Gelişmiş Şifreleme Standardı - Advanced Encryption Standard

Gelişmiş Şifreleme Standardı
(Rijndael)

SubBytes adım, AES turundaki dört aşamadan biri
Genel
Tasarımcılar	Vincent Rijmen, Joan Daemen
İlk yayınlandı	1998
Elde edilen	Meydan
Halefler	Anubis, Grand Cru, Kalyna
Sertifikasyon	AES kazanan, CRYPTREC, NESSIE, NSA
Şifre ayrıntısı
Anahtar boyutları	128, 192 veya 256 bit[not 1]
Blok boyutları	128 bit[not 2]
Yapısı	İkame-permütasyon ağı
Mermi	10, 12 veya 14 (anahtar boyutuna bağlı olarak)
En iyi halk kriptanaliz
Tam bir hesaplamadan daha hızlı olan saldırılar yayınlandı. kaba kuvvet saldırısı 2013 itibariyle hiçbiri hesaplama açısından uygun değil.[1]AES-128 için, anahtar 2 hesaplama karmaşıklığı ile kurtarılabilir126.1 kullanmak biclik saldırı. AES-192 ve AES-256'ya yapılan biklik saldırılar için, 2'nin hesaplama karmaşıklığı189.7 ve 2254.4 sırasıyla uygulanır. İlgili anahtar saldırılar AES-192 ve AES-256'yı karmaşıklıklarla kırabilir 299.5 ve 2176 sırasıyla hem zaman hem de verilerde.[2]

Gelişmiş Şifreleme Standardı (AES), orijinal adıyla da bilinir Rijndael (Hollandaca telaffuz: [ˈRɛindaːl]),^[3] için bir şartname şifreleme ABD tarafından oluşturulan elektronik verilerin Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 2001'de.^[4]

AES, Rijndael'in bir alt kümesidir blok şifreleme^[3] iki tarafından geliştirildi Belçikalı kriptograflar, Vincent Rijmen ve Joan Daemen, teklif veren^[5] sırasında NIST'e AES seçim süreci.^[6] Rijndael, farklı anahtar ve blok boyutlarına sahip bir şifreleme ailesidir. AES için NIST, Rijndael ailesinin her biri 128 bitlik blok boyutuna, ancak üç farklı anahtar uzunluğuna sahip üç üyesini seçti: 128, 192 ve 256 bit.

AES, ABD hükümeti ve artık dünya çapında kullanılmaktadır. Yerine geçer Veri Şifreleme Standardı (DES),^[7] 1977'de yayınlanmıştır. AES tarafından açıklanan algoritma, simetrik anahtar algoritması yani aynı anahtar, verilerin hem şifrelenmesi hem de şifresinin çözülmesi için kullanılır.

Amerika Birleşik Devletleri'nde AES, NIST tarafından ABD olarak açıklandı. FIPS PUB 197 (FIPS 197), 26 Kasım 2001.^[4] Bu duyuru, Rijndael şifresinin en uygun olarak seçilmesinden önce on beş rakip tasarımın sunulduğu ve değerlendirildiği beş yıllık bir standardizasyon sürecini takip etti (bkz. Gelişmiş Şifreleme Standardı süreci daha fazla ayrıntı için).

AES, ISO /IEC 18033-3 standart. AES, ABD tarafından onaylandıktan sonra 26 Mayıs 2002'de ABD federal hükümet standardı olarak yürürlüğe girdi. Ticaret Bakanı. AES, birçok farklı şifreleme paketinde mevcuttur ve ilk (ve tek) halka açık olanıdır şifre ABD tarafından onaylandı Ulusal Güvenlik Ajansı (NSA) için çok gizli NSA onaylı bir kriptografik modülde kullanıldığında bilgi (bkz. AES Güvenliği, altında).

