Proceso del Estándar de cifrado avanzado

Proceso de desarrollo del estándar AES

El Estándar de cifrado avanzado (AES), el cifrado de bloques simétrico ratificado como estándar por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), fue elegido mediante un proceso que duró desde 1997 hasta 2000 y que fue notablemente más abierto y transparente que su predecesor, el Estándar de cifrado de datos (DES). Este proceso recibió elogios de la comunidad criptográfica abierta y ayudó a aumentar la confianza en la seguridad del algoritmo ganador por parte de aquellos que desconfiaban de las puertas traseras en el predecesor, DES.

Se necesitaba un nuevo estándar principalmente porque DES tenía una clave relativamente pequeña de 56 bits que se estaba volviendo vulnerable a ataques de fuerza bruta . Además, DES fue diseñado principalmente para hardware y era relativamente lento cuando se implementaba en software. ^[1] Si bien Triple-DES evita el problema de un tamaño de clave pequeño, es muy lento incluso en hardware, no es adecuado para plataformas con recursos limitados y puede verse afectado por posibles problemas de seguridad relacionados con el tamaño de bloque (hoy comparativamente pequeño) de 64 bits.

Inicio del proceso

El 2 de enero de 1997, el NIST anunció que deseaba elegir un sucesor del DES, que se conocería como AES. Al igual que el DES, se trataría de "un algoritmo de cifrado no clasificado y de divulgación pública capaz de proteger información gubernamental sensible hasta bien entrado el próximo siglo". ^[2] Sin embargo, en lugar de simplemente publicar un sucesor, el NIST pidió a las partes interesadas que aportaran sus opiniones sobre cómo debería elegirse al sucesor. El interés de la comunidad criptográfica abierta fue intenso de inmediato y el NIST recibió una gran cantidad de propuestas durante el período de comentarios de tres meses.

El resultado de esta retroalimentación fue una convocatoria de nuevos algoritmos el 12 de septiembre de 1997. ^[3] Todos los algoritmos debían ser cifrados de bloque, que admitieran un tamaño de bloque de 128 bits y tamaños de clave de 128, 192 y 256 bits. Dichos cifrados eran poco comunes en el momento del anuncio; el más conocido probablemente era Square .

Rondas uno, dos y tres

En los nueve meses siguientes, se crearon y enviaron quince diseños de varios países. Estos fueron, en orden alfabético: CAST-256 , CRYPTON , DEAL , DFC , E2 , FROG , HPC , LOKI97 , MAGENTA , MARS , RC6 , Rijndael , SAFER+ , Serpent y Twofish .

En el debate que siguió, los criptógrafos investigaron muchas ventajas y desventajas de los candidatos; se evaluaron no solo en términos de seguridad, sino también en términos de rendimiento en una variedad de entornos (PC de varias arquitecturas, tarjetas inteligentes, implementaciones de hardware) y en términos de su viabilidad en entornos limitados (tarjetas inteligentes con memoria muy limitada, implementaciones con bajo número de puertas, FPGA).

Algunos diseños cayeron debido a criptoanálisis que iban desde fallas menores hasta ataques significativos, mientras que otros perdieron popularidad debido a un desempeño pobre en varios entornos o por tener poco que ofrecer sobre otros candidatos. NIST celebró dos conferencias para discutir las propuestas (AES1, agosto de 1998 y AES2, marzo de 1999 ^{[4] [5] [6]} ), y en agosto de 1999 anunciaron ^[7] que estaban reduciendo el campo de quince a cinco: MARS , RC6 , Rijndael , Serpent y Twofish . Los cinco algoritmos, comúnmente conocidos como "finalistas AES", fueron diseñados por criptógrafos considerados bien conocidos y respetados en la comunidad. Las votaciones de la conferencia AES2 fueron las siguientes: ^[8]

• Rijndael : 77 positivos, 1 negativo
• RC6 : 79 positivos, 6 negativos
• Twofish : 64 positivos, 3 negativos
• MARTE : 58 positivos, 6 negativos
• Serpiente : 52 positivos, 7 negativos
• E2 : 27 positivos, 13 negativos
• CAST-256 : 16 positivos, 18 negativos
• SAFER+ : 20 positivos, 24 negativos
• DFC : 22 positivos, 27 negativos
• Crypton : 16 positivos, 31 negativos
• OFERTA : 1 positivo, 71 negativos
• HPC : 1 positivo, 78 negativos
• MAGENTA : 1 positivo, 84 negativos
• Rana : 1 positivo, 86 negativos
• LOKI97 : 1 positivo, 86 negativos

