Estándar de cifrado avanzado

Norma para el cifrado de datos electrónicos

El Estándar de cifrado avanzado ( AES ), también conocido por su nombre original Rijndael ( pronunciación holandesa: [ˈrɛindaːl] ), ^[5] es una especificación para el cifrado de datos electrónicos establecida por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos en 2001. ^[6]

AES es una variante del cifrado de bloques Rijndael ^[5] desarrollado por dos criptógrafos belgas , Joan Daemen y Vincent Rijmen , quienes presentaron una propuesta ^[7] al NIST durante el proceso de selección de AES . ^[8] Rijndael es una familia de cifrados con diferentes tamaños de clave y bloque. Para AES, NIST seleccionó tres miembros de la familia Rijndael, cada uno con un tamaño de bloque de 128 bits, pero tres longitudes de clave diferentes: 128, 192 y 256 bits.

El gobierno de los EE. UU . adoptó el AES, que reemplaza al Estándar de cifrado de datos (DES), ^[9] que se publicó en 1977. El algoritmo descrito por el AES es un algoritmo de clave simétrica , lo que significa que se utiliza la misma clave tanto para cifrar como para descifrar los datos.

En Estados Unidos, el NIST anunció el AES como US FIPS PUB 197 (FIPS 197) el 26 de noviembre de 2001. ^[6] Este anuncio siguió a un proceso de estandarización de cinco años en el que se presentaron y evaluaron quince diseños en competencia, antes de que el cifrado Rijndael fuera seleccionado como el más adecuado. ^{[nota 3]}

AES está incluido en el estándar ISO / IEC 18033-3 . AES entró en vigencia como estándar del gobierno federal de los EE. UU. el 26 de mayo de 2002, después de la aprobación del Secretario de Comercio de los EE. UU. Donald Evans . AES está disponible en muchos paquetes de cifrado diferentes y es el primer (y único) cifrado de acceso público aprobado por la Agencia de Seguridad Nacional de los EE. UU. (NSA) para información de alto secreto cuando se usa en un módulo criptográfico aprobado por la NSA. ^{[nota 4]}

Normas definitivas

El estándar de cifrado avanzado (AES) se define en cada uno de:

• FIPS PUB 197: Estándar de cifrado avanzado (AES) ^[6]
• ISO/IEC 18033-3: Cifrados de bloque ^[10]

Descripción de los cifrados

AES se basa en un principio de diseño conocido como red de sustitución-permutación , y es eficiente tanto en software como en hardware. ^[11] A diferencia de su predecesor DES, AES no utiliza una red Feistel . AES es una variante de Rijndael, con un tamaño de bloque fijo de 128 bits y un tamaño de clave de 128, 192 o 256 bits. Por el contrario, Rijndael per se se especifica con tamaños de bloque y clave que pueden ser cualquier múltiplo de 32 bits, con un mínimo de 128 y un máximo de 256 bits. La mayoría de los cálculos de AES se realizan en un campo finito particular .

AES opera en una matriz de orden mayor de columnas de 4 × 4 de 16 bytes b ₀ , b ₁ , ..., b ₁₅    denominada estado : ^{[nota 5]}

${\displaystyle {\begin{bmatrix}b_{0}&b_{4}&b_{8}&b_{12}\\b_{1}&b_{5}&b_{9}&b_{13}\\b_{2}&b_{6}&b_{10}&b_{14}\\b_{3}&b_{7}&b_{11}&b_{15}\end{bmatrix}}}$

El tamaño de clave utilizado para un cifrado AES especifica la cantidad de rondas de transformación que convierten la entrada, denominada texto simple , en la salida final, denominada texto cifrado . La cantidad de rondas es la siguiente:

• 10 rondas para claves de 128 bits.
• 12 rondas para claves de 192 bits.
• 14 rondas para claves de 256 bits.

Cada ronda consta de varios pasos de procesamiento, incluido uno que depende de la clave de cifrado en sí. Se aplica una serie de rondas inversas para transformar el texto cifrado nuevamente en el texto sin formato original utilizando la misma clave de cifrado.

Descripción de alto nivel del algoritmo

1. KeyExpansion  : las claves de ronda se derivan de la clave de cifrado mediante el programa de claves AES . AES requiere un bloque de clave de ronda independiente de 128 bits para cada ronda, más uno más.
2. Adición clave a la ronda inicial:
   1. AddRoundKey  : cada byte del estado se combina con un byte de la clave redonda utilizando xor bit a bit .
3. 9, 11 o 13 rondas:
   1. SubBytes  : un paso de sustitución no lineal donde cada byte se reemplaza por otro de acuerdo con una tabla de búsqueda .
   2. ShiftRows  : un paso de transposición donde las últimas tres filas del estado se desplazan cíclicamente una cierta cantidad de pasos.
   3. MixColumns  : una operación de mezcla lineal que opera en las columnas del estado, combinando los cuatro bytes en cada columna.
   4. Agregar clave redonda
4. Ronda final (haciendo 10, 12 o 14 rondas en total):
   1. Subbytes
   2. Cambio de filas
   3. Agregar clave redonda

ElSubbytespaso

En el paso SubBytes , cada byte del estado se reemplaza con su entrada en una tabla de búsqueda fija de 8 bits, S ; b _ij = S(a _ij ) .

