Estándar de cifrado avanzado

Estándar para el cifrado de datos electrónicos.

El Estándar de cifrado avanzado ( AES ), también conocido por su nombre original Rijndael ( pronunciación holandesa: [ˈrɛindaːl] ), ^[5] es una especificación para el cifrado de datos electrónicos establecida por el Instituto Nacional de Estándares y Tecnología (NIST) de EE . UU. 2001. ^[6]

AES es una variante del cifrado de bloques Rijndael ^[5] desarrollado por dos criptógrafos belgas , Joan Daemen y Vincent Rijmen , quienes presentaron una propuesta ^[7] al NIST durante el proceso de selección de AES . ^[8] Rijndael es una familia de cifrados con diferentes tamaños de clave y bloque. Para AES, NIST seleccionó tres miembros de la familia Rijndael, cada uno con un tamaño de bloque de 128 bits, pero tres longitudes de clave diferentes: 128, 192 y 256 bits.

AES ha sido adoptado por el gobierno de EE.UU. Reemplaza al Estándar de cifrado de datos (DES), ^[9] que se publicó en 1977. El algoritmo descrito por AES es un algoritmo de clave simétrica , lo que significa que se utiliza la misma clave para cifrar y descifrar los datos.

En los Estados Unidos, el NIST anunció AES como US FIPS PUB 197 (FIPS 197) el 26 de noviembre de 2001. ^[6] Este anuncio siguió a un proceso de estandarización de cinco años en el que se presentaron y evaluaron quince diseños competitivos, antes de la Se seleccionó el cifrado Rijndael como el más adecuado. ^{[nota 3]}

AES está incluido en la norma ISO / IEC 18033-3 . AES entró en vigor como estándar del gobierno federal de EE. UU. el 26 de mayo de 2002, después de la aprobación del Secretario de Comercio de EE. UU. , Donald Evans . AES está disponible en muchos paquetes de cifrado diferentes y es el primer (y único) cifrado de acceso público aprobado por la Agencia de Seguridad Nacional (NSA) de EE. UU. para información ultrasecreta cuando se utiliza en un módulo criptográfico aprobado por la NSA. ^{[nota 4]}

Estándares definitivos

El Estándar de cifrado avanzado (AES) se define en cada uno de:

• FIPS PUB 197: Estándar de cifrado avanzado (AES) ^[6]
• ISO/IEC 18033-3: Cifrados de bloque ^[10]

Descripción de los cifrados.

AES se basa en un principio de diseño conocido como red de sustitución-permutación y es eficiente tanto en software como en hardware. ^[11] A diferencia de su predecesor DES, AES no utiliza una red Feistel . AES es una variante de Rijndael, con un tamaño de bloque fijo de 128 bits y un tamaño de clave de 128, 192 o 256 bits. Por el contrario, Rijndael per se se especifica con tamaños de bloque y clave que pueden ser cualquier múltiplo de 32 bits, con un mínimo de 128 y un máximo de 256 bits. La mayoría de los cálculos AES se realizan en un campo finito particular .

AES opera en una matriz de orden principal de 4 × 4 columnas de 16 bytes b ₀ , b ₁ , ..., b ₁₅    denominada estado : ^{[nota 5]}

${\displaystyle {\begin{bmatrix}b_{0}&b_{4}&b_{8}&b_{12}\\b_{1}&b_{5}&b_{9}&b_{13}\\b_{2}&b_{6}&b_{10}&b_{14}\\b_{3}&b_{7}&b_{11}&b_{15}\end{bmatrix}}}$

El tamaño de clave utilizado para un cifrado AES especifica el número de rondas de transformación que convierten la entrada, denominada texto sin formato , en la salida final, denominada texto cifrado . El número de rondas es el siguiente:

• 10 rondas para claves de 128 bits.
• 12 rondas para claves de 192 bits.
• 14 rondas para claves de 256 bits.

Cada ronda consta de varios pasos de procesamiento, incluido uno que depende de la propia clave de cifrado. Se aplica un conjunto de rondas inversas para transformar el texto cifrado nuevamente en el texto sin formato original utilizando la misma clave de cifrado.

Descripción de alto nivel del algoritmo.

1. KeyExpansion  : las claves redondas se derivan de la clave de cifrado utilizando la programación de claves AES . AES requiere un bloque de claves redondas de 128 bits independiente para cada ronda más uno más.
2. Adición de clave de ronda inicial:
   1. AddRoundKey  : cada byte del estado se combina con un byte de la clave redonda usando xor bit a bit .
3. 9, 11 o 13 rondas:
   1. SubBytes  : un paso de sustitución no lineal en el que cada byte se reemplaza por otro según una tabla de búsqueda .
   2. ShiftRows  : un paso de transposición en el que las últimas tres filas del estado se desplazan cíclicamente una cierta cantidad de pasos.
   3. MixColumns  : una operación de mezcla lineal que opera en las columnas del estado, combinando los cuatro bytes en cada columna.
   4. Agregar clave redonda
4. Ronda final (haciendo 10, 12 o 14 rondas en total):
   1. Subbytes
   2. ShiftFilas
   3. Agregar clave redonda

El paso de los subbytes

En el paso SubBytes , cada byte del estado se reemplaza con su entrada en una tabla de búsqueda fija de 8 bits, S ; bij = _S ( _aij ) .