Kesin standartlar

Gelişmiş Şifreleme Standardı (AES) aşağıdakilerin her birinde tanımlanmıştır:

• FIPS PUB 197: Gelişmiş Şifreleme Standardı (AES)^[4]
• ISO / IEC 18033-3: Blok şifreleri^[8]

Şifrelerin açıklaması

AES olarak bilinen bir tasarım ilkesine dayanmaktadır. ikame-permütasyon ağı ve hem yazılım hem de donanım açısından etkilidir.^[9] Önceki DES'in aksine, AES bir Feistel ağı. AES, sabit bir Rijndael çeşididir. blok boyutu 128 bitler ve bir anahtar boyutu 128, 192 veya 256 bit. Aksine, Rijndael aslında minimum 128 ve maksimum 256 bit olmak üzere 32 bitin herhangi bir katı olabilen blok ve anahtar boyutlarıyla belirtilir.

AES, 4 × 4 sütun ana sıralama bayt dizisi durum.^{[not 3]} Çoğu AES hesaplaması belirli bir sonlu alan.

Örneğin 16 bayt, ${displaystyle b_ {0}, b_ {1}, ..., b_ {15}}$ bu iki boyutlu dizi olarak temsil edilir:

${displaystyle {egin {bmatrix} b_ {0} & b_ {4} & b_ {8} & b_ {12} b_ {1} & b_ {5} & b_ {9} & b_ {13} b_ {2} & b_ {6} & b_ {10} & b_ {14} b_ {3} & b_ {7} & b_ {11} & b_ {15} end {bmatrix}}}$

Bir AES şifresi için kullanılan anahtar boyutu, girdiyi dönüştüren dönüşüm turlarının sayısını belirtir. düz metin son çıktıya, adı verilen şifreli metin. Tur sayısı aşağıdaki gibidir:

• 128 bit anahtarlar için 10 tur.
• 192 bit anahtarlar için 12 tur.
• 256 bit anahtarlar için 14 tur.

Her tur, şifreleme anahtarının kendisine bağlı olanlar da dahil olmak üzere birkaç işlem adımından oluşur. Şifreli metni aynı şifreleme anahtarını kullanarak orijinal düz metne dönüştürmek için bir dizi ters tur uygulanır.

Algoritmanın üst düzey açıklaması

1. KeyExpansion - yuvarlak anahtarlar, şifreleme anahtarından türetilir. AES anahtar programı. AES, her tur için ayrı bir 128 bit yuvarlak anahtar bloğu ve bir tane daha gerektirir.
2. İlk yuvarlak anahtar ekleme:
   1. AddRoundKey - durumun her bir baytı, kullanılarak yuvarlak anahtarın bir baytı ile birleştirilir bitsel xor.
3. 9, 11 veya 13 mermi:
   1. SubBytes - bir doğrusal olmayan her baytın bir diğeriyle değiştirildiği yer değiştirme adımı, arama tablosu.
   2. ShiftRows - durumun son üç satırının belirli sayıda adımda döngüsel olarak kaydırıldığı bir transpozisyon adımı.
   3. MixColumns - her bir sütundaki dört baytı birleştiren, durumun sütunlarında çalışan doğrusal bir karıştırma işlemi.
   4. AddRoundKey
4. Final turu (toplamda 10, 12 veya 14 tur yaparak):
   1. SubBytes
   2. ShiftRows
   3. AddRoundKey

SubBytes adım

İçinde SubBytes adım, durumdaki her bir bayt, sabit bir 8 bitlik arama tablosundaki girişiyle değiştirilir, S; b_ij = S (bir_ij).

İçinde SubBytes adım, her bayt ${displaystyle a_ {i, j}}$ içinde durum dizi bir ile değiştirilir SubByte ${displaystyle S (a_ {i, j})}$ 8 bit kullanarak ikame kutusu. Bu işlem, doğrusal olmama durumunu sağlar. şifre. Kullanılan S-box, çarpımsal ters bitmiş GF (2⁸), doğrusal olmayan özelliklere sahip olduğu bilinmektedir. Basit cebirsel özelliklere dayalı saldırılardan kaçınmak için, S-box ters fonksiyon ile ters çevrilebilir afin dönüşüm. S-box ayrıca herhangi bir sabit noktadan kaçınmak için seçilmiştir (ve düzensizlik ), yani ${displaystyle S (a_ {i, j}) eq a_ {i, j}}$ve ayrıca herhangi bir zıt sabit nokta, yani ${displaystyle S (a_ {i, j}) oplus a_ {i, j} eq {ext {FF}} _ {16}}$Şifre çözme işlemi gerçekleştirilirken, InvSubBytes adım (tersi SubBytes), ilk önce afin dönüşümün tersini almayı ve ardından çarpımsal tersini bulmayı gerektiren.

