ESCUELA POLITECNICA DEL EJERCITOcybsec.com/upload/ESPE_AES.pdfrealizar aquella tarea en este campo, es el algoritmo AES. El algoritmo estándar de encriptación avanzada AES, es el

Seguridad Informática Algoritmo A.E.S.

Loyola Eduardo

Sánchez Daniel

2008/03/23

EVALUACIÓN DEL ALGORITMO DE ENCRIPTACIÓN AES

| LOYOLA EDUARDO SÁNCHEZ DANIEL

MAESTRÍA EN GERENCIA DE SISTEMAS

MÓDULO DE SEGURIDAD INFORMÁTICA PROF: JULIO CESAR ARDITA ‐ CYBSEC S.A.

ESCUELA POLITECNICA DEL EJERCITO


TABLA DE CONTENIDO

Introducción .................................................................................................................................................. 1 Historia del AES ........................................................................................................................................... 1 Ganador del concurso .............................................................................................................................. 3

Características del AES................................................................................................................................ 3 Antecedentes Matemáticos ......................................................................................................................... 5 2.1 El campo finito GF(28 ) ....................................................................................................................... 6 2.2 Construcción del campo finito GF(28 ) ............................................................................................ 7 2.3 El anillo GF(28 ) [x]/( x4+1). ................................................................................................................ 8

Proceso de cifrado ........................................................................................................................................ 9 Expansión de la clave:............................................................................................................................ 11 Transformación ByteSub ................................................................................................................... 11 Transformación ShiftRow ................................................................................................................. 11 Transformación MixColumns........................................................................................................... 11

Proceso de desencriptado...................................................................................................................... 12 Ejemplos:.................................................................................................................................................. 13 Algoritmo de cifrado.......................................................................................................................... 13 Parámetros del AES............................................................................................................................ 13 ALGORITMO DE Descifrado en AES ............................................................................................. 15

Eficiencia de AES........................................................................................................................................ 16 Resultados para diferentes arquitecturas de hardware .................................................................... 17 Velocidad para la transmisión.............................................................................................................. 18

Estado Actual de AES ................................................................................................................................ 18 Seguridad de AES....................................................................................................................................... 19 1. Linealidad........................................................................................................................................ 20 2. Propagación..................................................................................................................................... 21

Ultimos Ataques a AES ............................................................................................................................. 21 ANEXOS ...................................................................................................................................................... 24 CONCLUSIONES....................................................................................................................................... 29 RECOMENDACIONES............................................................................................................................. 30 BIBLIOGRAFÍA .......................................................................................................................................... 30



Eduardo Loyola, Sánchez Daniel 1

EVALUACIÓN DEL ALGORITMO DE ENCRIPTACIÓN AES

INTRODUCCIÓN

Debido a la evolución de la tecnología y debido al gran valor que tiene la información para muchas empresas, se hace indispensable el poder asegurar dicha información, tanto la que se tiene en los computadores, como la que viaja a través del internet.

La criptografía no es más que la ciencia de usar las procesos matemáticos para ocultar la información, transformando palabras o cadenas en una combinación de símbolos, números y letras muy complejas e indescifrables tanto para personas como para los medios tecnológicos.

Una vez que la información ha sido encriptada, puede ser almacenada en un medio inseguro o enviada a través de una red insegura como lo es el Internet y aún así permanecer secreta. Luego, los datos pueden desencriptarse a su formato original.

La criptografía trabaja en combinación de un algoritmo con una llave (un número, palabra, frase, o contraseña) para encriptar y desencriptar datos. Para encriptar, el algoritmo combina matemáticamente la información a proteger con la llave provista, dando como resultado datos encriptados. La desencriptación la realiza el algoritmo haciendo un cálculo combinando los datos encriptados con la llave provista.

El objetivo de un algoritmo criptográfico es hacer tan difícil como sea posible desencriptar los datos sin utilizar la llave, y el algoritmo actual más eficiente para realizar aquella tarea en este campo, es el algoritmo AES.

El algoritmo estándar de encriptación avanzada AES, es el algoritmo seleccionado por el Instituto Nacional de Estándares y Tecnología (NIST), para reemplazar al hasta entonces algoritmo estándar de encriptación de de datos (DES).

HISTORIA DEL AES

El Instituto Nacional de Estándares y Tecnología (NIST) en cooperación con el gobierno de Estados Unidos, la industria y el mundo académico, convoca a concurso público en enero de 1997, para realizar un algoritmo que será el estándar de


encriptación para los próximos veinte años, el cual será llamado como algoritmo de encriptación estándar y tenía los siguientes objetivos:

1. Reemplazar al algoritmo DES. 2. Disponer de un algoritmo de cifrado público, 3. Que sea libre y universal.

El NIST dispuso que el algoritmo debiera cumplir con los siguientes criterios:

• Seguridad

• Resistencia a criptoanálisis, con grandes fundamentos de matemáticas, aleatoriedad de la salida, etc.

• Costo

• Velocidad de procesamiento.

• Que utilice la menor cantidad de recursos de memoria

• Características de implementación

• Flexibilidad, fácilmente implementable en software o hardware, simplicidad del algoritmo.

