques diseñado por James Massey de ETH Zurich y Xuejia Lai ; se describió por primera vez en 1991, como un reemplazo previsto del DES.
IDEA opera en bloques de 64 bits utilizando una clave de 128 bits y consta de una serie de ocho transformaciones idénticas (una ronda ) y una transformación de salida (la media ronda ). Los procesos de cifrado y descifrado son similares. IDEA obtiene gran parte de su seguridad entrelazando operaciones de diferentes grupos ( suma y multiplicación modulares y exclusivas bit a bit o (XOR) , que son algebraicamente "incompatibles" en algún sentido.
Los diseñadores analizaron IDEA para medir su fortaleza frente al criptoanálisis diferencial y concluyeron que es inmune bajo ciertos supuestos. No se han reportado debilidades lineales o algebraicas exitosas. A partir de 2012 [update], el mejor ataque que se aplica a todas las teclas puede romper una IDEA completa de 8,5 rondas utilizando un ataque de bicliques estrechas aproximadamente cuatro veces más rápido que la fuerza bruta.
RC5 es un cifrado de bloques diseñado por Ronald Rivest en 1994 que, a diferencia de muchos otros cifrados, tiene un tamaño de bloque variable (32, 64 o 128 bits), un tamaño de clave (0 a 2040 bits) y un número de rondas (0 a 2040 bits). 255). La elección de parámetros sugerida originalmente era un tamaño de bloque de 64 bits, una clave de 128 bits y 12 rondas.
Una característica clave de RC5 es el uso de rotaciones dependientes de datos; Uno de los objetivos de RC5 era impulsar el estudio y evaluación de dichas operaciones como una primitiva criptográfica. RC5 también consta de una serie de adiciones modulares y XOR. La estructura general del algoritmo es una red tipo Feistel . Las rutinas de cifrado y descifrado se pueden especificar en unas pocas líneas de código. El programa clave, sin embargo, es más complejo, expandiendo la clave usando una función esencialmente unidireccional con las expansiones binarias de e y la proporción áurea como fuentes de " números de nada bajo la manga ". La tentadora simplicidad del algoritmo junto con la novedad de las rotaciones dependientes de los datos han convertido a RC5 en un objeto de estudio atractivo para los criptoanalistas.
El RC5 de 12 rondas (con bloques de 64 bits) es susceptible a un ataque diferencial utilizando 2 44 textos sin formato elegidos. [41] Se sugieren entre 18 y 20 disparos como protección suficiente.
El cifrado Rijndael desarrollado por los criptógrafos belgas Joan Daemen y Vincent Rijmen fue uno de los diseños en competencia para reemplazar al DES. Ganó el concurso público de 5 años para convertirse en AES (Estándar de cifrado avanzado).
Adoptado por NIST en 2001, AES tiene un tamaño de bloque fijo de 128 bits y un tamaño de clave de 128, 192 o 256 bits, mientras que Rijndael se puede especificar con tamaños de bloque y clave en cualquier múltiplo de 32 bits, con un mínimo de 128 bits. bits. El tamaño del bloque tiene un máximo de 256 bits, pero el tamaño de la clave no tiene un máximo teórico. AES opera en una matriz de bytes de orden principal de columnas de 4 × 4 , denominada estado (las versiones de Rijndael con un tamaño de bloque mayor tienen columnas adicionales en el estado).
Blowfish es un cifrado de bloques, diseñado en 1993 por Bruce Schneier e incluido en una gran cantidad de conjuntos de cifrado y productos de cifrado. Blowfish tiene un tamaño de bloque de 64 bits y una longitud de clave variable desde 1 bit hasta 448 bits. [42] Es un cifrado Feistel de 16 rondas y utiliza grandes cajas S dependientes de claves. Las características notables del diseño incluyen las S-boxes dependientes de la llave y un programa de llaves altamente complejo .
Fue diseñado como un algoritmo de propósito general, pensado como una alternativa al antiguo DES y libre de los problemas y limitaciones asociados con otros algoritmos. En el momento en que se lanzó Blowfish, muchos otros diseños eran propietarios, estaban gravados por patentes o eran secretos comerciales o gubernamentales. Schneier ha declarado que "Blowfish no está patentado y seguirá siéndolo en todos los países. Por la presente, el algoritmo pasa a ser de dominio público y cualquiera puede utilizarlo libremente". Lo mismo se aplica a Twofish , un algoritmo sucesor de Schneier.
M. Liskov, R. Rivest y D. Wagner han descrito una versión generalizada de cifrados en bloque denominada cifrados en bloque "modificables". [43] Un cifrado de bloque modificable acepta una segunda entrada llamada ajuste junto con su entrada habitual de texto sin formato o texto cifrado. El ajuste, junto con la clave, selecciona la permutación calculada por el cifrado. Si cambiar los ajustes es lo suficientemente liviano (en comparación con una operación de configuración de clave generalmente bastante costosa), entonces se hacen posibles algunos modos de operación nuevos e interesantes. El artículo sobre la teoría del cifrado de discos describe algunos de estos modos.
Los cifrados en bloque funcionan tradicionalmente sobre un alfabeto binario . Es decir, tanto la entrada como la salida son cadenas binarias, que constan de n ceros y unos. En algunas situaciones, sin embargo, es posible que deseemos tener un cifrado de bloque que funcione sobre algún otro alfabeto; por ejemplo, cifrar números de tarjetas de crédito de 16 dígitos de tal manera que el texto cifrado sea también un número de 16 dígitos podría facilitar la adición de una capa de cifrado al software heredado. Este es un ejemplo de cifrado que preserva el formato . De manera más general, el cifrado que preserva el formato requiere una permutación con clave en algún lenguaje finito . Esto hace que los esquemas de cifrado que preservan el formato sean una generalización natural de los cifrados en bloque (modificables). Por el contrario, los esquemas de cifrado tradicionales, como el CBC, no son permutaciones porque el mismo texto sin formato puede cifrar varios textos cifrados diferentes, incluso cuando se utiliza una clave fija.
Los cifrados en bloque se pueden utilizar para crear otras primitivas criptográficas, como las siguientes. Para que estas otras primitivas sean criptográficamente seguras, se debe tener cuidado de construirlas de la manera correcta.
Así como los cifrados de bloque se pueden usar para crear funciones hash, como SHA-1 y SHA-2 se basan en cifrados de bloque que también se usan de forma independiente como SHACAL , las funciones hash se pueden usar para construir cifrados de bloque. Ejemplos de tales cifrados en bloque son BEAR y LION .
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )