Процесс расширенного стандарта шифрования

Процесс разработки стандарта AES

Advanced Encryption Standard (AES), симметричный блочный шифр , ратифицированный в качестве стандарта Национальным институтом стандартов и технологий США (NIST), был выбран с помощью процесса, длившегося с 1997 по 2000 год, который был заметно более открытым и прозрачным, чем его предшественник, Data Encryption Standard (DES). Этот процесс получил похвалу от открытого криптографического сообщества и помог повысить уверенность в безопасности победившего алгоритма со стороны тех, кто с подозрением относился к бэкдорам в предшественнике, DES.

Новый стандарт был необходим в первую очередь потому, что DES имел относительно небольшой 56-битный ключ, который становился уязвимым для атак методом подбора . Кроме того, DES был разработан в первую очередь для аппаратного обеспечения и был относительно медленным при реализации в программном обеспечении. ^[1] Хотя Triple-DES избегает проблемы малого размера ключа, он очень медленный даже в аппаратном обеспечении, он не подходит для платформ с ограниченными ресурсами и может быть затронут потенциальными проблемами безопасности, связанными с (сегодня сравнительно небольшим) размером блока в 64 бита.

Начало процесса

2 января 1997 года NIST объявил, что они хотели бы выбрать преемника DES, который будет известен как AES. Как и DES, это должен был быть «несекретный, публично раскрытый алгоритм шифрования, способный защищать конфиденциальную правительственную информацию в следующем столетии». ^[2] Однако вместо того, чтобы просто опубликовать преемника, NIST запросил мнения заинтересованных сторон о том, как следует выбирать преемника. Интерес со стороны открытого криптографического сообщества сразу же стал интенсивным, и NIST получил большое количество предложений в течение трехмесячного периода комментариев.

Результатом этой обратной связи стал призыв к новым алгоритмам 12 сентября 1997 года. ^[3] Все алгоритмы должны были быть блочными шифрами, поддерживающими размер блока 128 бит и размеры ключей 128, 192 и 256 бит. Такие шифры были редки на момент объявления; самым известным, вероятно, был Square .

Раунды один, два и три

За последующие девять месяцев было создано и представлено пятнадцать проектов из нескольких стран. Они были перечислены в алфавитном порядке: CAST-256 , CRYPTON , DEAL , DFC , E2 , FROG , HPC , LOKI97 , MAGENTA , MARS , RC6 , Rijndael , SAFER+ , Serpent и Twofish .

В ходе последовавших дебатов криптографы исследовали множество преимуществ и недостатков кандидатов; они оценивались не только с точки зрения безопасности, но и с точки зрения производительности в различных условиях (ПК с различной архитектурой, смарт-карты, аппаратные реализации), а также с точки зрения их применимости в ограниченных средах (смарт-карты с очень ограниченным объемом памяти, реализации с малым количеством вентилей, ПЛИС).

Некоторые проекты потерпели неудачу из-за криптоанализа , который варьировался от незначительных недостатков до существенных атак, в то время как другие потеряли популярность из-за плохой производительности в различных средах или из-за того, что им было мало что предложить по сравнению с другими кандидатами. NIST провел две конференции для обсуждения заявок (AES1, август 1998 г. и AES2, март 1999 г. ^{[4] [5] [6]} ), и в августе 1999 г. они объявили ^[7] , что сужают круг с пятнадцати до пяти: MARS , RC6 , Rijndael , Serpent и Twofish . Все пять алгоритмов, обычно называемых «финалистами AES», были разработаны криптографами, считающимися известными и уважаемыми в сообществе. Голоса на конференции AES2 распределились следующим образом: ^[8]

• Rijndael : 77 положительных, 1 отрицательный
• RC6 : 79 положительных, 6 отрицательных
• Twofish : 64 положительных, 3 отрицательных
• МАРС : 58 положительных, 6 отрицательных
• Змея : 52 положительных, 7 отрицательных
• E2 : 27 положительных, 13 отрицательных
• CAST-256 : 16 положительных, 18 отрицательных
• SAFER+ : 20 положительных, 24 отрицательных
• DFC : 22 положительных, 27 отрицательных
• Криптон : 16 положительных, 31 отрицательный
• СДЕЛКА : 1 положительный, 71 отрицательный
• HPC : 1 положительный, 78 отрицательных
• МАГЕНТА : 1 положительный, 84 отрицательных
• Лягушка : 1 положительный, 86 отрицательных
• LOKI97 : 1 положительный, 86 отрицательных