Como finalistas del concurso se tiene los siguientes algoritmos entre los 15 participantes:

• MARS

- IBM

• RC6

- RSA Laboratories

• Rijndael

- Joan Daemen (Proton World International) and

- Vincent Rijmen (Katholieke Universiteit Leuven)

• Serpent

- Ross Anderson (University of Cambridge),

- Eli Biham (Technion), and

- Lars Knudsen (University of California San Diego)


• Twofish

- Bruce Schneier, John Kelsey, and Niels Ferguson (Counterpane, Inc.),

- Doug Whiting (Hi/fn, Inc.),

- David Wagner (University of California Berkeley), and

- Chris Hall (Princeton University)

GANADOR DEL CONCURSO

El algoritmo Rijndael elaborado por Vincent Rijmen y Joan Daemen fue elegido por el NIST

Después de pasar un periodo de análisis durante aproximadamente 3 años, Rijndael fue elegido como la mejor opción entre los 5 candidatos, finalistas, gracias a sus principales características:

Fácil diseño, su versatilidad en ser implementado en diferentes dispositivos, así como ser inmune a los ataques conocidos hasta la fecha, soportar bloques de datos de 128 bits y claves de 128, 192, y 256 bits. La idea básica general es tener un estándar que mejore el “performance” de TDES y sea resistente a los ataques conocidos. Reemplazo del DES a partir del 26 de mayo del 2002

CARACTERÍSTICAS DEL AES

Se trata de un cifrador simétrico tipo bloque que puede usar claves de 128, 192 o 256 bits de longitud.

Tiene varias operaciones que se definen a nivel de bytes, y representan elementos en el campo finito GF(28). Otras operaciones se definen en términos de palabras de 4 bytes, que se tratan como polinomios de cuarto grado y coeficientes en GF(28).

Tiene sus propias operaciones aritméticas: Suma (es la suma exclusiva bit a bit), Multiplicación

La descripción consiste de dos partes: • La primera en el proceso de cifrado • La segunda en el proceso de generación de las subclaves, una primera

aproximación se muestra la siguiente figura:


De forma más detallada:


ANTECEDENTES MATEMÁTICOS


El algoritmo Rijndael opera a nivel de bytes, interpretando estos como elementos de un cuerpo de Galois GF(28), y a nivel de registros de 32 bits, considerándolos como polinomios de grado menor que 4 con coeficientes que son a su vez polinomios en GF(28). En este apartado se van a definir las operaciones matemáticas básicas que necesita el algoritmo Rijndael, así como algunos conceptos referentes al tratamiento de polinomios.

En esta sección daremos los elementos matemáticos necesarios para poder entender AES. Los elementos que describimos en esta sección serán los siguientes: 2.1. El campo finito GF(28 ) 2.2. Construcción del campo finito GF(28 ) . 2.3. El anillo GF(28 ) [x]/( x4+1).

2.1 EL CAMPO FINITO GF(28 )

Esta sección es muy importante para poder entender el funcionamiento de AES, ya que AES trabaja como elementos básicos a los bytes (conjunto de 8 bits), AES ve a los bytes como elementos del campo finito GF(28 ) , nuestro propósito es explicar que significa hacer esto.

En seguida damos un teorema que nos indica que forma tiene todos los campos finitos, y de ahí podremos hablar del campo finito que nos interesa para AES.

Afirmación: todo campo finito tiene pn elementos, y se puede construir a partir de Ap .

Siendo p, un número primo y A el conjunto finito de polinomios.

Observe que la inversa no es cierta, es decir, si existe un conjunto con pn elementos no necesariamente es campo, como el caso de A4.

Veamos ahora algunas definiciones y resultados que nos ayudará a construir un campo finito.

Definición: sea F un campo, entonces A[x] es el conjunto de polinomios con indeterminada x.

Podemos definir de manera convencional en A[x] las operaciones de suma y producto. De hecho A[x] es un anillo conmutativo con identidad, es decir, solo le falta que todos sus elementos tengan inverso para ser campo.


Definición: sea f(x) un polinomio en A[x], entonces f es irreducible sobre A , si f tiene grado positivo y si f=gh, g,h en F[x] , entonces g o h son constantes.

Teorema: sea f € A[x], entonces el cociente A[x]/(f) es campo si y sólo si f es irreducible.

El teorema equivalente para enteros queda así: A/n A=An es campo si y sólo si n es primo (lo equivalente a irreducible en polinomios).

El teorema anterior nos dice que basta tomar un polinomio irreducible en A para poder construir otros campos, Estos campos se denotan como A pn o también como GF(pn) de “Galois Field”.

Finalmente, ya podemos afirma que existe un campo finito de 28 = 256 elementos que denotaremos también como GF(28 ) , que es el campo principal a donde trabaja AES.

2.2 CONSTRUCCIÓN DEL CAMPO FINITO GF(28 ).

Una de las cosas más importantes de AES es conocer muy bien el campo GF(28), así como sus operaciones y su representación. Sabemos del anterior punto que es necesario encontrar un polinomio irreducible con coeficientes en A = A2 de grado 8.

Antes de continuar observemos que cualquier polinomio f € A2[x] se puede ver como una lista de bits, AES toma por convenio el siguiente orden

(10001111) ~ x7+x3+x2+x+1

(11001100) ~ x7+x6+x3+x2

(10101010) ~ x7+x5+x3+x

A continuación mostramos algunos ejemplos de polinomios irreducibles de grado8 que nos servirán para la construcción de GF(28 ).