ShiftRows adım

İçinde ShiftRows adımda, durumun her satırındaki baytlar döngüsel olarak sola kaydırılır. Her baytın kaydırıldığı yer sayısı, her satır için kademeli olarak değişir.

ShiftRows adım, devletin satırları üzerinde çalışır; her satırdaki baytları belirli bir oranda değiştirir ofset. AES için ilk satır değiştirilmeden bırakılır. İkinci satırın her bir baytı bir sola kaydırılır. Benzer şekilde, üçüncü ve dördüncü sıralar sırasıyla iki ve üç ofsetlerle kaydırılır.^{[not 4]} Bu şekilde, çıktı durumunun her bir sütunu ShiftRows adım, giriş durumunun her sütunundaki baytlardan oluşur. Bu adımın önemi, sütunların bağımsız olarak şifrelenmesini önlemektir, bu durumda AES, dört bağımsız blok şifresine dönüşür.

MixColumns adım

İçinde MixColumns adım, durumun her sütunu sabit bir polinom ile çarpılır ${displaystyle c (x)}$.

İçinde MixColumns adımda, durumun her bir sütununun dört baytı bir ters çevrilebilir doğrusal dönüşüm. MixColumns işlev, girdi olarak dört bayt alır ve her bir girdi baytının dört çıktı baytını etkilediği dört bayt çıktı verir. Birlikte ShiftRows, MixColumns sağlar yayılma şifrede.

Bu işlem sırasında, her sütun sabit bir matris kullanılarak dönüştürülür (sol-sütun ile çarpılan matris, durumda yeni sütun değerini verir):

${displaystyle {egin {bmatrix} b_ {0, j} b_ {1, j} b_ {2, j} b_ {3, j} end {bmatrix}} = {egin {bmatrix} 2 & 3 & 1 & 1 1 & 2 & 3 & 1 1 & 1 & 2 & 3 3 & 1 & 1 & 2son {bmatrix}} {egin {bmatrix} a_ {0, j} a_ {1, j} a_ {2, j} a_ {3, j} end {bmatrix}} qquad 0leq jleq 3}$

Matris çarpımı, girişlerin çarpılması ve toplanmasından oluşur. Girişler, sıranın polinom katsayıları olarak değerlendirilen baytlardır ${displaystyle x ^ {7}}$. Ekleme basitçe XOR'dir. Çarpma modulo indirgenemez polinomdur ${displaystyle x ^ {8} + x ^ {4} + x ^ {3} + x + 1}$. Parça parça işlenirse, geçişten sonra bir koşullu ÖZELVEYA 1B ile₁₆ kaydırılan değer FF'den büyükse gerçekleştirilmelidir₁₆ (taşma, polinom oluşturmanın çıkarılmasıyla düzeltilmelidir). Bunlar, normal çarpma işleminin özel durumlarıdır. ${displaystyle operatorname {GF} (2 ^ {8})}$.

Daha genel anlamda, her sütun bir polinom olarak değerlendirilir. ${displaystyle operatorname {GF} (2 ^ {8})}$ ve sonra çarpılır modulo ${displaystyle {01} _ {16} cdot z ^ {4} + {01} _ {16}}$ sabit bir polinom ile ${displaystyle c (z) = {03} _ {16} cdot z ^ {3} + {01} _ {16} cdot z ^ {2} + {01} _ {16} cdot z + {02} _ {16 }}$. Katsayılar, onaltılık bit polinomlarının ikili gösteriminin eşdeğeri ${displaystyle operatorname {GF} (2) [x]}$. MixColumns adım, gösterilen belirli bir çarpım olarak da görülebilir. MDS matrisi içinde sonlu alan ${displaystyle operatorname {GF} (2 ^ {8})}$. Bu süreç makalede daha ayrıntılı olarak açıklanmıştır. Rijndael MixColumns.