En el paso SubBytes , cada byte en la matriz de estado se reemplaza con un SubByte usando un cuadro de sustitución de 8 bits . Tenga en cuenta que antes de la ronda 0, la matriz de estado es simplemente el texto sin formato/entrada. Esta operación proporciona la no linealidad en el cifrado . La caja S utilizada se deriva del inverso multiplicativo de GF (2 ⁸ ) , que se sabe que tiene buenas propiedades de no linealidad. Para evitar ataques basados ​​en propiedades algebraicas simples, la S-box se construye combinando la función inversa con una transformación afín invertible . La caja S también se elige para evitar cualquier punto fijo (y por lo tanto es un trastorno ), es decir, y también cualquier punto fijo opuesto, es decir ,. Mientras se realiza el descifrado, se utiliza el paso InvSubBytes (el inverso de SubBytes ), que requiere primero tomar la inversa de la transformación afín y luego encontrar la inversa multiplicativa. ${\displaystyle a_{i,j}}$ ${\displaystyle S(a_{i,j})}$ ${\displaystyle S(a_{i,j})\neq a_{i,j}}$ ${\displaystyle S(a_{i,j})\oplus a_{i,j}\neq {\text{FF}}_{16}}$

El paso ShiftRows

En el paso ShiftRows , los bytes de cada fila del estado se desplazan cíclicamente hacia la izquierda. El número de lugares a los que se desplaza cada byte difiere incrementalmente para cada fila.

El paso ShiftRows opera en las filas del estado; desplaza cíclicamente los bytes de cada fila en un cierto desplazamiento . Para AES, la primera fila no se modifica. Cada byte de la segunda fila se desplaza uno hacia la izquierda. De manera similar, la tercera y cuarta filas se desplazan con desplazamientos de dos y tres respectivamente. ^{[nota 6]} De esta manera, cada columna del estado de salida del paso ShiftRows está compuesta por bytes de cada columna del estado de entrada. La importancia de este paso es evitar que las columnas se cifren de forma independiente, en cuyo caso AES degeneraría en cuatro cifrados de bloque independientes.

El paso MixColumns

En el paso MixColumns , cada columna del estado se multiplica por un polinomio fijo . ${\displaystyle c(x)}$

En el paso MixColumns , los cuatro bytes de cada columna del estado se combinan mediante una transformación lineal invertible . La función MixColumns toma cuatro bytes como entrada y genera cuatro bytes, donde cada byte de entrada afecta a los cuatro bytes de salida. Junto con ShiftRows , MixColumns proporciona difusión en el cifrado.

Durante esta operación, cada columna se transforma utilizando una matriz fija (la matriz multiplicada por la izquierda por la columna da un nuevo valor de la columna en el estado):

${\displaystyle {\begin{bmatrix}b_{0,j}\\b_{1,j}\\b_{2,j}\\b_{3,j}\end{bmatrix}}={\begin{bmatrix}2&3&1&1\\1&2&3&1\\1&1&2&3\\3&1&1&2\end{bmatrix}}{\begin{bmatrix}a_{0,j}\\a_{1,j}\\a_{2,j}\\a_{3,j}\end{bmatrix}}\qquad 0\leq j\leq 3}$

La multiplicación de matrices se compone de la multiplicación y suma de las entradas. Las entradas son bytes tratados como coeficientes de polinomio de orden . La suma es simplemente XOR. La multiplicación es un polinomio módulo irreducible . Si se procesa bit a bit, entonces, después del desplazamiento, se debe realizar un XOR condicional con 1B _{16 si el valor desplazado es mayor que FF 16} (el desbordamiento debe corregirse restando el polinomio generador). Estos son casos especiales de la multiplicación habitual en . ${\displaystyle x^{7}}$ ${\displaystyle x^{8}+x^{4}+x^{3}+x+1}$ ${\displaystyle \operatorname {GF} (2^{8})}$

En un sentido más general, cada columna se trata como un polinomio y luego se multiplica módulo por un polinomio fijo . Los coeficientes se muestran en su equivalente hexadecimal de la representación binaria de polinomios de bits de . El paso MixColumns también se puede ver como una multiplicación por la matriz MDS particular que se muestra en el campo finito . Este proceso se describe con más detalle en el artículo Rijndael MixColumns . ${\displaystyle \operatorname {GF} (2^{8})}$ ${\displaystyle {01}_{16}\cdot z^{4}+{01}_{16}}$ ${\displaystyle c(z)={03}_{16}\cdot z^{3}+{01}_{16}\cdot z^{2}+{01}_{16}\cdot z+{02}_{16}}$ ${\displaystyle \operatorname {GF} (2)[x]}$ ${\displaystyle \operatorname {GF} (2^{8})}$

La clave AddRound

En el paso AddRoundKey , cada byte del estado se combina con un byte de la subclave redonda mediante la operación XOR (⊕).

En el paso AddRoundKey , la subclave se combina con el estado. Para cada ronda, se deriva una subclave de la clave principal utilizando el programa de claves de Rijndael ; cada subclave tiene el mismo tamaño que el estado. La subclave se agrega combinando el estado con el byte correspondiente de la subclave usando XOR bit a bit .

Optimización del cifrado.