En el paso SubBytes , cada byte en la matriz de estado se reemplaza con un SubByte usando una caja de sustitución de 8 bits . Antes de la ronda 0, la matriz de estado es simplemente el texto sin formato/entrada. Esta operación proporciona la no linealidad en el cifrado . La caja S utilizada se deriva de la inversa multiplicativa sobre GF (2 ⁸ ) , conocida por tener buenas propiedades de no linealidad. Para evitar ataques basados ​​en propiedades algebraicas simples, la caja S se construye combinando la función inversa con una transformación afín invertible . La caja S también se elige para evitar cualquier punto fijo (y por lo tanto un desarreglo ), es decir, , y también cualquier punto fijo opuesto, es decir, . Mientras se realiza el descifrado, se usa el paso InvSubBytes (la inversa de SubBytes ), que requiere primero tomar la inversa de la transformación afín y luego encontrar la inversa multiplicativa. ${\displaystyle a_{i,j}}$ ${\displaystyle S(a_{i,j})}$ ${\displaystyle S(a_{i,j})\neq a_{i,j}}$ ${\displaystyle S(a_{i,j})\oplus a_{i,j}\neq {\text{FF}}_{16}}$

ElCambio de filaspaso

En el paso ShiftRows , los bytes de cada fila del estado se desplazan cíclicamente hacia la izquierda. La cantidad de posiciones en las que se desplaza cada byte varía de forma incremental para cada fila.

El paso ShiftRows opera sobre las filas del estado; desplaza cíclicamente los bytes de cada fila en un cierto desplazamiento . Para AES, la primera fila se deja sin cambios. Cada byte de la segunda fila se desplaza un byte hacia la izquierda. De manera similar, la tercera y cuarta filas se desplazan en desplazamientos de dos y tres respectivamente. ^{[nota 6]} De esta manera, cada columna del estado de salida del paso ShiftRows está compuesta por bytes de cada columna del estado de entrada. La importancia de este paso es evitar que las columnas se cifren de forma independiente, en cuyo caso AES degeneraría en cuatro cifrados de bloque independientes.

ElColumnas mixtaspaso

En el paso MixColumns , cada columna del estado se multiplica por un polinomio fijo . ${\displaystyle c(x)}$

En el paso MixColumns , los cuatro bytes de cada columna del estado se combinan mediante una transformación lineal invertible . La función MixColumns toma cuatro bytes como entrada y genera cuatro bytes como salida, donde cada byte de entrada afecta a los cuatro bytes de salida. Junto con ShiftRows , MixColumns proporciona difusión en el cifrado.

Durante esta operación, cada columna se transforma utilizando una matriz fija (la matriz multiplicada por la izquierda por la columna da como resultado un nuevo valor de la columna en el estado):

${\displaystyle {\begin{bmatrix}b_{0,j}\\b_{1,j}\\b_{2,j}\\b_{3,j}\end{bmatrix}}={\begin{bmatrix}2&3&1&1\\1&2&3&1\\1&1&2&3\\3&1&1&2\end{bmatrix}}{\begin{bmatrix}a_{0,j}\\a_{1,j}\\a_{2,j}\\a_{3,j}\end{bmatrix}}\qquad 0\leq j\leq 3}$

La multiplicación de matrices se compone de la multiplicación y la suma de las entradas. Las entradas son bytes tratados como coeficientes de un polinomio de orden . La suma es simplemente XOR. La multiplicación es un polinomio irreducible módulo . Si se procesa bit a bit, entonces, después del desplazamiento, se debe realizar un XOR condicional con 1B _{16 si el valor desplazado es mayor que FF 16} (el desbordamiento se debe corregir mediante la resta del polinomio generador). Estos son casos especiales de la multiplicación habitual en . ${\displaystyle x^{7}}$ ${\displaystyle x^{8}+x^{4}+x^{3}+x+1}$ ${\displaystyle \operatorname {GF} (2^{8})}$

En un sentido más general, cada columna se trata como un polinomio sobre y luego se multiplica por módulo con un polinomio fijo . Los coeficientes se muestran en su equivalente hexadecimal de la representación binaria de polinomios de bits de . El paso MixColumns también se puede ver como una multiplicación por la matriz MDS particular mostrada en el campo finito . Este proceso se describe con más detalle en el artículo MixColumns de Rijndael . ${\displaystyle \operatorname {GF} (2^{8})}$ ${\displaystyle {01}_{16}\cdot z^{4}+{01}_{16}}$ ${\displaystyle c(z)={03}_{16}\cdot z^{3}+{01}_{16}\cdot z^{2}+{01}_{16}\cdot z+{02}_{16}}$ ${\displaystyle \operatorname {GF} (2)[x]}$ ${\displaystyle \operatorname {GF} (2^{8})}$

ElAgregar clave redonda

En el paso AddRoundKey , cada byte del estado se combina con un byte de la subclave redonda utilizando la operación XOR (⊕).

En el paso AddRoundKey , la subclave se combina con el estado. Para cada ronda, se deriva una subclave de la clave principal utilizando el esquema de claves de Rijndael ; cada subclave tiene el mismo tamaño que el estado. La subclave se agrega combinando el estado con el byte correspondiente de la subclave utilizando XOR bit a bit .