Binario Hex Polinomio orden

100011011 11b X8 +x4 +x3 +x+1 51


100011101 11d X8 +x4 +x3 +x2 +1 255

100111111 13f X8 +x5 +x4+x3 +x2 +x+1 85

Ahora tenemos todos los elementos para poder construir al campo GF(28), usado en AES.

Nota importante: AES toma como base al campo GF(28), ya que considera a un byte(conjunto de 8 bits) como su palabra básica, haciendo posible así, la implementación en muchas plataformas a partir de los 8 bits.

Para terminar con la representación del campo GF(28) , damos las siguientes dos reglas que son usadas en el código para poder multiplicar dos elementos del campo GF(28 ) . La idea es simple, si queremos multiplicar dos elementos digamos a,b € GF(28 ), entonces existen i,j tales que a=(1+x)i, b=(1+x)j por lo tanto ab=(1+x)i+jmod255 , si basta encontrar el elemento que está en la posición (i+j)mod255 para saber el resultado. En términos de notación conocida decimos que ab=AntiLog((Log[a]+Log[b]) mod 255),

2.3 EL ANILLO GF(28 ) [X]/( X4+1).

Otra estructura que usa AES es la del anillo GF(28) [x]/( x4+1), otra de las operaciones básicas de AES es multiplicar un polinomio de tercer grado con coeficientes en GF(28), por una constante. Es decir, un elemento de GF(28)[x]/( x4+1), por un polinomio constante, el resultado se reduce módulo ( x4+1) para obtener un polinomio de grado 3. El objetivo de lo anterior es poder definir multiplicación entre columnas de 4 bytes por un elemento constante también de 4 bytes. En el proceso de descifrado se aplica la operación inversa y aunque el polinomio ( x4+1) no es irreducible, en este caso particular la constante si tiene inverso en el anillo GF(28 ) [x]/( x4+1), por lo tanto no tenemos problema.

Sea a(x) un polinomio tal que a0 + a1x + a2x2 + a3x3 € G f(28)[x]/(x4+1), donde ai € GF(28) , y b(x) otro polinomio igual, entonces a(x)b(x)=c(x) donde c(x) tiene la misma forma, particularmente:


El siguiente paso es aplicar módulo x4+1 a todo el polinomio, que es aplicar módulo a cada uno de sus términos, entonces ximod(x4+1)=ximod4 , es decir el resultado de a(x)b(x) queda como:

Finalmente de manera matricial el anterior producto puede ser visto como:

Proceso de cifrado

Consiste en una serie de cuatro transformaciones matemáticas, las cuales se repiten 10, 12 o 14 veces, dependiendo de la longitud del bloque y de la longitud de la clave. Todos los ciclos, excepto el último son similares y consisten de las siguientes transformaciones:

• Transformación ByteSub (Sustitución de bytes). • Transformación ShiftRow (Desplazamiento de filas).


• Transformación MixColumns (Multiplicación de columnas). • Transformación AddRoundKey (Se aplica una or-exclusiva entre los bits del texto y la llave).

En el último ciclo sólo se ejecutan las siguientes transformaciones:

• Transformación ByteSub. • Transformación ShiftRow. • Transformación AddRoundKey.

La primera transformación que se ejecuta es la AddRoundKey o suma EXOR entre el texto plano (sin encriptar) y la llave.

El diagrama de flujo de la Fig. 1 representa la secuencia de transformaciones.

Texto Plano

Ciclo inicialAddRoundKey

Ciclos standardByteSubShiftRow

MixColumnAddRoundKey

Ciclo finalByteSubShiftRow

AddRoundKey

Textoencriptado

N ciclos

Las sucesivas transformaciones se pueden imaginar como aplicadas a una matriz A de cuatro filas por cuatro columnas, representada en la Ec. 1.

A= 33231303

32221202

31211101

30201000

AAAAAAAAAAAAAAAA


Los sucesivos ijA son los 16 caracteres del texto del bloque de 128 bits a ser

encriptado. Este valor para el tamaño del bloque corresponde al caso de elegir trabajar con una clave de 128 bits. En el caso de utilizar 192 bits para la clave, la matriz representada en la Ec. 1 constaría de dos columnas más y en el caso de utilizar 256 bits habría cuatro columnas más. Todas las transformaciones son aplicadas a la matriz A, excepto la transformación AddRoundKey.

Uno de los procesamientos más importantes en el desarrollo del algoritmo es lo que se denomina:

EXPANSIÓN DE LA CLAVE:

Es la generación de diez claves distintas, debido a que el proceso de encriptado se repetirá diez veces. De esta manera se genera una clave diferente para cada repetición del algoritmo. A continuación se explicán, cada una de las transformaciones.

TRANSFORMACIÓN BYTESUB

Es una sustitución no lineal, que opera independientemente en cada byte de la matriz. Cada byte del bloque de entrada es invertido sobre GF (28) y luego sufre una transformación afín. La operación completa puede realizarse mediante una matriz de sustitución, conocida con el nombre de S-Box. La transformación ByteSub por medio del uso de dicha matriz, consiste en tomar el elemento(byte) de la matriz A de cuatro filas por cuatro columnas, en formato hexadecimal, dicho número se transforma en el subíndice necesario para extraer un valor de la S-box.