En sistemas con palabras de 32 bits o más, es posible acelerar la ejecución de este cifrado combinando los pasos SubBytes y ShiftRows con el paso MixColumns transformándolos en una secuencia de búsquedas de tablas. Esto requiere cuatro tablas de 32 bits de 256 entradas (que juntas ocupan 4096 bytes). Luego se puede realizar una ronda con 16 operaciones de búsqueda de tablas y 12 operaciones exclusivas o de 32 bits, seguidas de cuatro operaciones exclusivas o de 32 bits en el paso AddRoundKey . ^[12] Alternativamente, la operación de búsqueda de tabla se puede realizar con una única tabla de 32 bits de 256 entradas (que ocupa 1024 bytes) seguida de operaciones de rotación circular.

Utilizando un enfoque orientado a bytes, es posible combinar los pasos SubBytes , ShiftRows y MixColumns en una sola operación de ronda. ^[13]

Seguridad

La Agencia de Seguridad Nacional (NSA) revisó a todos los finalistas de AES, incluido Rijndael, y afirmó que todos ellos eran lo suficientemente seguros para los datos no clasificados del gobierno de EE. UU. En junio de 2003, el gobierno de Estados Unidos anunció que AES podría utilizarse para proteger información clasificada :

El diseño y la solidez de todas las longitudes de clave del algoritmo AES (es decir, 128, 192 y 256) son suficientes para proteger información clasificada hasta el nivel SECRETO. La información TOP SECRET requerirá el uso de longitudes de clave de 192 o 256. La implementación de AES en productos destinados a proteger sistemas y/o información de seguridad nacional debe ser revisada y certificada por la NSA antes de su adquisición y uso. ^[14]

AES tiene 10 rondas para claves de 128 bits, 12 rondas para claves de 192 bits y 14 rondas para claves de 256 bits.

En 2006, los ataques más conocidos se realizaron en 7 rondas para claves de 128 bits, 8 rondas para claves de 192 bits y 9 rondas para claves de 256 bits. ^[15]

Ataques conocidos

Para los criptógrafos, una "ruptura" criptográfica es algo más rápido que un ataque de fuerza bruta , es decir, realizar una prueba de descifrado para cada clave posible en secuencia. ^{[nota 7]} Por lo tanto, una ruptura puede incluir resultados que son inviables con la tecnología actual. A pesar de no ser prácticas, las rupturas teóricas a veces pueden proporcionar información sobre los patrones de vulnerabilidad. El mayor ataque exitoso de fuerza bruta conocido públicamente contra un algoritmo de cifrado de bloques ampliamente implementado fue contra una clave RC5 de 64 bits por distribuido.net en 2006. ^[16]

El espacio de clave aumenta en un factor de 2 por cada bit adicional de longitud de clave, y si cada valor posible de la clave es equiprobable, esto se traduce en una duplicación del tiempo promedio de búsqueda de claves por fuerza bruta. Esto implica que el esfuerzo de una búsqueda por fuerza bruta aumenta exponencialmente con la longitud de la clave. La longitud de la clave en sí misma no implica seguridad contra ataques, ya que hay cifrados con claves muy largas que se han encontrado vulnerables.

AES tiene un marco algebraico bastante simple. ^{[17] En 2002,} Nicolas Courtois y Josef Pieprzyk anunciaron un ataque teórico, denominado " ataque XSL " , que pretendía mostrar una debilidad en el algoritmo AES, en parte debido a la baja complejidad de sus componentes no lineales. ^[18] Desde entonces, otros artículos han demostrado que el ataque, tal como se presentó originalmente, es inviable; consulte Ataque XSL a cifrados en bloque .

Durante el proceso de selección de AES, los desarrolladores de algoritmos competidores escribieron sobre el algoritmo de Rijndael: "Estamos preocupados por [su] uso... en aplicaciones críticas para la seguridad". ^[19] En octubre de 2000, sin embargo, al final del proceso de selección de AES, Bruce Schneier , un desarrollador del algoritmo competidor Twofish , escribió que si bien pensaba que algún día se desarrollarían ataques académicos exitosos contra Rijndael, "no creía que Cualquiera descubrirá algún día un ataque que permita a alguien leer el tráfico de Rijndael". ^[20]

Hasta mayo de 2009, los únicos ataques exitosos publicados contra el AES completo fueron ataques de canal lateral en algunas implementaciones específicas. En 2009, se descubrió un nuevo ataque de clave relacionada que explota la simplicidad del programa de claves de AES y tiene una complejidad de 2 ¹¹⁹ . En diciembre de 2009 se mejoró a 2 ^99,5 . ^[2] Esta es una continuación de un ataque descubierto anteriormente en 2009 por Alex Biryukov , Dmitry Khovratovich e Ivica Nikolić, con una complejidad de 2 ⁹⁶ para una de cada 2 ³⁵ claves. ^[21] Sin embargo, los ataques a claves relacionadas no son motivo de preocupación en ningún protocolo criptográfico diseñado adecuadamente, ya que un protocolo diseñado adecuadamente (es decir, software de implementación) tendrá cuidado de no permitir claves relacionadas, esencialmente restringiendo los medios del atacante para seleccionar claves para relación.

Otro ataque fue publicado en el blog de Bruce Schneier ^[22] el 30 de julio de 2009 y publicado como preimpresión ^[23] el 3 de agosto de 2009. Este nuevo ataque, de Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich y Adi Shamir , está en contra de AES-256 que usa solo dos claves relacionadas y 2 ³⁹ veces para recuperar la clave completa de 256 bits de una versión de 9 rondas, o 2 ⁴⁵ veces para una versión de 10 rondas con un tipo más fuerte de ataque de subclave relacionada, o 2 ⁷⁰ veces para una versión de 11 rondas. AES de 256 bits utiliza 14 rondas, por lo que estos ataques no son efectivos contra AES completo.