AddRoundKey adım

İçinde AddRoundKey adımda, durumun her bir baytı, kullanılarak yuvarlak alt anahtarın bir baytı ile birleştirilir. ÖZELVEYA operasyon (⊕).

İçinde AddRoundKey adım, alt anahtar durum ile birleştirilir. Her tur için, ana anahtar kelimeden bir alt anahtar türetilir. anahtar kullanma Rijndael'in önemli programı; her alt anahtar, durum ile aynı boyuttadır. Alt anahtar, durumun her baytı ile alt anahtarın karşılık gelen baytı bitsel olarak birleştirilerek eklenir. ÖZELVEYA.

Şifrenin optimizasyonu

32-bit veya daha büyük kelimelere sahip sistemlerde, bu şifrenin yürütülmesini hızlandırmak mümkündür. SubBytes ve ShiftRows ile adımlar MixColumns bunları bir dizi tablo aramasına dönüştürerek adım atın. Bu, dört 256 girişli 32 bitlik tablo gerektirir (birlikte 4096 bayt işgal eder). Daha sonra 16 tablo arama işlemi ve 12 adet 32-bit özel veya işlem ile bir tur gerçekleştirilebilir, ardından dört 32-bit özel veya işlem AddRoundKey adım.^[10] Alternatif olarak, tablo arama işlemi tek bir 256 girişli 32 bitlik tablo (1024 bayt işgal eden) ve ardından dairesel dönüş işlemleri ile gerçekleştirilebilir.

Bayt odaklı bir yaklaşım kullanarak, SubBytes, ShiftRows, ve MixColumns tek bir tur işlemine adım atar.^[11]

Güvenlik

Ulusal Güvenlik Ajansı (NSA), Rijndael dahil tüm AES finalistlerini inceledi ve hepsinin ABD Hükümeti sınıflandırılmamış veriler için yeterince güvenli olduğunu belirtti. Haziran 2003'te ABD Hükümeti, AES'nin koruma amacıyla kullanılabileceğini duyurdu. sınıflandırılmış bilgi:

AES algoritmasının tüm anahtar uzunluklarının (yani 128, 192 ve 256) tasarımı ve gücü, gizli bilgileri SECRET seviyesine kadar korumak için yeterlidir. EN GİZLİ bilgiler, 192 veya 256 anahtar uzunluğunun kullanılmasını gerektirir. Ulusal güvenlik sistemlerini ve / veya bilgileri korumayı amaçlayan ürünlerde AES uygulaması, edinilmeden ve kullanılmadan önce NSA tarafından incelenmeli ve onaylanmalıdır.^[12]

AES, 128 bit anahtarlar için 10 tur, 192 bit anahtarlar için 12 tur ve 256 bit anahtarlar için 14 tura sahiptir.

2006'da, bilinen en iyi saldırılar 128 bit anahtarlar için 7 tur, 192 bit anahtarlar için 8 tur ve 256 bit anahtarlar için 9 turdu.^[13]

Bilinen saldırılar

Kriptograflar için bir kriptografik "mola", bir kaba kuvvet saldırısı - yani, sırayla olası her anahtar için bir deneme şifre çözme işlemi gerçekleştirmek (bkz. Kriptanaliz ). Böylelikle bir ara, mevcut teknolojiyle mümkün olmayan sonuçları içerebilir. Pratik olmamakla birlikte, teorik kırılmalar bazen güvenlik açığı kalıpları hakkında fikir verebilir. Yaygın olarak uygulanan bir blok şifre şifreleme algoritmasına karşı kamuya açık olarak bilinen en büyük başarılı kaba kuvvet saldırısı, 64 bitlik bir RC5 anahtar dağıtılmış.net 2006 yılında.^[14]

Anahtar alanı, anahtar uzunluğunun her bir biti için 2 kat artar ve anahtarın olası her değeri eşlenebilir ise, bu, ortalama kaba kuvvet anahtar arama süresinin iki katına çıkması anlamına gelir. Bu, kaba kuvvet araştırmasının çabasının anahtar uzunluğu ile katlanarak arttığı anlamına gelir. Anahtar uzunluğu, saldırılara karşı güvenlik anlamına gelmez, çünkü çok uzun anahtarlara sahip olan ve savunmasız olduğu tespit edilen şifreler vardır.