Optimización del cifrado

En sistemas con palabras de 32 bits o más, es posible acelerar la ejecución de este cifrado combinando los pasos SubBytes y ShiftRows con el paso MixColumns transformándolos en una secuencia de búsquedas de tabla. Esto requiere cuatro tablas de 32 bits con 256 entradas (que juntas ocupan 4096 bytes). Luego se puede realizar una ronda con 16 operaciones de búsqueda de tabla y 12 operaciones de "o" exclusivas de 32 bits, seguidas de cuatro operaciones de "o" exclusivas de 32 bits en el paso AddRoundKey . ^[12] Alternativamente, la operación de búsqueda de tabla se puede realizar con una sola tabla de 32 bits con 256 entradas (que ocupa 1024 bytes) seguida de operaciones de rotación circular.

Utilizando un enfoque orientado a bytes, es posible combinar los pasos SubBytes , ShiftRows y MixColumns en una sola operación de ronda. ^[13]

Seguridad

La Agencia de Seguridad Nacional (NSA) revisó todos los finalistas del AES, incluido Rijndael, y declaró que todos ellos eran lo suficientemente seguros para los datos no clasificados del gobierno de los EE. UU. En junio de 2003, el gobierno de los EE. UU. anunció que el AES podría usarse para proteger la información clasificada :

El diseño y la solidez de todas las longitudes de clave del algoritmo AES (es decir, 128, 192 y 256) son suficientes para proteger la información clasificada hasta el nivel SECRETO. La información TOP SECRET requerirá el uso de longitudes de clave de 192 o 256. La implementación de AES en productos destinados a proteger sistemas y/o información de seguridad nacional debe ser revisada y certificada por la NSA antes de su adquisición y uso. ^[14]

AES tiene 10 rondas para claves de 128 bits, 12 rondas para claves de 192 bits y 14 rondas para claves de 256 bits.

En 2006, los ataques más conocidos fueron de 7 rondas para claves de 128 bits, 8 rondas para claves de 192 bits y 9 rondas para claves de 256 bits. ^[15]

Ataques conocidos

Para los criptógrafos, una "ruptura" criptográfica es cualquier cosa más rápida que un ataque de fuerza bruta , es decir, realizar un descifrado de prueba para cada clave posible en secuencia (ver Criptoanálisis § Recursos computacionales requeridos ) . Por lo tanto, una ruptura puede incluir resultados que no son factibles con la tecnología actual. A pesar de ser poco prácticas, las rupturas teóricas a veces pueden proporcionar información sobre patrones de vulnerabilidad. El mayor ataque de fuerza bruta conocido públicamente y exitoso contra un algoritmo de cifrado de bloques ampliamente implementado fue contra una clave RC5 de 64 bits por distributed.net en 2006. ^[16]  

El espacio de claves aumenta en un factor de 2 por cada bit adicional de longitud de clave, y si cada valor posible de la clave es equiprobable, esto se traduce en una duplicación del tiempo promedio de búsqueda de claves por fuerza bruta con cada bit adicional de longitud de clave. Esto implica que el esfuerzo de una búsqueda por fuerza bruta aumenta exponencialmente con la longitud de la clave. La longitud de la clave en sí no implica seguridad contra ataques, ya que hay cifrados con claves muy largas que se han encontrado vulnerables.

AES tiene un marco algebraico bastante simple. ^[17] En 2002, un ataque teórico, llamado " ataque XSL ", fue anunciado por Nicolas Courtois y Josef Pieprzyk , que pretendía mostrar una debilidad en el algoritmo AES, parcialmente debido a la baja complejidad de sus componentes no lineales. ^[18] Desde entonces, otros artículos han demostrado que el ataque, tal como se presentó originalmente, es inviable; consulte Ataque XSL a cifrados de bloque .

Durante el proceso de selección de AES, los desarrolladores de algoritmos competidores escribieron sobre el algoritmo de Rijndael: "estamos preocupados por [su] uso ... en aplicaciones críticas para la seguridad". ^[19] Sin embargo, en octubre de 2000, al final del proceso de selección de AES, Bruce Schneier , un desarrollador del algoritmo competidor Twofish , escribió que si bien pensaba que algún día se desarrollarían ataques académicos exitosos contra Rijndael, "no creía que alguien alguna vez descubriría un ataque que permitiera a alguien leer el tráfico de Rijndael". ^[20]

Hasta mayo de 2009, los únicos ataques publicados con éxito contra el AES completo eran ataques de canal lateral en algunas implementaciones específicas. En 2009, se descubrió un nuevo ataque de clave relacionada que explota la simplicidad del programa de claves de AES y tiene una complejidad de 2 ¹¹⁹ . En diciembre de 2009 se mejoró a 2 ^99,5 . ^[2] Este es un seguimiento de un ataque descubierto anteriormente en 2009 por Alex Biryukov , Dmitry Khovratovich e Ivica Nikolić, con una complejidad de 2 ⁹⁶ para una de cada 2 ³⁵ claves. ^[21] Sin embargo, los ataques de clave relacionada no son motivo de preocupación en ningún protocolo criptográfico diseñado adecuadamente, ya que un protocolo diseñado adecuadamente (es decir, software de implementación) se encargará de no permitir claves relacionadas, esencialmente restringiendo los medios de un atacante para seleccionar claves por relación.

Otro ataque fue publicado en su blog por Bruce Schneier ^[3] el 30 de julio de 2009 y publicado como preimpresión ^[22] el 3 de agosto de 2009. Este nuevo ataque, de Alex Biryukov, Orr Dunkelman , Nathan Keller, Dmitry Khovratovich y Adi Shamir , es contra AES-256 que usa solo dos claves relacionadas y 2 ³⁹ tiempo para recuperar la clave completa de 256 bits de una versión de 9 rondas, o 2 ⁴⁵ tiempo para una versión de 10 rondas con un tipo más fuerte de ataque de subclave relacionada, o 2 ⁷⁰ tiempo para una versión de 11 rondas. AES de 256 bits usa 14 rondas, por lo que estos ataques no son efectivos contra AES completo.