La practicidad de estos ataques con claves relacionadas más fuertes ha sido criticada, ^[24] por ejemplo, por el artículo sobre ataques de relaciones de clave elegidas en el medio en AES-128 escrito por Vincent Rijmen en 2010. ^[25]

En noviembre de 2009, se publicó como preimpresión el primer ataque distintivo de clave conocida contra una versión reducida de 8 rondas de AES-128. ^[26] Este ataque distintivo de clave conocida es una mejora del rebote, o el ataque de empezar desde el medio, contra permutaciones tipo AES, que ven dos rondas consecutivas de permutación como la aplicación de un llamado Super- Caja S. Funciona en la versión de 8 rondas de AES-128, con una complejidad de tiempo de 2 ⁴⁸ y una complejidad de memoria de 2 ³² . AES de 128 bits usa 10 rondas, por lo que este ataque no es efectivo contra AES-128 completo.

Los primeros ataques de recuperación de claves contra AES completos fueron realizados por Andrey Bogdanov, Dmitry Khovratovich y Christian Rechberger, y se publicaron en 2011. ^[27] El ataque es un ataque biclique y es más rápido que la fuerza bruta en un factor de aproximadamente cuatro. Se requieren ^2126,2 operaciones para recuperar una clave AES-128. Para AES-192 y AES-256, se necesitan 2 ^190,2 y 2 ^254,6 operaciones, respectivamente. Este resultado se ha mejorado aún más a 2126,0 ^para AES-128, ^2189,9 para AES-192 y ^2254,3 para AES-256, ^[28] que son los mejores resultados actuales en ataques de recuperación de claves contra AES.

Esta es una ganancia muy pequeña, ya que una clave de 126 bits (en lugar de 128 bits) todavía tardaría miles de millones de años en forzarse bruscamente en el hardware actual y previsible. Además, los autores calculan que el mejor ataque utilizando su técnica en AES con una clave de 128 bits requiere almacenar 2 ⁸⁸ bits de datos. Eso equivale a unos 38 billones de terabytes de datos, que es más que todos los datos almacenados en todas las computadoras del planeta en 2016. Como tal, no hay implicaciones prácticas para la seguridad de AES. ^[29] La complejidad del espacio se mejoró posteriormente a 2,56 ^bits , ^[28] que son 9007 terabytes (mientras se mantiene una complejidad de tiempo de 2126,2 ⁾ .

Según los documentos de Snowden , la NSA está investigando si un ataque criptográfico basado en la estadística tau podría ayudar a romper AES. ^[30]

En la actualidad, no se conoce ningún ataque práctico que permita a alguien sin conocimiento de la clave leer datos cifrados por AES si se implementa correctamente.

Ataques de canal lateral

Los ataques de canal lateral no atacan el cifrado como una caja negra y, por lo tanto, no están relacionados con la seguridad del cifrado tal como se define en el contexto clásico, pero son importantes en la práctica. Atacan implementaciones del cifrado en sistemas de hardware o software que filtran datos sin darse cuenta. Existen varios ataques conocidos de este tipo en diversas implementaciones de AES.

En abril de 2005, D. J. Bernstein anunció un ataque de sincronización de caché que utilizó para romper un servidor personalizado que utilizaba el cifrado AES de OpenSSL . ^[31] El ataque requirió más de 200 millones de textos claros elegidos. ^[32] El servidor personalizado fue diseñado para proporcionar tanta información de tiempo como sea posible (el servidor informa el número de ciclos de máquina tomados por la operación de cifrado). Sin embargo, como señaló Bernstein, "reducir la precisión de las marcas de tiempo del servidor, o eliminarlas de las respuestas del servidor, no detiene el ataque: el cliente simplemente usa tiempos de ida y vuelta basados ​​en su reloj local y compensa el aumento del ruido. promediando un mayor número de muestras." ^[31]

En octubre de 2005, Dag Arne Osvik, Adi Shamir y Eran Tromer presentaron un artículo que demostraba varios ataques de sincronización de caché contra las implementaciones en AES encontradas en OpenSSL y dm-cryptla función de cifrado de particiones de Linux. ^[33] Un ataque pudo obtener una clave AES completa después de solo 800 operaciones que activaron cifrados, en un total de 65 milisegundos. Este ataque requiere que el atacante pueda ejecutar programas en el mismo sistema o plataforma que realiza AES.

En diciembre de 2009 se publicó un ataque a algunas implementaciones de hardware que utilizaba análisis diferencial de fallos y permitía recuperar una clave con una complejidad de 2 ³² . ^[34]

En noviembre de 2010, Endre Bangerter, David Gullasch y Stephan Krenn publicaron un artículo que describía un enfoque práctico para una recuperación "casi en tiempo real" de claves secretas de AES-128 sin la necesidad de texto cifrado o sin formato. El enfoque también funciona en implementaciones AES-128 que utilizan tablas de compresión, como OpenSSL. ^[35] Al igual que algunos ataques anteriores, este requiere la capacidad de ejecutar código sin privilegios en el sistema que realiza el cifrado AES, lo que puede lograrse mediante una infección de malware mucho más fácilmente que apoderarse de la cuenta raíz. ^[36]

En marzo de 2016, Ashokkumar C., Ravi Prakash Giri y Bernard Menezes presentaron un ataque de canal lateral a implementaciones AES que puede recuperar la clave AES completa de 128 bits en solo 6 a 7 bloques de texto plano/cifrado, lo que supone una mejora sustancial con respecto a trabajos anteriores que requieren entre 100 y un millón de cifrados. ^[37] El ataque propuesto requiere privilegios de usuario estándar y algoritmos de recuperación de claves que se ejecutan en menos de un minuto.