TRANSFORMACIÓN SHIFTROW

La transformación ShiftRow es aplicada después de la transformación bytesub. En esta, los bytes de las tres últimas filas son desplazados cíclicamente en distintas cantidades o posiciones (offsets). En la primera fila el offset es nulo, es decir, que la fila no se desplaza. En la segunda fila, el desplazamiento es de 1 byte hacia la izquierda, en la tercera es de 2 bytes y en la última es de 3 bytes, también hacia la izquierda.

TRANSFORMACIÓN MIXCOLUMNS

Se trata de la transformación siguiente a ShiftRow. MixColumns opera columna por columna de la matriz, tomando a cada una como un polinomio de grado tres. Es


decir, que las columnas son consideradas como polinomios en el campo )2( 8GF y cada una es multiplicada por una fila de la siguiente matriz Ref(x):

Ref(x)= 02010103030201010103020101010302

Ec. (2)

Esto quiere decir, que la multiplicación de la primera columna de la matriz A con la segunda fila de la matriz Ref(x) da como resultado al elemento de subíndice 10 de la nueva matriz y así sucesivamente. En caso de que la multiplicación de un elemento de la matriz A con un elemento de la matriz Ref(x), de por resultado un polinomio de

grado ocho, entonces a dicho polinomio hay que dividirlo por 1348 ++++ xxxx , y tomar el resto de esta división como resultado.

PROCESO DE DESENCRIPTADO

Es el proceso inverso al encriptado, es decir, el desencriptado. A dicho proceso se lo puede estudiar con el siguiente diagrama de flujo:

Texto encriptado

Ciclo inicialAddRoundKey

Siguiente cicloInv_ShiftRowInv_ByteSub

AddRoundKey

Ciclos StandardInv_MixColumnInv_ShiftRowInv_ByteSub

AddRoundKey

Texto plano odesencriptado

N ciclos

La transformación AddRoundKey, igual que en el proceso de encriptado, consiste de una EXOR de 128 bits. Las demás transformaciones son las inversas de las transformaciones explicadas en el proceso de encriptado.


Ejemplos:

ALGORITMO DE CIFRADO

PARÁMETROS DEL AES

• Nb - Número de columnas en la tabla de estado

Para AES, Nb = 4

• Nk - Número de palabras de 32 bits en la clave

Para AES, Nk = 4, 6, or 8

• Nr - Número de rondas (función de Nb y Nk)

Para AES, Nr = 10, 12, or 14

byte state[4,Nb]

state = in

AddRoundKey(state, keySchedule[0, Nb-1])

for round = 1 step 1 to Nr-1

{

SubBytes(state)

ShiftRows(state)

MixColumns(state)

AddRoundKey(state, keySchedule[round*Nb, (round+1)*Nb-1])

}

SubBytes(state)

ShiftRows(state)

AddRoundKey(state, keySchedule[Nr*Nb, (Nr+1)*Nb-1])

out = state

Multiplicación en AES (•)

(x6 + x4 + x2 + x +1) (x7 + x +1) = x13 + x11 + x9 + x8 + x7 + x7 + x5 + x3 + x2 + x + x6 + x4 + x2 + x +1 = x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 +1

y

x13 + x11 + x9 + x8 + x6 + x5 + x4 + x3 +1 módulo ( x8 + x4 + x3 + x +1) = x7 + x6 +1.


Ejemplo: {57} • {13}

{57} • {02} = xtime({57}) = {ae}

{57} • {04} = xtime({ae}) = {47}

{57} • {08} = xtime({47}) = {8e}

{57} • {10} = xtime({8e}) = {07}

{57} • {13} = {57} • ({01} Å {02} Å {10})

= ({57} • {01}) Å ({57} • {02}) Å ({57} • {10})

= {57} Å {ae} Å {07}

= {fe}

Caso general de multiplicación

/* Multiply two numbers in the GF(2^8) finite field defined

* by the polynomial x^8 + x^4 + x^3 + x + 1 */

uint8_t gmul(uint8_t a, uint8_t b)

{

uint8_t p = 0;

uint8_t counter;

uint8_t hi_bit_set;

for(counter = 0; counter < 8; counter++)

{

if((b & 1) == 1)

p ^= a;

hi_bit_set = (a & 0x80);

a <<= 1;

if(hi_bit_set == 0x80)

a ^= 0x1b; /* x^4 + x^3 + x + 1 */

b >>= 1;

}

return p;

}


Expansión de la clave

• Se expanden los bits de la clave (128) de manera que en cada ronda se utiliza una clave única.

KeyExpansion(byte key[4*Nk], word w[Nb*(Nr+1)], Nk)

word temp

i = 0

while (i < Nk)

w[i] = word(key[4*i], key[4*i+1], key[4*i+2], key[4*i+3])

i = i+1

end while

i = Nk

while (i < Nb * (Nr+1)]

temp = w[i-1]

if (i mod Nk = 0)

temp = SubWord(RotWord(temp)) xor Rcon[i/Nk]

else if (Nk > 6 and i mod Nk = 4)

temp = SubWord(temp)

end if

w[i] = w[i-Nk] xor temp

i = i + 1

end while

end

ALGORITMO DE DESCIFRADO EN AES

byte state[4,Nb]

state = in

AddRoundKey(state, keySchedule[Nr*Nb, (Nr+1)*Nb-1])

for round = Nr-1 step -1 downto 1

{

InvShiftRows(state)


InvSubBytes(state)

AddRoundKey(state, keySchedule[round*Nb, (round+1)*Nb-1])

InvMixColumns(state)

}

InvShiftRows(state)

InvSubBytes(state)

AddRoundKey(state, keySchedule[0, Nb-1])

out = state

EFICIENCIA DE AES

La eficiencia era una de las características con las que debía cumplir el algoritmo ganador del concurso realizado por el NIST.