Siguió una nueva ronda de intensos análisis y criptoanálisis que culminó en la conferencia AES3 en abril de 2000, en la que un representante de cada uno de los cinco equipos finalistas hizo una presentación argumentando por qué su diseño debería ser elegido como el AES. Las votaciones de la conferencia AES3 fueron las siguientes: ^[9]

• Rijndael : 86 positivos, 10 negativos
• Serpiente : 59 positivos, 7 negativos
• Twofish : 31 positivos, 21 negativos
• RC6 : 23 positivos, 37 negativos
• MARTE : 13 positivos, 84 negativos

Selección del ganador

El 2 de octubre de 2000, el NIST anunció ^[10] que Rijndael había sido seleccionado como el estándar AES propuesto y comenzó el proceso para convertirlo en el estándar oficial mediante la publicación de un anuncio en el Registro Federal ^[11] el 28 de febrero de 2001 para que el borrador de FIPS solicitara comentarios. El 26 de noviembre de 2001, el NIST anunció que el AES había sido aprobado como FIPS PUB 197.

El NIST recibió elogios de la comunidad criptográfica por la apertura y el cuidado con el que llevó a cabo el proceso de normalización. Bruce Schneier , uno de los autores del algoritmo Twofish perdedor, escribió después de que terminó la competencia que "no tengo más que cosas buenas que decir sobre el NIST y el proceso AES". ^[12]

Véase también

• Concurso CAESAR – Concurso para diseñar esquemas de cifrado autenticado

• Competencia de funciones hash del NIST
• Estandarización de la criptografía post-cuántica

Referencias

1. "cryptology:: The Data Encryption Standard and the Advanced Encryption Standard" (Criptología:: El estándar de cifrado de datos y el estándar de cifrado avanzado). Britannica.com . Archivado desde el original el 14 de mayo de 2014. Consultado el 9 de octubre de 2018 .
2. "Anuncio del desarrollo de un estándar federal de procesamiento de información para el estándar de cifrado avanzado". csrc.nist.gov . 2 de enero de 1992 . Consultado el 9 de octubre de 2018 .
3. "Solicitud de nominaciones de algoritmos candidatos para AES". csrc.nist.gov . 12 de septiembre de 1997 . Consultado el 9 de octubre de 2018 .
4. Georgoudis, Dianelos. "En directo desde la Segunda Conferencia de la AES, día 1". Cryptome . Consultado el 7 de abril de 2019 .
5. Georgoudis, Dianelos. "En directo desde la Segunda Conferencia de la AES, día 2". Cryptome . Consultado el 7 de abril de 2019 .
6. Georgoudis, Dianelos. "Discusión sobre la Segunda Conferencia de la AES". Grupos de Google . Consultado el 30 de noviembre de 2019 .
7. "Desarrollo de AES - Estándares y pautas criptográficas". csrc.nist.gov . 29 de diciembre de 2016 . Consultado el 9 de octubre de 2018 .
8. "Desarrollo del estándar de cifrado avanzado" (PDF) . 2021. Archivado (PDF) del original el 20 de agosto de 2021. Consultado el 24 de noviembre de 2023 .
9. "Formulario de comentarios de la conferencia AES3: resumen" (PDF) . 28 de abril de 2000. Archivado (PDF) desde el original el 24 de noviembre de 2023 . Consultado el 24 de noviembre de 2023 .
10. Swenson, Gayle (2 de octubre de 2000). «El Departamento de Comercio anuncia al ganador de la competencia mundial de seguridad de la información». NIST . Consultado el 9 de octubre de 2018 .
11. NIST (28 de febrero de 2001). «Anuncio del borrador del estándar federal de procesamiento de información (FIPS) para el estándar de cifrado avanzado (AES) y solicitud de comentarios» (PDF) . Registro Federal . 66 :12762. Archivado (PDF) desde el original el 22 de octubre de 2012. Consultado el 9 de octubre de 2018 .
12. "Crypto-Gram: 15 de octubre de 2000 - Schneier sobre seguridad". www.schneier.com . 15 de octubre de 2000 . Consultado el 9 de octubre de 2018 .

Enlaces externos

• Se puede encontrar una descripción histórica del proceso en el sitio web del NIST .
• En el grupo de noticias sci.crypt , hay extensas discusiones sobre el proceso AES.