La viabilidad de estos ataques con claves relacionadas más fuertes ha sido criticada, ^[23] por ejemplo, en el artículo sobre ataques de relaciones de clave elegida en el medio en AES-128 escrito por Vincent Rijmen en 2010. ^[24]

En noviembre de 2009, se publicó como preimpresión el primer ataque de distinción de clave conocida contra una versión reducida de 8 rondas de AES-128. ^[25] Este ataque de distinción de clave conocida es una mejora del ataque de rebote, o de inicio desde el medio, contra permutaciones similares a AES, que consideran dos rondas consecutivas de permutación como la aplicación de una denominada Super-S-box. Funciona en la versión de 8 rondas de AES-128, con una complejidad de tiempo de 2 ⁴⁸ y una complejidad de memoria de 2 ^32. AES de 128 bits utiliza 10 rondas, por lo que este ataque no es efectivo contra AES-128 completo.

Los primeros ataques de recuperación de claves en AES completos fueron realizados por Andrey Bogdanov, Dmitry Khovratovich y Christian Rechberger, y se publicaron en 2011. ^[26] El ataque es un ataque biclicuo y es más rápido que la fuerza bruta por un factor de aproximadamente cuatro. Requiere 2 ^126,2 operaciones para recuperar una clave AES-128. Para AES-192 y AES-256, se necesitan 2 ^190,2 y 2 ^254,6 operaciones, respectivamente. Este resultado se ha mejorado aún más a 2 ^126,0 para AES-128, 2 ^189,9 para AES-192 y 2 ^254,3 para AES-256, ^[27] que son los mejores resultados actuales en ataques de recuperación de claves contra AES.

Esta es una ganancia muy pequeña, ya que una clave de 126 bits (en lugar de 128 bits) aún tardaría miles de millones de años en ser atacada por fuerza bruta en el hardware actual y previsible. Además, los autores calculan que el mejor ataque utilizando su técnica en AES con una clave de 128 bits requiere almacenar 2,88 ^bits de datos. Eso equivale a unos 38 billones de terabytes de datos, que era más que todos los datos almacenados en todas las computadoras del planeta en 2016. ^[28] Un artículo de 2015 mejoró posteriormente la complejidad espacial a 2,56 ^bits , ^[27] que son 9007 terabytes (manteniendo una complejidad temporal de 2126,2 ⁾ .

Según los documentos de Snowden , la NSA está investigando si un ataque criptográfico basado en la estadística tau puede ayudar a romper el AES. ^[29]

En la actualidad, no se conoce ningún ataque práctico que permita a alguien sin conocimiento de la clave leer datos cifrados por AES cuando se implementa correctamente.

Ataques de canal lateral

Los ataques de canal lateral no atacan al cifrado como una caja negra y, por lo tanto, no están relacionados con la seguridad del cifrado según se define en el contexto clásico, pero son importantes en la práctica. Atacan implementaciones del cifrado en sistemas de hardware o software que filtran datos inadvertidamente. Existen varios ataques conocidos de este tipo en varias implementaciones de AES.

En abril de 2005, D. J. Bernstein anunció un ataque de sincronización de caché que utilizó para romper un servidor personalizado que utilizaba el cifrado AES de OpenSSL . ^[30] El ataque requirió más de 200 millones de textos simples seleccionados. ^[31] El servidor personalizado fue diseñado para proporcionar la mayor cantidad posible de información de sincronización (el servidor informa el número de ciclos de máquina que toma la operación de cifrado). Sin embargo, como señaló Bernstein, "reducir la precisión de las marcas de tiempo del servidor, o eliminarlas de las respuestas del servidor, no detiene el ataque: el cliente simplemente utiliza tiempos de ida y vuelta basados ​​en su reloj local y compensa el aumento de ruido promediando sobre un mayor número de muestras". ^[30]

En octubre de 2005, Dag Arne Osvik, Adi Shamir y Eran Tromer presentaron un artículo que demostraba varios ataques de sincronización de caché contra las implementaciones de AES que se encuentran en OpenSSL y dm-cryptla función de cifrado de particiones de Linux. ^[32] Un ataque pudo obtener una clave AES completa después de solo 800 operaciones que activaron cifrados, en un total de 65 milisegundos. Este ataque requiere que el atacante pueda ejecutar programas en el mismo sistema o plataforma que está ejecutando AES.

En diciembre de 2009 se publicó un ataque a algunas implementaciones de hardware que utilizaba análisis de fallas diferenciales y permitía recuperar una clave con una complejidad de 2 ³² . ^[33]

En noviembre de 2010, Endre Bangerter, David Gullasch y Stephan Krenn publicaron un artículo que describía un enfoque práctico para la recuperación "casi en tiempo real" de claves secretas de AES-128 sin necesidad de texto cifrado o texto sin formato. El enfoque también funciona en implementaciones de AES-128 que utilizan tablas de compresión, como OpenSSL. ^[34] Al igual que algunos ataques anteriores, este requiere la capacidad de ejecutar código sin privilegios en el sistema que realiza el cifrado AES, lo que se puede lograr mediante una infección de malware mucho más fácilmente que tomando el control de la cuenta raíz. ^[35]

En marzo de 2016, Ashokkumar C., Ravi Prakash Giri y Bernard Menezes presentaron un ataque de canal lateral a las implementaciones de AES que puede recuperar la clave AES completa de 128 bits en solo 6 o 7 bloques de texto simple o cifrado, lo que representa una mejora sustancial con respecto a trabajos anteriores que requieren entre 100 y un millón de cifrados. ^[36] El ataque propuesto requiere privilegios de usuario estándar y algoritmos de recuperación de clave que se ejecutan en menos de un minuto.