Un miembro del comité que eligió el sistema dijo que el Rijndael "ganó frente a los demás porque consume menos memoria de los equipos y es muchísimo más rápido.

La eficiencia esta directamente además de depender del diseño del algoritmo está directamente relacionada con el hardware, por tal motivo es normal que se alcance una mayor eficiencia mediante la implementación de hardware dedicado. Entonces la eficiencia está dividida en dos campos:

• software • hardware

La eficiencia en software en AES radica en sus funciones básicas. La operación más costosa en tiempo, es el obtener inversos multiplicativos del campo GF( 8 2 ), en este caso, esta operación es precalculada y la operación es substituida por un consulta de S-Box, con esta misma técnica varios cálculos del algoritmo son precalculados y entonces se evitan los cálculos reemplazándolos por consultas de tablas.

Respecto a la velocidad, un algoritmo puede medirse entonces por cuantos millones de bits por segundo procesa. Los tres procesos más comunes en un algoritmo son el cifrado, el descifrado y el programa de claves, estos tres se miden de manera independiente.


Los siguientes datos presentan algunos de los resultados más representativos obtenidos a lo largo del estudio del algoritmo de Rijndael. Estos sirven como referencia para poder conocer las velocidades estándares con que se cuentan en la actualidad.

• Plataforma PIV 3.2GHz, assembly • Autor H. Lipmaa, Lipmaa Web Page • Longitud de clave 128 • Velocidad de Cifrado 1537.9.7 Mb/s • Velocidad de Descifrado 1519.9 Mb/s

• Plataforma PPro 200 MHz, C • Autor B.Gladman, Gladman Web Page • Longitud de clave 128 • Velocidad de Cifrado 70.7 Mb/s • Velocidad de Descifrado 71.5 Mb/s

• Plataforma PIV 1.8GHz, C++ • Autor C. Devine, Devine Web Page • Longitud de clave 128 • Velocidad de Cifrado 646 Mb/s

• Plataforma PII 450MHz, MMX Assembly • Autor K. Aoki, H. Lipmaa [17] • Longitud de clave 128 • Velocidad de Cifrado 243 Mb/s

Resultados para diferentes arquitecturas de hardware

• AES. • Tecnología ASIC • Autor H. Kuo, I. Verbauwhede, P. Schaumont [60] • Velocidad 2.29 Gb/s, cifrado, 128b.

• Tecnología VLSI • Autor H. Kuo, I. Verbauwhede [37] • Velocidad 1.82 Gbits/s

• Tecnología FPGA[24] • Autor A.J. Elbirt • Velocidad 2 Gb/s, cifrado, 128b.

• Tecnología Smart Cards Z80 • Autor F. Sano [7] • Velocidad 25 494 Clock (2 veces más rápido que DES)

• Tecnología TMS320C62201 DSP • Autor T.Wollingr, M. Wang, J. Guajardo, C. Paar [14] • Velocidad 112 Mbits/s (200 Mhz)


Velocidad para la transmisión

Según los estudios sobre las propuestas para ser AES, para un texto de 2048 bytes (con paquetes de 1500 bytes) en un Pentium pro y con código en ensamblador, se tarda 18 ciclos de reloj por cada byte con clave de 128 bits Es decir, en un Pentium con velocidad de 2000 MHz ( 2 000 000 000 Hz o ciclos) se tendrá:

18 * 2048 / 2GHz = 18 nanosegundos por paquete Despreciable. Para la carga de CPU una encriptación/des encriptación de:

128+512=640kbps=80KBps

18 * 80000 / 2GHz < 1 milisegundo

Es decir, que en 1 milisegundo se codifica lo que se va a transmitir en un segundo. Con lo que se tiene 999 milisegundos por cada segundo para ejecutar otras cosas.

ESTADO ACTUAL DE AES

El estado actual de AES por procedimiento es proporcionada por el NIST, es probable que en cada periodo de tiempo el NIST de un estado principalmente de la seguridad de AES. El último reporte de este estilo fue dado en la conferencia AES4, donde se afirmaron los siguientes puntos:

1. AES tiene los siguientes niveles de seguridad

Claves de 80, 112, 128, 192, y 256 bits.

2. Usar claves de 80 bits será seguro hasta el año 2010, 112 hasta el año2020, y 128 posteriormente. Aunque esta seguridad puede reducirse por el modo de operación de los algoritmos en consideración.

3. Para 80 bits de seguridad AES, es equivalente a 1024 bits de RSA, y 163 de ECDSA.

4. Se recomienda estandarizar los niveles de seguridad de todos los algoritmos en una aplicación, por ejemplo al usar AES 80, RSA 1024/ECDSA-160, y un MAC de 160 bits.