AES, oldukça basit bir cebirsel çerçeveye sahiptir.^[15] 2002'de teorik bir saldırı "XSL saldırısı ", tarafından duyuruldu Nicolas Courtois ve Josef Pieprzyk, kısmen doğrusal olmayan bileşenlerinin düşük karmaşıklığından dolayı AES algoritmasında bir zayıflık gösterdiği iddia ediliyor.^[16] O zamandan beri, diğer makaleler, saldırının, başlangıçta sunulduğu şekliyle, işe yaramaz olduğunu gösterdi; görmek Blok şifrelere XSL saldırısı.

AES seçim süreci sırasında, rakip algoritmaların geliştiricileri Rijndael'in algoritması hakkında "güvenlik açısından kritik uygulamalarda [onun] kullanımı konusunda endişeliyiz" diye yazdı.^[17] Ancak Ekim 2000'de AES seçim sürecinin sonunda, Bruce Schneier, rakip algoritmanın geliştiricisi İki balık, bir gün Rijndael'e yönelik başarılı akademik saldırıların geliştirileceğini düşünürken, "kimsenin Rijndael trafiğini okumasına izin verecek bir saldırı keşfedeceğine inanmadığını" yazdı.^[18]

Mayıs 2009'a kadar, tam AES'e karşı yayınlanan tek başarılı saldırı yan kanal saldırıları bazı özel uygulamalarda. 2009'da yeni bir ilgili anahtar saldırısı AES'nin temel programının basitliğinden yararlandığı ve 2 karmaşıklığa sahip olduğu keşfedildi.¹¹⁹. Aralık 2009'da 2'ye yükseltildi^99.5.^[2] Bu, 2009'un başlarında keşfedilen bir saldırının devamı niteliğindedir. Alex Biryukov, Dmitry Khovratovich ve Ivica Nikolić, karmaşıklığı 2⁹⁶ her 2 kişiden biri için³⁵ anahtarlar.^[19] Bununla birlikte, uygun şekilde tasarlanmış bir protokol (yani uygulama yazılımı) ilgili anahtarlara izin vermemeye özen göstereceğinden, ilgili anahtar saldırıları, uygun şekilde tasarlanmış herhangi bir kriptografik protokolde söz konusu değildir. kısıtlayıcı bir saldırganın ilişki için anahtar seçme aracı.

Bir başka saldırı Bruce Schneier tarafından bloglandı^[20]30 Temmuz 2009'da ve ön baskı olarak yayınlandı^[21]Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich ve Adi Shamir, yalnızca iki ilgili anahtar ve 2 anahtar kullanan AES-256'ya karşı³⁹ 9 yuvarlak sürümün 256 bitlik anahtarının tamamını kurtarma süresi veya 2⁴⁵ Daha güçlü türde ilgili alt anahtar saldırısı içeren 10 turluk bir sürüm için süre veya 2⁷⁰ 11 turluk versiyon için zaman. 256 bit AES, 14 tur kullanır, bu nedenle bu saldırılar tam AES'e karşı etkili değildir.

Bu saldırıların daha güçlü ilgili anahtarlarla pratikliği eleştirildi,^[22] örneğin, 2010'da Vincent Rijmen tarafından yazılan, AES-128'e yönelik seçilmiş anahtar ilişkiler saldırıları üzerine kağıt.^[23]

Kasım 2009'da ilk bilinen anahtar ayırt edici saldırı AES-128'in azaltılmış 8 turlu versiyonuna karşı ön baskı olarak piyasaya sürüldü.^[24]Bu bilinen anahtar ayırt edici saldırı, AES benzeri permütasyonlara karşı ribaundun veya ortadan başlama saldırısının iyileştirilmesidir; bu, iki ardışık permütasyon turunu sözde bir Super-S-box uygulaması olarak görür. . AES-128'in 8 turlu versiyonunda çalışır, zaman karmaşıklığı 2'dir.⁴⁸ve hafıza karmaşıklığı 2³². 128-bit AES 10 tur kullanır, bu nedenle bu saldırı tam AES-128'e karşı etkili değildir.