Muchas CPU modernas tienen instrucciones de hardware integradas para AES , que protegen contra ataques de canal lateral relacionados con el tiempo. ^{[37] [38]}

Ataques cuánticos

Se considera que el AES-256 es resistente a los ataques cuánticos , ya que tiene una resistencia cuántica similar a la del AES-128 contra ataques tradicionales no cuánticos con 128 bits de seguridad . El AES-192 y el AES-128 no se consideran resistentes a los ataques cuánticos debido a sus tamaños de clave más pequeños. El AES-192 tiene una resistencia de 96 bits contra ataques cuánticos y el AES-128 tiene una resistencia de 64 bits contra ataques cuánticos, lo que los hace inseguros. ^{[39] [40]}

Validación NIST/CSEC

El Programa de Validación de Módulos Criptográficos (CMVP, por sus siglas en inglés) es operado conjuntamente por la División de Seguridad Informática del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) del Gobierno de los Estados Unidos y el Establecimiento de Seguridad de las Comunicaciones (CSE, por sus siglas en inglés) del Gobierno de Canadá. El Gobierno de los Estados Unidos exige el uso de módulos criptográficos validados según la norma FIPS 140-2 del NIST para el cifrado de todos los datos que tengan una clasificación de Sensible pero No Clasificado (SBU, por sus siglas en inglés) o superior. Según el NSTISSP #11, Política Nacional que Rige la Adquisición de Garantía de la Información: "Los productos de cifrado para proteger información clasificada serán certificados por la NSA, y los productos de cifrado destinados a proteger información sensible serán certificados de acuerdo con la norma FIPS 140-2 del NIST". ^[41]

El Gobierno de Canadá también recomienda el uso de módulos criptográficos validados FIPS 140 en aplicaciones no clasificadas de sus departamentos.

Aunque la publicación NIST 197 ("FIPS 197") es el único documento que cubre el algoritmo AES, los proveedores normalmente se acercan al CMVP bajo FIPS 140 y piden que se validen varios algoritmos (como Triple DES o SHA1 ) al mismo tiempo. Por lo tanto, es raro encontrar módulos criptográficos que estén validados exclusivamente por FIPS 197 y el propio NIST no suele tomarse el tiempo de enumerar los módulos validados por FIPS 197 por separado en su sitio web público. En cambio, la validación por FIPS 197 normalmente se enumera simplemente como una notación "aprobado por FIPS: AES" (con un número de certificado FIPS 197 específico) en la lista actual de módulos criptográficos validados por FIPS 140.

El Programa de Validación de Algoritmos Criptográficos (CAVP) ^[42] permite la validación independiente de la correcta implementación del algoritmo AES. La validación exitosa da como resultado la inclusión en la página de validaciones del NIST. ^[43] Esta prueba es un requisito previo para la validación del módulo FIPS 140-2. Sin embargo, la validación exitosa del CAVP no implica de ninguna manera que el módulo criptográfico que implementa el algoritmo sea seguro. Un módulo criptográfico que carece de validación FIPS 140-2 o aprobación específica por parte de la NSA no es considerado seguro por el Gobierno de los EE. UU. y no puede usarse para proteger datos gubernamentales. ^[41]

La validación FIPS 140-2 es un desafío tanto técnico como fiscal. ^[44] Existe una batería estandarizada de pruebas, así como un elemento de revisión del código fuente que debe aprobarse en un período de unas pocas semanas. El costo de realizar estas pruebas a través de un laboratorio aprobado puede ser significativo (por ejemplo, más de $30,000 USD) ^[44] y no incluye el tiempo que lleva escribir, probar, documentar y preparar un módulo para la validación. Después de la validación, los módulos deben volver a enviarse y evaluarse si se modifican de alguna manera. Esto puede variar desde simples actualizaciones de papeleo si la funcionalidad de seguridad no cambió hasta un conjunto más sustancial de nuevas pruebas si la funcionalidad de seguridad se vio afectada por el cambio.

Vectores de prueba

Los vectores de prueba son un conjunto de cifras conocidas para una entrada y una clave determinadas. El NIST distribuye la referencia de los vectores de prueba AES como vectores de prueba de respuesta conocida (KAT) de AES. ^{[nota 7]}

Actuación

La alta velocidad y los bajos requisitos de memoria RAM fueron algunos de los criterios del proceso de selección de AES. Como algoritmo elegido, AES tuvo un buen desempeño en una amplia variedad de hardware, desde tarjetas inteligentes de 8 bits hasta computadoras de alto rendimiento.

En un Pentium Pro , el cifrado AES requiere 18 ciclos de reloj por byte (cpb), ^[45] equivalente a un rendimiento de aproximadamente 11 MiB/s para un procesador de 200 MHz.