5. Simple DES queda totalmente descontinuado, TDES con dos claves podrá ser soportado hasta el año 2010, TDES con 3 claves hasta 2020, de ahí se espera sólo usar AES con 128.

6. Actualmente se revisan los modos de operación ya conocidos y se estudian CCM (para el estándar IEEE 802.11) y CTR como nuevos modos de operación. Así como los MACs con AES son estudiados. Se estudia también algoritmos generados de bits aleatorios usando AES.

7. Se habla de los ataques llamados algebraicos que en nuestros días no son operables, sin embargo se presume pueden ser una línea de criptoanálisis eficiente en el futuro, aunque hoy en día hay más preguntas que respuestas respecto a este tipo de ataques

8. Como un punto complementario del estado actual de AES podemos mencionar varias aplicaciones que ya han asumido a AES en sus esquemas, algunas de ellas se describen en los documentos RFC que pueden consultarse al final de la bibliografía. Entre las aplicaciones están TLS, HMAC, IPsec, IKE, S/MIME, SIP, etc. o RFIDs.

SEGURIDAD DE AES

Hoy en día muchas personas manejan el concepto de seguridad de una manera muy relativa, el lenguaje usado es particular y no se tiene en general conceptos bien definidos. Sin embargo en los últimos 30 años se han podido resumir varios puntos básicos para que un algoritmo simétrico sea “seguro”.

Hay quienes dicen que aún el diseño de un algoritmo criptográfico es más ingeniería que ciencia. En términos generales un algoritmo es seguro si éste está diseñado para soportar todos los ataques conocidos hasta el momento y da la suficiente evidencia de su fortaleza. Aunque es claro que siempre existe la posibilidad de que el algoritmo pueda ser roto por recientes y novedosos ataques, es decir, es imposible diseñar un algoritmo inmune a taques no conocidos.

En el caso concreto de un algoritmo criptográfico simétrico, existen varios comportamientos que nos dirán si un algoritmo puede considerarse seguro.

Desde el punto de vista metodológico el algoritmo debió de haberse sometido en un tiempo considerable al análisis y estudio de la comunidad científica (por ejemplo por la IACR), el algoritmo debe de dar evidencia de haber pasado la mayoría de los análisis que pudieran existir, el algoritmo debe ser reconocido por un organismo


dedicado(por ejemplo por el NIST, NIESSIE, IEEE etc.). En términos más técnicos un algoritmo simétrico debe de dar evidencia de ser inmune a los ataques más potentes y conocidos, en este caso al menos al análisis lineal y el análisis diferencial.

Enseguida hacemos notar algunos puntos muy generales y características que AES tiene para poder evitar ataques como el lineal y diferencia.

Las características más mencionadas que debe de contar un algoritmo simétrico son:

1. La no linealidad entre las entradas y las salidas, o la correlación de las entradas con las salidas.

2. La propagación de las diferencias de los bits, o el medir la probabilidad de que tanto se confunden los bits.

Particularmente las anteriores características son las más requeridas en un algoritmo simétrico, en el diseño las dos se mezclan y se miden en cada una de las rondas que consiste el algoritmo, es decir, en términos muy generales y básicos si un algoritmo tiene esas dos propiedades y se realizan las suficientes rondas, entonces el algoritmo será inmune a los análisis lineal y diferencial.

Enseguida trataremos de explicar de la manera más sencilla posible las anteriores dos características.

1. LINEALIDAD

En términos elementales por ejemplo si las entradas de nuestro algoritmo son 1,2,3,4, y 5 y tenemos como salidas 2,4,6,8, y 10, claramente hay una dependencia lineal entre las entradas y las salidas, es decir f(x)=2g(x) donde f,g son las funciones de entrada y salida correspondientemente. El método conocido como correlación es el que se aplica a dos conjuntos de datos A, B y determina que tanto pueden haber uno del otro una dependencia lineal. De tal modo que si existe una relación lineal entre las entradas de las salidas, no es nada difícil conocer la información de los textos originales o de la clave de cifrado. Claramente la linealidad no es una propiedad que se quiera en un algoritmo criptográfico.

El mecanismo que impide que haya correlación es el alternar las claves, es decir que para cada ronda de nuestro algoritmo se aplique una clave diferente, esto se logra en términos generales implementado un programa de claves que proporciona una clave diferente para cada ronda. Esto permite disminuir la linealidad en la mayoría de las modalidades que pueda pensarse como una debilidad de nuestro algoritmo, y es aprovechada principalmente por el criptoanálisis lineal.


2. PROPAGACIÓN

El otro concepto muy trabajado en una algoritmo simétrico es la propagación, este concepto hay que trabajarlo de la manera más cuidadosa, el que el algoritmo tenga buena “propagación” impide que sea aplicado principalmente el criptoanálisis diferencial que es un ataque del tipo “Chosen Plaintext Attack” y permite derivar información de la clave a partir de conocer las probabilidades de las diferencias de la propagación, por lo que estas probabilidades deben de ser lo más pequeño posible. La propagación se obtiene con el programa de claves, con la propagación de la función no lineal del algoritmo (S-Box), el número de rondas, etc.

