同类最佳：AES加密标准的历史

自2020年5月以来，支持256位密钥AES硬件加密的WD My Book外置硬盘在俄罗斯开始正式销售。由于法律限制，以前只能在国外在线电子商店或“灰色”市场购买此类设备，但现在任何人都可以从Western Digital获得具有品牌3年保修的受保护驱动器。为了纪念这一重大事件，我们决定对历史进行短暂考察，并弄清楚高级加密标准是如何产生的，以及与竞争解决方案相比为什么如此出色。



长期以来，美国对称加密的官方标准是DES（数据加密标准），该标准由IBM开发，并于1977年列入联邦信息处理标准（FIPS 46-3）列表中。该算法基于在代号为Lucifer的研究项目中获得的进展。 1973年5月15日，美国国家标准局宣布了为政府机构创建加密标准的竞赛，这家美国公司使用更新的Feistel网络参加了Lucifer第三版的加密竞赛。与其他参赛者一样，它也遭受了惨败：首届比赛提出的算法均未达到国家统计局专家制定的严格要求。





当然，IBM不能仅仅以失败告终：在1974年8月27日重新启动竞赛时，这家美国公司重新提出申请，提出了改进的Lucifer版本。这次，陪审团没有提出任何投诉：经过对错误的充分工作之后，IBM成功消除了所有缺点，因此没有什么可抱怨的。赢得了令人信服的胜利后，路西法（Lucifer）更名为DES，并于1975年3月17日发表在《联邦公报》上。



但是，在1976年组织的公开讨论会上讨论了新的加密标准时，DES受到了专家社区的严厉批评。原因是NSA专家对算法进行了更改：尤其是将密钥长度减少到56位（最初是Lucifer支持使用64位和128位密钥的工作），并且更改了置换块的逻辑。根据密码学家的说法，“改进”是没有意义的，而国家安全局唯一力求引入修改的事情是能够自由查看加密文档。



针对上述指控，在美国参议院下成立了一个特别委员会，其目的是验证国家安全局行动的有效性。1978年，调查之后发表了一份报告，报告如下：

• NSA代表仅间接参与了DES的定稿，而他们的贡献仅涉及置换块操作的变化；
• 发现DES的最终版本比原始版本更能抵御破解和密码分析，因此更改是合理的；
• 56位的密钥长度对于绝大多数应用程序来说绰绰有余，因为破解这种密码将需要一台至少价值数千万美元的超级计算机，并且由于普通攻击者甚至专业黑客都没有这种资源，因此无需担心。

该委员会的结论在1990年得到了部分证实，当时从事差分密码分析概念的以色列密码学家Eli Biham和Adi Shamir对包括DES在内的块算法进行了大量研究。科学家得出的结论是，新的置换模型比原来的具有更强的抵抗力，这意味着NSA确实有助于消除算法中的几个漏洞。





Adi Shamir



同时，对密钥长度的限制被证明是一个问题，这是一个非常严重的问题，电子前沿基金会（EFF）在RSA实验室的主持下进行的DES Challenge II实验于1998年令人信服地证明了这一点。超级计算机代号为EFF DES Cracker，专门用于破解DES，由EFF联合创始人，DES Challenge项目负责人John Gilmore和密码学研究创始人Paul Kocher共同开发。





处理器EFF DES Cracker



他们开发的系统能够在短短56小时内（即不到三天的时间内）通过简单的蛮力方法成功找到加密样本的密钥。为此，DES Cracker需要检查所有可能组合的大约四分之一，这意味着即使在最不利的情况下，破解也需要大约224小时，即不超过10天。同时，考虑到超级计算机的设计资金，超级计算机的成本仅为25万美元。很容易猜到，如今破解这样的密码变得更加容易和便宜：不仅硬件变得更加强大，而且由于互联网技术的发展，黑客不必购买或租用必要的设备-足以从感染了病毒的PC上创建一个僵尸网络。



该实验清楚地证明了DES是过时的。而且由于那时该算法在数据加密领域（根据相同的EFF）中几乎有50％的解决方案中使用了，因此寻找替代方案的问题比以往任何时候都更加迫切。

新挑战-新竞争

公平地说，应该说，寻找替代数据加密标准的过程几乎与EFF DES Cracker的准备工作同时开始：美国国家标准技术研究院（NIST）于1997年宣布发起一场加密算法竞赛，旨在确定新的用于加密安全的``黄金标准''。而且，如果过去曾经专门为“我们自己的人民”举办过类似的活动，那么，考虑到30年前的糟糕经历，NIST决定完全公开竞争：任何公司和任何个人都可以参加比赛，而不论其地点或地点如何。国籍。