En las CPU Intel Core y AMD Ryzen que admiten extensiones de conjuntos de instrucciones AES-NI , el rendimiento puede ser de varios GiB/s. ^[46] En una CPU Intel Westmere , el cifrado AES mediante AES-NI requiere aproximadamente 1,3 cpb para AES-128 y 1,8 cpb para AES-256. ^[47]

Implementaciones

Véase también

• Modos de funcionamiento de AES
• Cifrado de disco
• Whirlpool : función hash creada por Vincent Rijmen y Paulo SLM Barreto
• Lista de paquetes de software libre y de código abierto

Notas

1. El algoritmo Rijndael admite tamaños de clave de 128, 160, 192, 224 y 256 bits, pero en el estándar AES solo se especifican tamaños de clave de 128, 192 y 256 bits.
2. El algoritmo Rijndael admite tamaños de bloque de 128, 160, 192, 224 y 256 bits para cada tamaño de clave, pero en el estándar AES solo se especifica el tamaño de bloque de 128 bits.
3. Consulte el proceso del Estándar de cifrado avanzado para obtener más detalles.
4. Ver Seguridad de AES a continuación.
5. Las variantes de bloque grande de Rijndael utilizan una matriz con columnas adicionales, pero siempre cuatro filas.
6. Las variantes de Rijndael con un tamaño de bloque mayor tienen desplazamientos ligeramente diferentes. Para bloques de 128 y 192 bits, el patrón de desplazamiento es el mismo. La fila se desplaza hacia la izquierda en forma circular por bytes. Para un bloque de 256 bits, la primera fila no cambia y el desplazamiento para la segunda, tercera y cuarta fila es de 1 byte, 3 bytes y 4 bytes respectivamente. Este cambio solo se aplica al cifrado Rijndael cuando se utiliza con un bloque de 256 bits, ya que AES no utiliza bloques de 256 bits. ${\displaystyle n}$ ${\displaystyle n-1}$
7. Los vectores de la prueba de respuesta conocida (KAT) de AES están disponibles en formato Zip en el sitio del NIST aquí Archivado el 23 de octubre de 2009 en Wayback Machine.