Cada uno de los elementos de AES fue cuidadosamente elegido para poder cumplir al menos con los dos requerimientos básicos anteriores. Por otra parte otro tipo de ataques o conceptos de debilidad que han sido propuestos, Rijndael los evita, como “Square Attack”, “Six Round Attack”, “Herds Attack”, “Gilbert-Minier Attack”, “Interpolation attack”, “Related-Key Attack”, “Timing Attack”, “Imposible Differential attack”, “Collision attack”, últimamente se han propuesto los llamados ataques algebraicos que en general explotan las propiedades algebraicas del algoritmo. Sin embargo por el momento no se ha podido montar un ataque a la versión completa de Rijndael, lo que lo hace tan seguro como una búsqueda exhaustiva.

ULTIMOS ATAQUES A AES

Describamos ligeramente algunos de los últimos ataques, que de alguna manera son versiones modificadas del los ataques diferencial y lineal.

Impossible Differentials Attack: |existe un ataque de este tipo a 5 rondas de AES, requiriendo 229 plaintext elegidos, 230 encripciones, 242 bytes de memoria, 226 pasos de precalculo. Estas condiciones fueron mejoradas para alcanzar un ataque a 6 rondas de AES.

Square Attack: el más potente ataque a Rijndael a la fecha es el ataque “Square”, es un ataque dirigido a un algoritmo del tipo de Rijndael que basa su diseño en estructuras de bytes. Precisamente el primer ataque de este tipo fue hecho al algoritmo predecesor llamado “Square”. Este ataque puede romper a Rijndael de 6 a 7 rondas, que puede ser mejorado para atacar a 9 rondas de AES-259 con 277 plaintexts, con 256 claves relacionadas, y 2224 encripciones.

Collision Attack: este ataque afecta a todas las versiones de AES, 128, 192 y 256 con 7 rondas.


Los ataques anteriores son de alguna manera el “último” intento de diseñar un ataque a AES de la manera tradicional. Es obvio que la introducción de estructuras algebraicas a AES por un lado deja atrás a los ataques más tradicionales, pero por el otro reta a encontrar nuevos ataques dirigidos a la nueva estructura algebraica.

De manera natural los nuevos ataques son llamados “ataques algebraicos”, y como casi siempre en estos temas existen dos tendencias una de ellas que dice que solo son ideas que pueden o no pueden considerarse aún como peligrosas, y la otra que dice que este tipo de ataques promete mucho.

En general este tipo de ataques consiste en dos etapas: la primera de coleccionar datos como los plaintexts, los ciphertexts, las claves, valores intermedios, y expresa todo el algoritmo como ecuaciones que involucran los datos anteriores. La segunda es resolver las ecuaciones, donde la solución deberá ser información de la clave.

Precisamente debido al diseño tan “formal” de AES, éste puede ser expresado de diferentes maneras de una forma elegante.

Algunas “ideas” o “ataques” algebraicas/os pueden ser listados ahora:

Fracciones continuas: una de las primeras propuestas propone una sola formula que puede ser vista como una fracción continua como la siguiente:

Donde cada K es un byte que depende de varios bytes de la clave expandida, los Ci son constantes conocidas, y los * son exponentes o índices desconocidos, estos valores depende de la suma que se efectúan. Una combinación de este tipo de de fórmulas describe totalmente al algoritmo AES, con 226 incógnitas, sin embargo no se conoce un método práctico que resuelva este tipo de ecuaciones.

XSL: En [56] los autores observaron que las S-cajas de AES pueden ser descritas por ecuaciones cuadráticas booleaneas, es decir, si x1, x2,..., x8 son los bits de entrada y y1, y2,..., y8 los bits de salida entonces existe una función de la forma f(x1, x2,..., x8, y1, y2,..., y8)=0, donde el grado de f es 2.


El ataque se fundamenta que este tipo de ecuaciones sirven para el segundo paso del ataque algebraico y que existe un método que pueda resolverlas. Este problema está considerado del tipo “Multivariate Quadratic Equations” que se sabe es un problema difícil de resolver. Sin embargo algunas opiniones mencionan que el trabajo de Courtois y Pieprzyk tiene imperfecciones, particularmente que no cuentan con las ecuaciones lineales suficientes para resolver el sistema. La complejidad estimada para el ataque en el mejor de los escenarios es de 2255 lo que equivale a la resistencia de la versión AES-256.

Embedding: otra idea que fue expuesta es la de Murphy y Robshaw, tratando de encajar a AES en otra algoritmo llamado BES(Big Encryption System), de la siguiente manera:

donde K es la clave, x el mensaje y f un mapeo de la estructura de campo de Rijndael a la estructura de campo de BES. Como Rijndael usa al combinaciones de los campos GF(2) y GF(28), BES sólo usa el campo GF(28). Los autores afirma que BES tiene mejor estructura algebraica y pudiera ser más fácil su criptoanálisis, sin embargo no se puede afirmar que sus propiedades puedan ser trasladadas a Rijndael. Se afirma aquí también que el método XSL puede ser aplicado a BES con ligeras mejorías en los resultados.

Dual Cipher: Otra manera de encajamiento es definir un algoritmo dual a AES, esto quiere decir una especie de traslación. Si tenemos los mapeos invertibles f,g,h entonces el Cipher “Dual” es definido como:

Por ejemplo, como la función cuadrado es lineal en los campos de característica 2, es natural que los duales inmediatos sean los cuadrados.