İlk anahtar kurtarma saldırıları Tam AES'de Andrey Bogdanov, Dmitry Khovratovich ve Christian Rechberger tarafından yazılmış ve 2011'de yayımlanmıştır.^[25] Saldırı bir biclik saldırı ve kaba kuvvetten yaklaşık dört kat daha hızlıdır. 2 gerektirir^126.2 AES-128 anahtarını kurtarma işlemleri. AES-192 ve AES-256 için 2^190.2 ve 2^254.6 sırasıyla işlemlere ihtiyaç vardır. Bu sonuç 2'ye yükseltildi^126.0 AES-128 için, 2^189.9 AES-192 ve 2 için^254.3 AES-256 için,^[26] AES'e karşı anahtar kurtarma saldırısında şu anki en iyi sonuçlar.

126 bitlik bir anahtarın (128 bit yerine) mevcut ve öngörülebilir donanım üzerinde kaba kuvvet uygulanması milyarlarca yıl alacağından, bu çok küçük bir kazançtır. Ayrıca yazarlar, 128-bitlik bir anahtarla AES üzerindeki tekniklerini kullanarak en iyi saldırıyı hesaplarlar.⁸⁸ veri bitleri. Bu, yaklaşık 38 trilyon terabayt veriye denk geliyor ki bu, 2016'da gezegendeki tüm bilgisayarlarda depolanan tüm verilerden daha fazlası. Bu nedenle, AES güvenliği üzerinde pratik bir etkisi yoktur.^[27] Alan karmaşıklığı daha sonra 2'ye yükseltildi⁵⁶ bitler^[26] 9007 terabayttır.

Göre Snowden belgeleri NSA, aşağıdakilere dayalı bir kriptografik saldırının olup olmadığı konusunda araştırma yapıyor tau istatistiği AES'yi kırmaya yardımcı olabilir.^[28]

Şu anda, anahtar bilgisi olmayan birinin doğru şekilde uygulandığında AES tarafından şifrelenmiş verileri okumasına izin verecek bilinen hiçbir pratik saldırı yoktur.

Yan kanal saldırıları

Yan kanal saldırıları şifreye bir siyah kutu ve bu nedenle, klasik bağlamda tanımlandığı gibi şifre güvenliğiyle ilgili değildir, ancak pratikte önemlidir. Yanlışlıkla veri sızdıran donanım veya yazılım sistemlerinde şifrenin uygulamalarına saldırırlar. AES'nin çeşitli uygulamalarına yönelik bilinen birkaç saldırı vardır.

Nisan 2005'te, D.J. Bernstein kullanılan özel bir sunucuyu kırmak için kullandığı bir önbellek zamanlama saldırısı duyurdu OpenSSL AES şifrelemesi.^[29] Saldırı için 200 milyondan fazla seçilmiş düz metin gerekiyordu.^[30] Özel sunucu, olabildiğince fazla zamanlama bilgisi vermek üzere tasarlanmıştır (sunucu, şifreleme işlemi tarafından alınan makine döngüsü sayısını geri bildirir). Bununla birlikte, Bernstein'ın da belirttiği gibi, "sunucunun zaman damgalarının hassasiyetini azaltmak veya bunları sunucunun yanıtlarından çıkarmak saldırıyı durdurmaz: istemci yalnızca yerel saatine göre gidiş-dönüş zamanlamalarını kullanır ve artan gürültüyü telafi eder daha fazla sayıda örneğin ortalamasını alarak. "^[29]

Ekim 2005'te Dag Arne Osvik, Adi Shamir ve Eran Tromer, OpenSSL ve Linux'ta bulunan AES'deki uygulamalara karşı birkaç önbellek zamanlama saldırısını gösteren bir makale sundu. dm-crypt bölüm şifreleme işlevi.^[31] Bir saldırı, şifrelemeleri tetikleyen yalnızca 800 işlemden sonra, toplam 65 milisaniyede bir AES anahtarının tamamını elde edebildi. Bu saldırı, saldırganın AES gerçekleştiren aynı sistem veya platformda programları çalıştırabilmesini gerektirir.