Muchas CPU modernas tienen instrucciones de hardware integradas para AES , que protegen contra ataques de canal lateral relacionados con la sincronización. ^{[38] [39]}

Ataques cuánticos

AES-256 se considera resistente cuántico , ya que tiene una resistencia cuántica similar a la resistencia de AES-128 contra ataques tradicionales, no cuánticos, a 128 bits de seguridad . AES-192 y AES-128 no se consideran resistentes a la cuántica debido a sus tamaños de clave más pequeños. AES-192 tiene una potencia de 96 bits contra ataques cuánticos y AES-128 tiene 64 bits de potencia contra ataques cuánticos, lo que los hace a ambos inseguros. ^{[40] [41]}

Validación NIST/CSEC

El Programa de Validación de Módulos Criptográficos (CMVP) es operado conjuntamente por la División de Seguridad Informática del Instituto Nacional de Estándares y Tecnología (NIST) del Gobierno de los Estados Unidos y el Establecimiento de Seguridad de las Comunicaciones (CSE) del Gobierno de Canadá. El gobierno de los Estados Unidos exige el uso de módulos criptográficos validados según NIST FIPS 140-2 para cifrar todos los datos que tienen una clasificación de Sensible pero sin clasificar (SBU) o superior. Del NSTISSP #11, Política nacional que rige la adquisición de garantía de información: "Los productos de cifrado para proteger información clasificada serán certificados por la NSA, y los productos de cifrado destinados a proteger información confidencial estarán certificados de acuerdo con NIST FIPS 140-2". ^[42]

El Gobierno de Canadá también recomienda el uso de módulos criptográficos validados FIPS 140 en aplicaciones no clasificadas de sus departamentos.

Aunque la publicación 197 del NIST (“FIPS 197”) es el único documento que cubre el algoritmo AES, los proveedores generalmente se acercan al CMVP bajo FIPS 140 y solicitan que se validen varios algoritmos (como Triple DES o SHA1 ) al mismo tiempo. Por lo tanto, es raro encontrar módulos criptográficos que estén validados exclusivamente por FIPS 197 y el propio NIST generalmente no se toma el tiempo para enumerar los módulos validados por FIPS 197 por separado en su sitio web público. En cambio, la validación FIPS 197 normalmente aparece simplemente como una notación "Aprobada por FIPS: AES" (con un número de certificado FIPS 197 específico) en la lista actual de módulos criptográficos validados por FIPS 140.

El Programa de Validación de Algoritmos Criptográficos (CAVP) ^[43] permite la validación independiente de la correcta implementación del algoritmo AES. La validación exitosa da como resultado su inclusión en la página de validaciones del NIST. ^[44] Esta prueba es un requisito previo para la validación del módulo FIPS 140-2. Sin embargo, la validación exitosa de CAVP no implica de ninguna manera que el módulo criptográfico que implementa el algoritmo sea seguro. El gobierno de EE. UU. no considera seguro un módulo criptográfico que carezca de validación FIPS 140-2 o aprobación específica de la NSA y no se puede utilizar para proteger datos gubernamentales. ^[42]

La validación FIPS 140-2 es un desafío tanto desde el punto de vista técnico como fiscal. ^[45] Existe una batería estandarizada de pruebas, así como un elemento de revisión del código fuente que debe aprobarse durante un período de algunas semanas. El costo de realizar estas pruebas a través de un laboratorio aprobado puede ser significativo (por ejemplo, más de 30.000 dólares estadounidenses) ^[45] y no incluye el tiempo que lleva escribir, probar, documentar y preparar un módulo para su validación. Después de la validación, los módulos deben volver a enviarse y evaluarse si se modifican de alguna manera. Esto puede variar desde simples actualizaciones de papeleo si la funcionalidad de seguridad no cambió hasta un conjunto más sustancial de nuevas pruebas si la funcionalidad de seguridad se vio afectada por el cambio.

Vectores de prueba

Los vectores de prueba son un conjunto de cifrados conocidos para una entrada y una clave determinadas. NIST distribuye la referencia de los vectores de prueba AES como vectores de prueba de respuesta conocida (KAT) de AES. ^{[nota 8]}

Actuación

Los requisitos de alta velocidad y baja RAM fueron algunos de los criterios del proceso de selección de AES. Como algoritmo elegido, AES funcionó bien en una amplia variedad de hardware, desde tarjetas inteligentes de 8 bits hasta computadoras de alto rendimiento.

En un Pentium Pro , el cifrado AES requiere 18 ciclos de reloj por byte, ^[46] equivalente a un rendimiento de aproximadamente 11 MiB/s para un procesador de 200 MHz.