这种方法甚至在选择申请人的阶段就取得了成功：申请参加高级加密标准竞赛的作者中包括世界著名的密码学家（罗斯安德森，埃利·比厄姆，拉尔斯·克努森）和专门从事网络安全的小型IT公司（Counterpane） ），大型公司（德国电信）和教育机构（比利时鲁汶天主教大学），以及鲜为人知的国外创业公司和小型公司（例如哥斯达黎加的Tecnologia Apropriada Internacional）。



有趣的是，这次NIST仅批准了参与算法的两个基本要求：

• 数据块必须具有128位的固定大小；
• 该算法必须至少支持三个密钥大小：128、192和256位。

达到这样的结果相对容易，但是，正如他们所说，魔鬼在细节上：有更多的次要要求，要满足这些要求要困难得多。同时，正是基于他们的基础，NIST评审才选出了参赛者。以下是竞争者获胜的标准：

1. 抵抗比赛时已知的任何密码分析攻击的能力，包括通过旁通道的攻击；
2. 缺少弱而等效的加密密钥（等效是指尽管彼此之间有显着差异但会导致收到相同密码的那些密钥）；
3. 加密速度稳定，并且在所有当前平台上（从8位到64位）几乎相同；
4. 优化多处理器系统，支持并行操作；
5. RAM数量的最低要求；
6. 在标准场景中使用时没有任何限制（作为构建哈希函数，PRNG等的基础）；
7. 算法的结构应该合理且易于理解。

最后一点可能看起来很奇怪，但是如果您考虑一下，这是有道理的，因为结构合理的算法更易于分析，而且要在其中隐藏一个“书签”要困难得多，开发人员可以通过它获得对加密数据的无限访问权限。



接受高级加密标准竞赛的申请持续了一年半。总共有15种算法参与其中：

1. CAST-256，由加拿大Entrust Technologies公司开发，基于Carlisle Adams和Stafford Tavares创建的CAST-128；
2. Crypton, Future Systems, ;
3. DEAL, , , ;
4. DFC, , (CNRS) France Telecom;
5. E2, Nippon Telegraph and Telephone;
6. FROG, - Tecnologia Apropriada Internacional;
7. HPC, ;
8. LOKI97, ;
9. Magenta, Deutsche Telekom AG;
10. MARS IBM, — Lucifer;
11. RC6, , AES;
12. Rijndael, ;
13. SAFER+, Cylink ;
14. Serpent, , ;
15. Twofish, Blowfish, 1993 .

在第一轮结束时，确定了5位决赛选手，其中有蛇，Twofish，MARS，RC6和Rijndael。陪审团发现除所列算法外，几乎所有列出的算法都有缺陷。谁是赢家？让我们稍微引申一下，首先考虑列出的每种解决方案的主要优点和缺点。

火星

在“战争之神”的情况下，专家指出了加密和解密程序的身份，但这仅限于其优点。事实证明，IBM的算法过于繁琐，这使其不适用于资源有限的操作。计算的并行化也存在问题。为了有效运行，MARS需要硬件支持32位乘法和轮换可变位数，这又对受支持平台的列表施加了限制。



事实证明，MARS相当容易受到时间和功耗的攻击，并且在动态扩展密钥时遇到问题，而且其过于复杂的结构使得难以分析架构，并在实际实施阶段产生了其他问题。简而言之，在其他决赛入围者的背景下，MARS看起来像是一个真正的局外人。

RC6

该算法继承了其前身RC5的某些转换，而RC5先前已经进行了彻底的研究，再加上简单直观的结构，使它对专家完全透明，并且排除了“书签”的存在。此外，RC6展示了在32位平台上的记录处理速度，并且其中的加密和解密过程完全相同。



但是，该算法具有与上述MARS相同的问题：存在侧通道攻击的漏洞，并且性能依赖于对32位操作的支持，以及并行计算，密钥扩展和对硬件资源的高要求等问题。在这方面，他绝对不适合胜任。

fish鱼

事实证明，Twofish非常灵活，并且针对低功率设备的工作进行了优化，能够很好地应对扩展键并采用了几种实现选项，从而可以针对特定任务对其进行微调。同时，“两条鱼”被证明容易受到旁通道的攻击（特别是在时间和功耗方面），对多处理器系统不是特别友好，而且极其复杂，从而偶然影响了密钥扩展速度。

蛇

该算法具有简单易懂的结构，极大地简化了审核，对硬件平台的功能要求不是特别高，支持“动态”扩展密钥，并且相对容易修改，这与它的反对者有所不同。尽管如此，从原则上说，Serpent是入围者中最慢的，此外，其中加密和解密信息的过程是根本不同的，需要根本不同的实现方法。