Referencias

1. "Criptoanálisis biclique del AES completo" (PDF) . Archivado desde el original (PDF) el 6 de marzo de 2016. Consultado el 1 de mayo de 2019 .
2. Alex Biryukov y Dmitry Khovratovich, Criptoanálisis de claves relacionadas de AES-192 y AES-256 completos , "Criptoanálisis de claves relacionadas de AES-192 y AES-256 completos". Tabla 1. Archivado desde el original el 28 de septiembre de 2009. Consultado el 16 de febrero de 2010 .
3. Bruce Schneier (30 de julio de 2009). "Otro nuevo ataque AES". Schneier on Security, un blog que cubre la seguridad y la tecnología de seguridad . Archivado desde el original el 5 de octubre de 2009. Consultado el 11 de marzo de 2010 .
4. Alex Biryukov; Orr Dunkelman; Nathan Keller; Dmitry Khovratovich; Adi Shamir (19 de agosto de 2009). "Ataques de recuperación de claves de complejidad práctica en variantes de AES con hasta 10 rondas". Archivado desde el original el 28 de enero de 2010. Consultado el 11 de marzo de 2010 .
5. Daemen, Joan; Rijmen, Vincent (9 de marzo de 2003). «AES Proposal: Rijndael» (PDF) . Instituto Nacional de Normas y Tecnología. pág. 1. Archivado (PDF) desde el original el 5 de marzo de 2013. Consultado el 21 de febrero de 2013 .
6. "Anuncio del ESTÁNDAR DE ENCRIPTACIÓN AVANZADA (AES)" (PDF) . Publicación 197 de las Normas Federales de Procesamiento de Información . Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. 26 de noviembre de 2001. Archivado (PDF) desde el original el 23 de agosto de 2024 . Consultado el 26 de agosto de 2024 .
7. Joan Daemen y Vincent Rijmen (3 de septiembre de 1999). "Propuesta de la AES: Rijndael" (PDF) . Archivado desde el original (PDF) el 3 de febrero de 2007.
8. John Schwartz (3 de octubre de 2000). «Estados Unidos selecciona una nueva técnica de cifrado». New York Times . Archivado desde el original el 28 de marzo de 2017.
9. Westlund, Harold B. (2002). "NIST reports measurable success of Advanced Encryption Standard". Revista de investigación del Instituto Nacional de Normas y Tecnología . Archivado desde el original el 3 de noviembre de 2007.
10. "ISO/IEC 18033-3: Tecnología de la información – Técnicas de seguridad – Algoritmos de cifrado – Parte 3: Cifrados en bloque". Archivado desde el original el 3 de diciembre de 2013.
11. Bruce Schneier; John Kelsey; Doug Whiting; David Wagner; Chris Hall; Niels Ferguson; Tadayoshi Kohno; et al. (mayo de 2000). "Comentarios finales del equipo Twofish sobre la selección de AES" (PDF) . Archivado (PDF) desde el original el 2 de enero de 2010.
12. Bertoni, Guido; Breveglieri, Luca; Fragneto, Pasqualina; MacChetti, Marco; Marchesin, Stefano (2003). "Implementación eficiente de software de AES en plataformas de 32 bits". Hardware criptográfico y sistemas integrados - CHES 2002. Apuntes de clase en informática. Vol. 2523. págs. 159–171. doi :10.1007/3-540-36400-5_13. ISBN 978-3-540-00409-7.
13. "byte-oriented-aes – Una implementación orientada a bytes de dominio público de AES en C – Google Project Hosting". Archivado desde el original el 20 de julio de 2013. Consultado el 23 de diciembre de 2012 .
14. Lynn Hathaway (junio de 2003). «Política nacional sobre el uso del estándar de cifrado avanzado (AES) para proteger los sistemas de seguridad nacional y la información de seguridad nacional» (PDF) . Archivado (PDF) desde el original el 6 de noviembre de 2010. Consultado el 15 de febrero de 2011 .
15. John Kelsey , Stefan Lucks , Bruce Schneier , Mike Stay, David Wagner y Doug Whiting, Improved Cryptanalysis of Rijndael , Fast Software Encryption , 2000 pp213–230 "Academic: Improved Cryptanalysis of Rijndael - Schneier on Security". Archivado desde el original el 23 de febrero de 2007. Consultado el 6 de marzo de 2007 .
16. Ou, George (30 de abril de 2006). "¿Es realmente descifrable el cifrado?". Ziff-Davis. Archivado desde el original el 8 de agosto de 2010. Consultado el 7 de agosto de 2010 .
17. "Sean Murphy". Universidad de Londres. Archivado desde el original el 31 de enero de 2009. Consultado el 2 de noviembre de 2008 .
18. Bruce Schneier. "AES News, Crypto-Gram Newsletter, 15 de septiembre de 2002". Archivado desde el original el 7 de julio de 2007. Consultado el 27 de julio de 2007 .
19. Niels Ferguson ; Richard Schroeppel ; Doug Whiting (2001). "Una representación algebraica simple de Rijndael". Actas de Selected Areas in Cryptography, 2001, Lecture Notes in Computer Science . Springer-Verlag . págs. 103–111. CiteSeerX 10.1.1.28.4921 . Archivado desde el original (PDF/ PostScript ) el 4 de noviembre de 2006 . Consultado el 6 de octubre de 2006 . 
20. Bruce Schneier, AES Announced Archivado el 1 de febrero de 2009 en Wayback Machine , 15 de octubre de 2000
21. Nikolić, Ivica (2009). "Distinguisher and Related-Key Attack on the Full AES-256". Avances en criptología - CRYPTO 2009. Apuntes de clase en informática. Vol. 5677. Springer Berlin / Heidelberg. págs. 231–249. doi :10.1007/978-3-642-03356-8_14. ISBN 978-3-642-03355-1.
22. Alex Biryukov; Orr Dunkelman; Nathan Keller; Dmitry Khovratovich; Adi Shamir (19 de agosto de 2009). "Ataques de recuperación de claves de complejidad práctica en variantes de AES con hasta 10 rondas". Archivado desde el original el 28 de enero de 2010. Consultado el 11 de marzo de 2010 .
23. Agren, Martin (2012). On Some Symmetric Lightweight Cryptographic Designs (Sobre algunos diseños criptográficos ligeros simétricos ). Tesis doctoral, Universidad de Lund, págs. 38-39.
24. Vincent Rijmen (2010). "Ataque de título práctico contra AES-128 usando relaciones de texto elegido" (PDF) . Archivo de la edición electrónica de criptología de la IACR . Archivado (PDF) desde el original el 2 de julio de 2010.
25. Henri Gilbert; Thomas Peyrin (9 de noviembre de 2009). "Criptoanálisis Super-Sbox: ataques mejorados para permutaciones similares a AES". Archivo de publicaciones electrónicas de criptología de la IACR . Archivado desde el original el 4 de junio de 2010. Consultado el 11 de marzo de 2010 .
26. Andrey Bogdanov; Dmitry Khovratovich y Christian Rechberger (2011). "Criptoanálisis biclique del AES completo" (PDF) . Archivado desde el original (PDF) el 5 de septiembre de 2012.
27. Biaoshuai Tao y Hongjun Wu (2015). "Mejora del criptoanálisis biclique de AES". Seguridad de la información y privacidad . Apuntes de clase en informática. Vol. 9144. págs. 39–56. doi :10.1007/978-3-319-19962-7_3. ISBN 978-3-319-19961-0.
28. Jeffrey Goldberg (18 de agosto de 2011). «El cifrado AES no se ha descifrado». Archivado desde el original el 8 de enero de 2015. Consultado el 30 de diciembre de 2014 .
29. SPIEGEL ONLINE, Hamburgo, Alemania (28 de diciembre de 2014). «Dentro de la guerra de la NSA contra la seguridad en Internet». SPIEGEL ONLINE . Archivado desde el original el 24 de enero de 2015. Consultado el 4 de septiembre de 2015 .
30. "Índice de artículos científicos formales". Cr.yp.to. Archivado desde el original el 17 de septiembre de 2008. Consultado el 2 de noviembre de 2008 .
31. Bruce Schneier. "Ataque temporal AES". Archivado desde el original el 12 de febrero de 2007. Consultado el 17 de marzo de 2007 .
32. Dag Arne Osvik; Adi Shamir; Eran Tromer (20 de noviembre de 2005). "Ataques de caché y contramedidas: el caso de AES" (PDF) . The Cryptographer's Track en la Conferencia RSA de 2006. doi : 10.1007/11605805_1. Archivado (PDF) desde el original el 19 de junio de 2006. Consultado el 2 de noviembre de 2008 .
33. Dhiman Saha; Debdeep Mukhopadhyay; Dipanwita RoyChowdhury. "Un ataque de falla diagonal en el estándar de cifrado avanzado" (PDF) . Archivo de la IACR Cryptology ePrint . Archivado (PDF) desde el original el 22 de diciembre de 2009. Consultado el 8 de diciembre de 2009 .
34. Endre Bangerter; David Gullasch y Stephan Krenn (2010). "Juegos de caché: cómo llevar a la práctica los ataques de caché basados ​​en acceso a AES" (PDF) . Archivo de la edición impresa de IACR Cryptology . Archivado (PDF) desde el original el 14 de diciembre de 2010.
35. "Rompiendo el código AES-128 en tiempo real, sin necesidad de texto cifrado". Hacker News. Archivado desde el original el 2011-10-03 . Consultado el 2012-12-23 .
36. Ashokkumar C.; Ravi Prakash Giri; Bernard Menezes (2016). Simposio europeo IEEE sobre seguridad y privacidad de 2016 (EuroS&P) . págs. 261–275. doi :10.1109/EuroSP.2016.29. ISBN 978-1-5090-1751-5. Número de identificación del sujeto  11251391.
37. "¿Son aún factibles los ataques de sincronización de caché AES x86?" (PDF) . cseweb.ucsd.edu . Archivado (PDF) del original el 2017-08-09.
38. "Securing the Enterprise with Intel AES-NI" (PDF) . Intel Corporation . Archivado (PDF) del original el 2013-03-31 . Consultado el 2017-07-26 .
39. Bonnetain, Xavier; Naya-Plasencia, María; Schrottenloher, André (6 de diciembre de 2019). "Análisis de seguridad cuántica de AES". HAL : 40.
40. O'Shea, Dan (26 de abril de 2022). «AES-256 se suma a la resistencia cuántica». Fierce Electronics . Consultado el 26 de septiembre de 2023 .
41. "NSTISSP No. 11, Hoja informativa revisada, Política nacional de adquisición de garantía de la información" (PDF) . Archivado desde el original (PDF) el 2012-04-21 . Consultado el 2012-05-29 .
42. "NIST.gov – División de Seguridad Informática – Centro de Recursos de Seguridad Informática". Csrc.nist.gov. Archivado desde el original el 2013-01-02 . Consultado el 2012-12-23 .
43. "Módulos criptográficos FIPS 140-1 y FIPS 140-2 validados". Archivado desde el original el 26 de diciembre de 2014. Consultado el 26 de junio de 2014 .
44. OpenSSL, [email protected]. «Notas de OpenSSL sobre la certificación FIPS». Openssl.org. Archivado desde el original el 2013-01-02 . Consultado el 2012-12-23 .
45. Schneier, Bruce; Kelsey, John; Whiting, Doug; Wagner, David; Hall, Chris; Ferguson, Niels (1999-02-01). "Comparaciones de rendimiento de las propuestas de AES" (PDF) . Archivado (PDF) desde el original el 2011-06-22 . Consultado el 2010-12-28 .
46. "Revisión del AMD Ryzen 7 1700X".
47. "Nuevo conjunto de instrucciones del estándar de cifrado avanzado (AES) de Intel®" (PDF) . Mayo de 2010.