En las CPU Intel Core y AMD Ryzen que admiten extensiones de conjunto de instrucciones AES-NI , el rendimiento puede ser de varios GiB/s (incluso más de 15 GiB/s en un i7-12700k). ^[47]

Implementaciones

Ver también

• Modos de operación AES
• Cifrado de disco
• Whirlpool – función hash creada por Vincent Rijmen y Paulo SLM Barreto
• Lista de paquetes de software gratuitos y de código abierto

Notas

1. El algoritmo Rijndael admite tamaños de clave de 128, 160, 192, 224 y 256 bits, pero en el estándar AES solo se especifican los tamaños de clave de 128, 192 y 256 bits.
2. El algoritmo Rijndael admite tamaños de bloque de 128, 160, 192, 224 y 256 bits para cada tamaño de clave, pero en el estándar AES solo se especifica el tamaño de bloque de 128 bits.
3. Consulte el proceso del Estándar de cifrado avanzado para obtener más detalles.
4. Consulte Seguridad de AES a continuación.
5. Las variantes de bloques grandes de Rijndael utilizan una matriz con columnas adicionales, pero siempre cuatro filas.
6. Las variantes de Rijndael con un tamaño de bloque más grande tienen compensaciones ligeramente diferentes. Para bloques de tamaños de 128 bits y 192 bits, el patrón de cambio es el mismo. La fila se desplaza circularmente hacia la izquierda en bytes. Para un bloque de 256 bits, la primera fila no cambia y el desplazamiento para la segunda, tercera y cuarta fila es de 1 byte, 3 bytes y 4 bytes respectivamente; este cambio solo se aplica al cifrado Rijndael cuando se usa con un bloque de 256 bits. , ya que AES no utiliza bloques de 256 bits. ${\displaystyle n}$ ${\displaystyle n-1}$
7. Ver Criptoanálisis .
8. Los vectores de la prueba de respuesta conocida (KAT) de AES están disponibles en formato Zip en el sitio del NIST aquí Archivado el 23 de octubre de 2009 en Wayback Machine.