Последовал еще один раунд интенсивного анализа и криптоанализа, кульминацией которого стала конференция AES3 в апреле 2000 года, на которой представитель каждой из пяти финальных команд выступил с презентацией, в которой аргументировал, почему их проект должен быть выбран в качестве AES. Голоса на конференции AES3 распределились следующим образом: ^[9]

• Rijndael : 86 положительных, 10 отрицательных
• Змея : 59 положительных, 7 отрицательных
• Twofish : 31 положительный, 21 отрицательный
• RC6 : 23 положительных, 37 отрицательных
• МАРС : 13 положительных, 84 отрицательных

Выбор победителя

2 октября 2000 года NIST объявил ^[10] , что Rijndael был выбран в качестве предлагаемого AES, и начал процесс превращения его в официальный стандарт, опубликовав объявление в Федеральном реестре ^[11] 28 февраля 2001 года о проекте FIPS для сбора комментариев. 26 ноября 2001 года NIST объявил, что AES был одобрен в качестве FIPS PUB 197.

NIST получил похвалу от криптографического сообщества за открытость и заботу, с которыми они управляли процессом стандартизации. Брюс Шнайер , один из авторов проигравшего алгоритма Twofish, написал после окончания соревнования: «Я могу сказать только хорошее о NIST и процессе AES». ^[12]

Смотрите также

• Конкурс CAESAR – Конкурс по разработке аутентифицированных схем шифрования

• Конкурс хэш-функций NIST
• Стандартизация постквантовой криптографии

Ссылки

1. "cryptology:: The Data Encryption Standard and the Advanced Encryption Standard". Britannica.com . Архивировано из оригинала 14 мая 2014 г. Получено 9 октября 2018 г.
2. «Объявление о разработке федерального стандарта обработки информации для усовершенствованного стандарта шифрования». csrc.nist.gov . 2 января 1992 г. Получено 9 октября 2018 г.
3. «Запрос на выдвижение кандидатур алгоритмов для AES». csrc.nist.gov . 12 сентября 1997 г. . Получено 9 октября 2018 г. .
4. Георгудис, Дианелос. "Прямой эфир со второй конференции AES, день 1". Cryptome . Получено 7 апреля 2019 г.
5. Георгудис, Дианелос. "Прямой эфир со второй конференции AES, день 2". Cryptome . Получено 7 апреля 2019 г.
6. Георгудис, Дианелос. «Обсуждение Второй конференции AES». Группы Google . Получено 30 ноября 2019 г.
7. "Разработка AES - Криптографические стандарты и рекомендации". csrc.nist.gov . 29 декабря 2016 г. Получено 9 октября 2018 г.
8. "Разработка передового стандарта шифрования" (PDF) . 2021. Архивировано (PDF) из оригинала 20 августа 2021 г. . Получено 24 ноября 2023 г. .
9. "AES3 Conference Feedback Form - Summary" (PDF) . 28 апреля 2000 г. Архивировано (PDF) из оригинала 24 ноября 2023 г. Получено 24 ноября 2023 г.
10. Свенсон, Гейл (2 октября 2000 г.). «Министерство торговли объявляет победителя конкурса по глобальной информационной безопасности». NIST . Получено 9 октября 2018 г.
11. NIST (28 февраля 2001 г.). «Объявление о проекте Федерального стандарта обработки информации (FIPS) для усовершенствованного стандарта шифрования (AES) и запрос комментариев» (PDF) . Федеральный реестр . 66 : 12762. Архивировано (PDF) из оригинала 22 октября 2012 г. . Получено 9 октября 2018 г. .
12. "Crypto-Gram: 15 октября 2000 г. - Schneier о безопасности". www.schneier.com . 15 октября 2000 г. Получено 9 октября 2018 г.

Внешние ссылки

• Исторический обзор процесса можно найти на веб-сайте NIST .
• В группе новостей sci.crypt ведутся обширные обсуждения процесса AES.