Aralık 2009'da, kullanılan bazı donanım uygulamalarına yönelik bir saldırı yayınlandı diferansiyel hata analizi ve karmaşıklığı 2 olan bir anahtarın kurtarılmasına izin verir³².^[32]

Kasım 2010'da Endre Bangerter, David Gullasch ve Stephan Krenn, şifreli metne veya düz metne ihtiyaç duymadan AES-128'den gizli anahtarların "neredeyse gerçek zamanlı" kurtarılmasına pratik bir yaklaşım açıklayan bir makale yayınladılar. Yaklaşım ayrıca OpenSSL gibi sıkıştırma tabloları kullanan AES-128 uygulamaları üzerinde de çalışır.^[33] Daha önceki bazı saldırılar gibi, bu da AES şifrelemesini gerçekleştiren sistemde ayrıcalıksız kod çalıştırma yeteneğini gerektirir; bu, kötü amaçlı yazılım bulaşmasıyla elde edilebilir, kök hesaba komuta etmekten çok daha kolaydır.^[34]

Mart 2016'da Ashokkumar C., Ravi Prakash Giri ve Bernard Menezes, 128 bitlik AES anahtarının tamamını sadece 6-7 blok düz metin / şifreli metin içinde kurtarabilen AES uygulamalarına yönelik bir yan kanal saldırısı sundu; 100 ila bir milyon arasında şifreleme gerektiren önceki çalışmalar.^[35] Önerilen saldırı, standart kullanıcı ayrıcalığı gerektirir ve anahtar alma algoritmaları bir dakikadan kısa sürede çalıştırılır.

Birçok modern CPU'da yerleşik AES için donanım talimatları, zamanlama ile ilgili yan kanal saldırılarına karşı koruma sağlar.^[36][37]

NIST / CSEC doğrulaması

Şifreleme Modülü Doğrulama Programı (CMVP), Amerika Birleşik Devletleri Hükümeti tarafından ortaklaşa işletilmektedir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Bilgisayar Güvenliği Bölümü ve İletişim Güvenliği Kuruluşu Kanada Hükümeti'nin (CSE). NIST için doğrulanan kriptografik modüllerin kullanımı FIPS 140-2 Hassas ancak Sınıflandırılmamış (SBU) veya üzeri bir sınıflandırmaya sahip tüm verilerin şifrelenmesi için Amerika Birleşik Devletleri Hükümeti tarafından gereklidir. Bilgi Güvencesinin Toplanmasını Yöneten Ulusal Politika, NSTISSP # 11'den: "Sınıflandırılmış bilgileri korumaya yönelik şifreleme ürünleri NSA tarafından onaylanacak ve hassas bilgileri korumaya yönelik şifreleme ürünleri NIST FIPS 140-2'ye göre onaylanacaktır."^[38]

Kanada Hükümeti ayrıca aşağıdakilerin kullanılmasını önermektedir: FIPS 140 departmanlarının sınıflandırılmamış uygulamalarında doğrulanmış kriptografik modüller.

NIST yayını 197 ("FIPS 197"), AES algoritmasını kapsayan benzersiz bir belge olmasına rağmen, satıcılar genellikle CMVP'ye FIPS 140 kapsamında yaklaşır ve birkaç algoritmaya (örneğin Üçlü DES veya SHA1 ) aynı zamanda doğrulanmıştır. Bu nedenle, benzersiz bir şekilde FIPS 197 onaylı kriptografik modüller bulmak nadirdir ve NIST'in kendisi genel web sitesinde FIPS 197 doğrulanmış modülleri ayrı ayrı listelemek için genellikle zaman almaz. Bunun yerine, FIPS 197 doğrulaması, FIPS 140 doğrulanmış şifreleme modüllerinin mevcut listesinde tipik olarak "FIPS onaylı: AES" gösterimi (belirli bir FIPS 197 sertifika numarasıyla) olarak listelenir.