Referencias

1. "Criptoanálisis biclique del AES completo" (PDF) . Archivado desde el original (PDF) el 6 de marzo de 2016 . Consultado el 1 de mayo de 2019 .
2. Alex Biryukov y Dmitry Khovratovich, Criptoanálisis de claves relacionadas de AES-192 y AES-256 completos , "Copia archivada". Tabla 1. Archivado desde el original el 28 de septiembre de 2009 . Consultado el 16 de febrero de 2010 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
3. Bruce Schneier (30 de julio de 2009). "Otro nuevo ataque AES". Schneier on Security, un blog que cubre seguridad y tecnología de seguridad . Archivado desde el original el 5 de octubre de 2009 . Consultado el 11 de marzo de 2010 .
4. Alex Biryukov; Orr Dunkelman; Nathan Keller; Dmitri Jovratovich; Adi Shamir (19 de agosto de 2009). "Ataques de recuperación clave de complejidad práctica en variantes de AES con hasta 10 rondas". Archivado desde el original el 28 de enero de 2010 . Consultado el 11 de marzo de 2010 .
5. Daemen, Joan; Rijmen, Vincent (9 de marzo de 2003). "Propuesta AES: Rijndael" (PDF) . Instituto Nacional de Estándares y Tecnología. pag. 1. Archivado (PDF) desde el original el 5 de marzo de 2013 . Consultado el 21 de febrero de 2013 .
6. "Anuncio del ESTÁNDAR DE CIFRADO AVANZADO (AES)" (PDF) . Publicación de normas federales de procesamiento de información 197 . Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST). 26 de noviembre de 2001. Archivado (PDF) desde el original el 12 de marzo de 2017 . Consultado el 2 de octubre de 2012 .
7. Joan Daemen y Vincent Rijmen (3 de septiembre de 1999). "Propuesta AES: Rijndael" (PDF) . Archivado desde el original (PDF) el 3 de febrero de 2007.
8. John Schwartz (3 de octubre de 2000). "Estados Unidos selecciona una nueva técnica de cifrado". New York Times . Archivado desde el original el 28 de marzo de 2017.
9. Westlund, Harold B. (2002). "NIST informa un éxito mensurable del estándar de cifrado avanzado". Revista de Investigación del Instituto Nacional de Estándares y Tecnología . Archivado desde el original el 3 de noviembre de 2007.
10. "ISO/IEC 18033-3: Tecnología de la información - Técnicas de seguridad - Algoritmos de cifrado - Parte 3: Cifrados de bloque". Archivado desde el original el 3 de diciembre de 2013.
11. Bruce Schneier; John Kelsey; Doug Whiting; David Wagner; Chris Hall; Niels Ferguson; Tadayoshi Kohno; et al. (mayo de 2000). "Comentarios finales del equipo Twofish sobre la selección de AES" (PDF) . Archivado (PDF) desde el original el 2 de enero de 2010.
12. Bertoni, Guido; Breveglieri, Luca; Fragneto, Pasqualina; MacChetti, Marco; Marchesin, Stefano (2003). "Implementación eficiente de software de AES en plataformas de 32 bits". Hardware criptográfico y sistemas integrados - CHES 2002 . Apuntes de conferencias sobre informática. vol. 2523, págs. 159-171. doi :10.1007/3-540-36400-5_13. ISBN 978-3-540-00409-7.
13. "byte-orientado-aes: una implementación de AES en C orientada a bytes de dominio público: alojamiento de proyectos de Google". Archivado desde el original el 20 de julio de 2013 . Consultado el 23 de diciembre de 2012 .
14. Lynn Hathaway (junio de 2003). "Política Nacional sobre el Uso del Estándar de Cifrado Avanzado (AES) para Proteger los Sistemas de Seguridad Nacional y la Información de Seguridad Nacional" (PDF) . Archivado (PDF) desde el original el 6 de noviembre de 2010 . Consultado el 15 de febrero de 2011 .
15. John Kelsey , Stefan Lucks , Bruce Schneier , Mike Stay, David Wagner y Doug Whiting, Criptoanálisis mejorado de Rijndael , Fast Software Encryption , 2000 pp213-230 "Académico: Criptoanálisis mejorado de Rijndael - Schneier sobre seguridad". Archivado desde el original el 23 de febrero de 2007 . Consultado el 6 de marzo de 2007 .
16. Ou, George (30 de abril de 2006). "¿Es realmente descifrable el cifrado?". Ziff-Davis. Archivado desde el original el 8 de agosto de 2010 . Consultado el 7 de agosto de 2010 .
17. "Sean Murphy". Universidad de londres. Archivado desde el original el 31 de enero de 2009 . Consultado el 2 de noviembre de 2008 .
18. Bruce Schneier. "AES News, boletín informativo Crypto-Gram, 15 de septiembre de 2002". Archivado desde el original el 7 de julio de 2007 . Consultado el 27 de julio de 2007 .
19. Niels Ferguson ; Richard Schroeppel ; Doug Whiting (2001). "Una representación algebraica simple de Rijndael". Actas de áreas seleccionadas en criptografía, 2001, Apuntes de conferencias en informática . Springer-Verlag . págs. 103-111. CiteSeerX 10.1.1.28.4921 . Archivado desde el original (PDF/ PostScript ) el 4 de noviembre de 2006 . Consultado el 6 de octubre de 2006 . 
20. Bruce Schneier, AES anunciado Archivado el 1 de febrero de 2009 en Wayback Machine , 15 de octubre de 2000
21. Nikolic, Ivica (2009). "Ataque de distinción y clave relacionada en el AES-256 completo". Avances en Criptología - CRYPTO 2009 . Apuntes de conferencias sobre informática. vol. 5677. Springer Berlín / Heidelberg. págs. 231-249. doi :10.1007/978-3-642-03356-8_14. ISBN 978-3-642-03355-1.
22. Bruce Schneier (30 de julio de 2009). "Otro nuevo ataque AES". Schneier on Security, un blog que cubre seguridad y tecnología de seguridad . Archivado desde el original el 5 de octubre de 2009 . Consultado el 11 de marzo de 2010 .
23. Alex Biryukov; Orr Dunkelman; Nathan Keller; Dmitri Jovratovich; Adi Shamir (19 de agosto de 2009). "Ataques de recuperación clave de complejidad práctica en variantes de AES con hasta 10 rondas". Archivado desde el original el 28 de enero de 2010 . Consultado el 11 de marzo de 2010 .
24. Agren, Martín (2012). Sobre algunos diseños criptográficos ligeros simétricos . Disertación, Universidad de Lund. págs. 38–39.
25. Vicente Rijmen (2010). "Ataque con título práctico a AES-128 utilizando relaciones de texto elegido" (PDF) . Archivado (PDF) desde el original el 2 de julio de 2010. {{cite journal}}: Citar diario requiere |journal=( ayuda )
26. Henri Gilbert; Thomas Peyrin (9 de noviembre de 2009). "Criptoanálisis de Super-Sbox: ataques mejorados para permutaciones similares a AES". Archivado desde el original el 4 de junio de 2010 . Consultado el 11 de marzo de 2010 .
27. Andréi Bogdánov; Dmitry Khovratovich y Christian Rechberger (2011). "Criptoanálisis biclique del AES completo" (PDF) . Archivado desde el original (PDF) el 5 de septiembre de 2012.
28. Biaoshuai Tao y Hongjun Wu (2015). "Mejora del criptoanálisis biclique de AES". Seguridad y Privacidad de la Información . Apuntes de conferencias sobre informática. vol. 9144, págs. 39–56. doi :10.1007/978-3-319-19962-7_3. ISBN 978-3-319-19961-0.
29. Jeffrey Goldberg (18 de agosto de 2011). "El cifrado AES no está descifrado". Archivado desde el original el 8 de enero de 2015 . Consultado el 30 de diciembre de 2014 .
30. SPIEGEL ONLINE, Hamburgo, Alemania (28 de diciembre de 2014). "Dentro de la guerra de la NSA contra la seguridad en Internet". SPIEGEL EN LÍNEA . Archivado desde el original el 24 de enero de 2015 . Consultado el 4 de septiembre de 2015 .
31. "Índice de artículos científicos formales". Cr.yp.to. Archivado desde el original el 17 de septiembre de 2008 . Consultado el 2 de noviembre de 2008 .
32. Bruce Schneier. "Ataque de sincronización AES". Archivado desde el original el 12 de febrero de 2007 . Consultado el 17 de marzo de 2007 .
33. Dag Arne Osvik; Adi Shamir; Eran Tromer (20 de noviembre de 2005). "Ataques de caché y contramedidas: el caso de AES" (PDF) . Archivado (PDF) desde el original el 19 de junio de 2006 . Consultado el 2 de noviembre de 2008 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
34. Dhiman Saha; Debdeep Mukhopadhyay; Dipanwita Roy Chowdhury. "Un ataque de falla diagonal al estándar de cifrado avanzado" (PDF) . Archivado (PDF) desde el original el 22 de diciembre de 2009 . Consultado el 8 de diciembre de 2009 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
35. Endre Bangerter; David Gullasch y Stephan Krenn (2010). "Juegos de caché: llevar a la práctica los ataques de caché basados ​​en acceso a AES" (PDF) . Archivado (PDF) desde el original el 14 de diciembre de 2010. {{cite journal}}: Citar diario requiere |journal=( ayuda )
36. "Rompiendo AES-128 en tiempo real, no se requiere texto cifrado". Noticias de piratas informáticos. Archivado desde el original el 3 de octubre de 2011 . Consultado el 23 de diciembre de 2012 .
37. Ashokkumar C.; Ravi Prakash Giri; Bernardo Menezes (2016). Simposio europeo IEEE sobre seguridad y privacidad de 2016 (EuroS&P) . págs. 261–275. doi :10.1109/EuroSP.2016.29. ISBN 978-1-5090-1751-5. S2CID  11251391.
38. "¿Siguen siendo factibles los ataques de sincronización de caché AES x86?" (PDF) . cseweb.ucsd.edu . Archivado (PDF) desde el original el 9 de agosto de 2017.
39. "Copia archivada" (PDF) . Archivado (PDF) desde el original el 31 de marzo de 2013 . Consultado el 26 de julio de 2017 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )Proteger la empresa con Intel AES-NI.
40. Bonnetain, Xavier; Naya-Plasencia, María; Schrottenloher, André (6 de diciembre de 2019). "Análisis de seguridad cuántica de AES". HAL : 40.
41. O'Shea, Dan (26 de abril de 2022). "AES-256 se suma a la resistencia cuántica". Electrónica feroz . Consultado el 26 de septiembre de 2023 .
42. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 21 de abril de 2012 . Consultado el 29 de mayo de 2012 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
43. "NIST.gov - División de seguridad informática - Centro de recursos de seguridad informática". Csrc.nist.gov. Archivado desde el original el 2 de enero de 2013 . Consultado el 23 de diciembre de 2012 .
44. "Módulos criptográficos FIPS 140-1 y FIPS 140-2 validados". Archivado desde el original el 26 de diciembre de 2014 . Consultado el 26 de junio de 2014 .
45. OpenSSL, [email protected]. "Notas de OpenSSL sobre la certificación FIPS". Openssl.org. Archivado desde el original el 2 de enero de 2013 . Consultado el 23 de diciembre de 2012 .
46. Schneier, Bruce; Kelsey, Juan; Merlán, Doug; Wagner, David; Salón, Chris; Ferguson, Niels (1 de febrero de 1999). "Comparaciones de rendimiento de las presentaciones de AES" (PDF) . Archivado (PDF) desde el original el 22 de junio de 2011 . Consultado el 28 de diciembre de 2010 .
47. "Revisión de AMD Ryzen 7 1700X".