Aunque se puede mostrar que los duales son equivalentes en seguridad, la idea es poder encontrar un ataque a algún dual para que después sea trasladado al original Rijndael, sin embargo por el momento no se ha encontrado alguna debilidad llamativa.


ANEXOS

Como anexo al trabajo realizaremos una demostración de encriptación de archivos que utiliza AES, este software se llama KriptoDrive, el cual lo que realiza es simular una unidad virtual la cual se podrá manejar como una disco el cual se puede almacenar cualquier tipo de archivo, este disco virtual se almacena con sus datos encriptados utilizando AES.

Una vez instalado el software, podemos crear la unidad virtual:

Seleccionamos “Create”

1. Seleccionamos que tipo de clave de

AES a utilizar, 2. Ingresamos la palabra clave, 3. Confirmamos la misma, 4. Si deseamos creamos una clave

administración 5. Seleccionamos el tipo de letra del

disco virtual 6. Finalmente ingresamos la etiqueta

del disco virtual.


Una vez creada la unidad virtual se presenta una pantalla de resumen mostrando los datos ingresados, por ser este software un demo, solo se puede crear unidades de 5MB.

Basta con seleccionar la unidad creada para activarla u ocultarla de nuestro sistema operativo


El sistema no muestra ninguna unidad.

Al momento de activar la unidad creada nos solicita la clave.


De esta manera podemos ver que se ha activado una unidad virtual, en la cual se podrá pegar cualquier tipo de archivos que necesitan un nivel de seguridad alta de protección

Este es el archivo que se crea de la unidad antes activada, este archivo como podemos ver se encuentra protegido si deseamos ver su contenido nos mostrara datos incoherentes, a esto se llama datos encriptados.


Al abrir con Notepad podremos observar lo siguiente

De esta manera podemos tener en cuenta el nivel de seguridad de nuestros datos el cual podremos activar solo con nuestra clave y si se desea revisar el archivo creado con este software solo podremos ver datos encriptados incoherentes.


CONCLUSIONES

1. Se ha logrado la obtención de un software de encriptado y desencriptado de sencillo manejo, basado en uno de los algoritmos recientemente elegidos como estándar que utiliza transformaciones matemáticas de una cierta complejidad en el campo finito GF(28).

2. El uso de soluciones proactivas que pueden utilizar totalmente las capacidades de la tecnología heurística, es altamente recomendado para la protección eficiente contra todo tipo de amenazas.

3. El mayor número de ataques a la información se realizan en las redes de computadores; por lo tanto proteger la información que viaja a través de la misma debe ser una prioridad para quienes la administran.

4. La seguridad de la información permite a las empresas generar confianza a sus clientes, socios y trabajadores, con lo cual incrementan las fuentes de ingresos y se mejora la eficacia de los procesos comerciales.

5. Al ser el algoritmo de Rijndel el ganador del concurso realizado por el NIST, se demuestra una vez más, que no siempre las grandes compañías a través de grandes inversiones, son las únicas en proponer soluciones tecnológicas de vanguardia, generalmente costosas, sino que estas son el resultado del ingenio y conocimiento y la investigación que las personas, de manera sencilla pueden aportar, como es el caso de Vincent Rijmen y Joan Daemen.

6. Si bien la tecnología actual hace del algoritmo de Rijndael un algoritmo seguro, el cual para ser vulnerado necesitaría varios trillones de años, como lo describen los estudios, se debe tener en cuenta el gran avance de la tecnología, la cual quizás haga que dentro de varios años, haya que buscar un nuevo algoritmo para reemplazarlo.


RECOMENDACIONES

1. Tanto para empresas como para personas particulares es recomendable, disponer mecanismos que permitan asegurar la información de la que se dispone, que en la mayoría de los casos es de mayor valor, que los medios tecnológicos en las que se encuentran.

2. Para los profesionales de la seguridad de la información se recomienda actualizar sus conocimientos constantemente, de manera que se pueda estar al tanto sobre nuevas técnicas y nueva tecnología utilizadas en contra de la seguridad, de forma que se pueda luchar contra los ataques a la información de manera eficiente.

BIBLIOGRAFÍA

1. Angel Angel José de Jesús, AES - Advanced Encryption Standard; Noviembre de 2005; [email protected]; pp. 89.

2. A.E.S. El algoritmo de encriptación del próximo siglo.

3. Daemen, Joan; Rijmen, Vicent; The Rijndael Block Cipher A.E.S. Proposal.

4. Federal Information Processing Standards Publication 197. Specification for the Advanced Encryption Standard (A.E.S).

5. Maizel. Patricia V.; “Implementación del algoritmo A.E.S. (Advanced Encryption Standard)”, Ingeniería Electrónica; 2004; Informe técnico.

6. Muñoz Muñoz. Alfonso; CRIPTOSISTEMA RIJNDAEL, El Secreto de las Comunicaciones, Copyright © 2007. Pp. 47.

7. Seguridad y algoritmos de encriptación; Copyright © 2001-2008 Ranquel Technologies; www.cryptoforge.com

Documents

ESCUELA POLITECNICA DEL EJERCITOcybsec.com/upload/ESPE_AES.pdfrealizar aquella tarea en este campo, es el algoritmo AES. El algoritmo estándar de encriptación avanzada AES, es el