Rijndael

事实证明Rijndael非常接近理想状态：该算法完全满足NIST的要求，但并不逊色，就特性的整体而言，它明显优于竞争对手。Reindal仅存在两个弱点：密钥扩展过程很容易受到功耗攻击，这是一个非常特殊的场景，并且在进行动态密钥扩展时存在某些问题（此机制仅对两个参赛者（Serpent和Twofish没有限制）起作用。此外，根据专家的说法，Reindal的加密强度比Serpent，Twofish和MARS略低，但是抵御绝大多数类型的旁通道攻击和广泛的实现选择所抵销的强度却远远超过了后者。



就特征的整体而言，Reindahl在竞争者中遥遥领先，因此最终投票的结果是合乎逻辑的：该算法以压倒性优势获胜，获得86票赞成，10票反对。 Serpent以59票获得第二名，而Twofish则以31名陪审团成员排名第三。紧随其后的是RC6，赢得23票，而MARS自然地结束了最后一线，仅获得13票赞成和83票反对。



在2000年10月2日，Rijndael被宣布为AES竞赛的获胜者，传统上将其更名为Advanced Encryption Standard，如今已广为人知。标准化过程持续了大约一年的时间：2001年11月26日，AES被列入联邦信息处理标准列表，并获得FIPS 197索引，该新算法得到了NSA的高度评价，自2003年6月起，美国国家安全局甚至认可了256位密钥的AES。加密足够强大，可以确保归类为“最高机密”的文档的安全性。

具有AES-256硬件加密功能的WD My Book外置硬盘

由于其高可靠性和高性能的结合，Advanced Encryption Standard迅速获得了全世界的认可，成为世界上最受欢迎的对称加密算法之一，并成为许多加密库（OpenSSL，GnuTLS，Linux的Crypto API等）的一部分。 AES现在已广泛用于企业和消费者应用程序中，并得到各种设备的支持。特别是在My Book系列的Western Digital外部驱动器中使用的是硬件AES-256加密，以确保保护存储的数据。让我们仔细看看这些设备。





WD My Book系列台式机硬盘具有6、4、6、8、10、12和14 TB的六种容量，因此您可以选择最适合自己需求的一种。默认情况下，外部HDD使用exFAT文件系统，该文件系统提供与各种操作系统的兼容性，包括Microsoft Windows 7、8、8.1和10，以及Apple macOS版本10.13（High Sierra）及更高版本。 Linux用户可以使用exfat-nofuse驱动程序安装硬盘驱动器。



My Book使用高速USB 3.0连接到计算机，该USB 3.0向后兼容USB 2.0。一方面，这使您能够以尽可能高的速度传输文件，因为USB SuperSpeed带宽为5 Gb / s（即640 MB / s），事实证明这绰绰有余。同时，向后兼容功能为过去10年中发布的几乎所有设备提供了支持。





尽管My Book由于具有即插即用技术来自动检测和配置外围设备，因此不需要安装其他软件，但我们仍然建议使用每台设备随附的专有WD Discovery软件包。





该集合包括以下应用程序：

WD Drive实用程序

该程序使您可以基于SMART数据获取有关驱动器当前状态的最新信息，并检查硬盘驱动器中的坏扇区。此外，驱动器实用程序不仅可以删除文件，而且可以多次完全覆盖它们，从而可以快速擦除“我的书”中存储的所有数据，因此一旦完成该过程，就无法恢复它们。

WD备份

使用此实用程序，可以设置计划的备份。应该说WD Backup支持与Google Drive和Dropbox一起使用，同时允许您在创建备份时选择任何可能的源-目标组合。因此，您可以配置从My Book到云的自动数据传输，或者从列出的服务中将必要的文件和文件夹导入到外部硬盘驱动器和本地计算机。此外，您可以与您的Facebook帐户同步，从而可以自动备份个人资料中的照片和视频。

WD安全

使用此实用程序，您可以使用密码限制对驱动器的访问并管理数据加密。为此，所需要做的就是指定一个密码（最大长度为25个字符），之后将加密磁盘上的所有信息，只有知道密码的人才能访问保存的文件。为了提供更多的便利，WD Security允​​许您创建受信任设备的列表，这些设备在连接后会自动为My Book解锁。



我们强调，WD Security仅提供用于管理密码保护的便捷可视界面，而数据加密则由外部驱动器本身在硬件级别执行。这种方法提供了许多重要的好处，即：

• , , ;
• , , ;
• ;
• , « », .

以上所有这些保证了数据的安全性，并使您几乎完全消除了盗窃机密信息的可能性。考虑到驱动器的其他功能，这使My Book成为俄罗斯市场上最安全的存储设备之一。