• Courtois, Nicolás; Pieprzyk, Josef (2003). "Criptoanálisis de cifrados en bloque con sistemas de ecuaciones sobredefinidos". En Zheng, Yuliang (ed.). Avances en criptología - ASIACRYPT 2002: Octava conferencia internacional sobre teoría y aplicación de la criptología y seguridad de la información, Queenstown, Nueva Zelanda, 1 al 5 de diciembre de 2002, Actas . Saltador. págs. 268–287. ISBN 978-3-540-36178-7.
• Daemen, Joan; Rijmen, Vicente (2002). El diseño de Rijndael: AES: el estándar de cifrado avanzado. Saltador. ISBN 978-3-540-42580-9.
• Par, Christof; Pelzl, enero (2009). Comprensión de la criptografía: un libro de texto para estudiantes y profesionales. Saltador. págs. 87-122. ISBN 978-3-642-04101-3.enlace alternativo (el sitio web complementario contiene conferencias en línea sobre AES)

enlaces externos

• "Clave de 256 bits - bloque de 128 bits - AES". Criptografía: cifrados de 256 bits: código fuente de referencia y presentaciones a concursos internacionales de diseños criptográficos . IntegradoSW.
• "Estándar de cifrado avanzado (AES)" (PDF) . Estándares federales de procesamiento de información . 26 de noviembre de 2001. doi : 10.6028/NIST.FIPS.197 . 197.
• Información de archivo del algoritmo AES – (antigua, sin mantenimiento)
• "Parte 3: cifrados en bloque" (PDF) . Tecnologías de la información – Técnicas de seguridad – Algoritmos de cifrado (2ª ed.). YO ASI. 2010-12-15. ISO/IEC 18033-3:2010(E). Archivado (PDF) desde el original el 9 de octubre de 2022.
• Animación de Rijndael – AES profundamente explicada y animada usando Flash (por Enrique Zabala / Universidad ORT / Montevideo / Uruguay). Esta animación (en inglés, español y alemán) también forma parte de CrypTool 1 (menú Procedimientos indiv. → Visualización de algoritmos → AES).
• Animación HTML5 de Rijndael: la misma animación que la anterior realizada en HTML5.