• Courtois, Nicolas; Pieprzyk, Josef (2003). "Criptoanálisis de cifrados de bloques con sistemas de ecuaciones sobredefinidos". En Zheng, Yuliang (ed.). Avances en criptología – ASIACRYPT 2002: 8.ª Conferencia internacional sobre la teoría y la aplicación de la criptología y la seguridad de la información, Queenstown, Nueva Zelanda, 1-5 de diciembre de 2002, Actas . Springer. págs. 268-287. ISBN . 978-3-540-36178-7.
• Daemen, Joan; Rijmen, Vincent (2002). El diseño de Rijndael: AES – El estándar de cifrado avanzado. Springer. ISBN 978-3-540-42580-9.
• Paar, Christof; Pelzl, Jan (2009). Entender la criptografía: un libro de texto para estudiantes y profesionales. Springer. pp. 87–122. ISBN 978-3-642-04101-3.Enlace alternativo (el sitio web complementario contiene conferencias en línea sobre AES)

Enlaces externos

• "Clave de 256 bits – Bloque de 128 bits – AES". Criptografía – Cifrados de 256 bits: Código fuente de referencia y propuestas para concursos internacionales de diseño criptográfico . EmbeddedSW.
• "Estándar de cifrado avanzado (AES)" (PDF) . Normas federales de procesamiento de información . 26 de noviembre de 2001. doi : 10.6028/NIST.FIPS.197 . 197.
• Información de archivo del algoritmo AES (antiguo, sin mantenimiento)
• "Parte 3: Cifrados en bloque" (PDF) . Tecnología de la información – Técnicas de seguridad – Algoritmos de cifrado (2.ª ed.). ISO. 2010-12-15. ISO/IEC 18033-3:2010(E). Archivado (PDF) desde el original el 2022-10-09.
• Animación de Rijndael – AES explicado en profundidad y animado usando Flash (por Enrique Zabala / Universidad ORT / Montevideo / Uruguay). Esta animación (en inglés, español y alemán) también es parte de CrypTool 1 (menú Procedimientos individuales → Visualización de algoritmos → AES).
• Animación HTML5 de Rijndael: la misma animación que la anterior realizada en HTML5.