Kriptografik Algoritma Doğrulama Programı (CAVP)^[39] AES algoritmasının doğru uygulanmasının bağımsız olarak doğrulanmasına izin verir. Başarılı doğrulama, NIST doğrulamaları sayfasında listelenmesiyle sonuçlanır.^[40] Bu test, aşağıda açıklanan FIPS 140-2 modül doğrulaması için bir ön koşuldur. Bununla birlikte, başarılı CAVP doğrulaması hiçbir şekilde algoritmayı uygulayan kriptografik modülün güvenli olduğu anlamına gelmez. FIPS 140-2 doğrulamasından veya NSA tarafından özel onaydan yoksun bir kriptografik modül, ABD Hükümeti tarafından güvenli kabul edilmez ve hükümet verilerini korumak için kullanılamaz.^[38]

FIPS 140-2 doğrulamasını hem teknik hem de mali olarak başarmak zordur.^[41] Standartlaştırılmış bir dizi test ve birkaç haftalık bir süre içinde geçilmesi gereken bir kaynak kodu incelemesi unsuru vardır. Bu testleri onaylı bir laboratuar aracılığıyla gerçekleştirmenin maliyeti önemli olabilir (örneğin, 30.000 ABD Dolarının çok üzerinde)^[41] ve doğrulama için bir modül yazmak, test etmek, belgelemek ve hazırlamak için gereken süreyi içermez. Doğrulamadan sonra, modüller herhangi bir şekilde değiştirilirse yeniden gönderilmeli ve yeniden değerlendirilmelidir. Bu, güvenlik işlevi değişiklikten etkilenmişse, güvenlik işlevi daha önemli bir yeniden test setine geçmediyse, basit evrak güncellemelerinden farklı olabilir.

Test vektörleri

Test vektörleri, belirli bir giriş ve anahtar için bilinen bir dizi şifredir. NIST, AES test vektörlerinin referansını AES Bilinen Cevap Testi (KAT) Vektörleri olarak dağıtır.^{[not 5]}

Verim

Yüksek hız ve düşük RAM gereksinimleri, AES seçim sürecinin kriterleriydi. AES, seçilen algoritma olarak, 8 bitten çok çeşitli donanımlarda iyi performans gösterdi akıllı kartlar yüksek performanslı bilgisayarlara.

Bir Pentium Pro, AES şifrelemesi bayt başına 18 saat döngüsü gerektirir,^[42] 200 MHz işlemci için yaklaşık 11 MiB / sn'lik bir iş hacmine denktir.

Intel'de Core i3 /i5 /i7 ve AMD Ryzen Destekleyen CPU'lar AES-NI komut seti uzantılar, iş hacmi birden çok GB / sn olabilir (10 GB / sn'nin üzerinde bile).^[43]

Uygulamalar

Ayrıca bakınız

• AES çalışma modları
• Disk şifreleme
• Ağ şifreleme
• Girdap - Vincent Rijmen ve Paulo S. L.M. Barreto tarafından oluşturulan hash işlevi
• Ücretsiz ve açık kaynaklı yazılım paketlerinin listesi

Notlar

Referanslar

Dış bağlantılar

• "256bit anahtar - 128bit blok - AES". Kriptografi - 256 bit Şifreler: Referans kaynak kodu ve uluslararası kriptografik tasarım yarışmalarına başvurular. Gömülü SW.
• "Gelişmiş Şifreleme Standardı (AES)" (PDF). Federal Bilgi İşleme Standartları. 26 Kasım 2001. doi:10.6028 / NIST.FIPS.197. 197.
• AES algoritması arşiv bilgisi - (eski, bakılmamış)
• "Bölüm 3: Şifreleri engelle" (PDF). Bilgi teknolojisi - Güvenlik teknikleri - Şifreleme algoritmaları (2. baskı). ISO. 2010-12-15. ISO / IEC 18033-3: 2010 (E).
• Rijndael'in animasyonu - AES, Flash kullanılarak derinlemesine açıklandı ve canlandırıldı (Enrique Zabala / ORT / Montevideo / Uruguay Üniversitesi). Bu animasyon (İngilizce, İspanyolca ve Almanca) aynı zamanda CrypTool 1 (Bireysel Prosedürler menüsü → Algoritmaların Görselleştirilmesi → AES).

• Rijndael'in HTML5 Animasyonu - Yukarıdaki ile aynı Animasyon HTML5'te yapılmıştır.