Advanced Encryption Standard (AES), también conocido como Rijndael (pronunciación en neerlandés: /ˈrɛindaːl/), es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el gobierno de los Estados Unidos, creado en Bélgica. El AES fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años. Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES es uno de los algoritmos más populares usados en criptografía simétrica.
Advanced Encryption Standard | ||
---|---|---|
General | ||
Diseñador(es) | Vincent Rijmen y Joan Daemen | |
1ª publicación | 1998 | |
Antecesor | Square (cipher) | |
Sucesor | Anubis, Grand Cru, Kalyna | |
Certificación | AES winner, CRYPTREC, NESSIE, NSA | |
Detalle de cifrado | ||
Longitud de la clave | 128, 192 o 256 bits | |
Longitud de bloque | 128 bits | |
Estructura | SPN | |
Rounds | 10, 12 o 14 (dependiendo de la longitud de clave) | |
Mejor criptoanálisis público | ||
Se han publicado ataques que son computacionalmente más rápidos que uno de fuerza bruta, aunque ninguno a partir de 2013 que sea factible. Para AES-128, la clave se puede recuperar con una complejidad computacional de 2126.1 usando el ataque biclique. En el caso de estos ataques en AES-192 y AES-256, se aplican respectivamente las complejidades computacionales de 2189.7 y 2254,4 respectivamente. Los ataques clave relacionados pueden romper AES-192 y AES-256 con complejidades 299.5 y 2176 tanto en tiempo como en datos respectivamente. | ||
El cifrado fue desarrollado por dos criptólogos belgas, Joan Daemen y Vincent Rijmen, ambos estudiantes de la Katholieke Universiteit Leuven, y fue enviado al proceso de selección AES bajo el nombre "Rijndael", como parte de un concurso.
En 1997, el Instituto Nacional de Normas y Tecnología (NIST) decidió realizar un concurso para escoger un nuevo algoritmo de cifrado capaz de proteger información sensible durante el siglo XXI. Este concurso se denominó Advanced Encryption Standard (AES).
El 2 de enero de 1997 el NIST anunció su intención de desarrollar AES, con la ayuda de la industria y de la comunidad criptográfica. El 12 de septiembre de ese año se hizo la convocatoria formal. En esta convocatoria se indicaban varias condiciones para los algoritmos que se presentaran:
El 20 de agosto de 1998 el NIST anunció los 15 algoritmos admitidos en la primera conferencia AES:
La segunda conferencia AES tuvo lugar en marzo de 1999 donde se discutieron los análisis a los que fueron sometidos los candidatos por la comunidad criptográfica internacional. Se admitieron comentarios hasta el 15 de abril. El NIST decidió en agosto de 1999 cuales serían los 5 finalistas:
Estos algoritmos fueron sometidos a una segunda revisión, más exhaustiva, que duró hasta el 15 de mayo de 2000. Durante este periodo el NIST admitió análisis de los algoritmos finalistas.
Durante los días 13 y 14 de abril de 2000 tuvo lugar la tercera conferencia AES donde se discutieron los últimos análisis de los algoritmos finalistas. En ella estuvieron presentes los desarrolladores de los algoritmos finalistas.
El 15 de mayo de 2000 finalizó el periodo público de análisis. El NIST estudió toda la información disponible para decidir cual sería el algoritmo ganador. El 2 de octubre de 2000 se votó cual sería el algoritmo que finalmente ganaría el concurso. El resultado fue el siguiente:
El algoritmo Rijndael ganó el concurso y en noviembre de 2001 se publicó FIPS 197 donde se asumía oficialmente.
Rijndael fue un refinamiento de un diseño anterior de Daemen y Rijmen, Square; Square fue a su vez un desarrollo de Shark.
Al contrario que su predecesor DES, Rijndael es una red de sustitución-permutación, no una red de Feistel. AES es rápido tanto en software como en hardware, es relativamente fácil de implementar, y requiere poca memoria. Como nuevo estándar de cifrado, se está utilizando actualmente a gran escala.
Estrictamente hablando, AES no es precisamente Rijndael (aunque en la práctica se los llama de manera indistinta) ya que Rijndael permite un mayor rango de tamaño de bloques y longitud de claves; AES tiene un tamaño de bloque fijo de 128 bits y tamaños de clave de 128, 192 o 256 bits, mientras que Rijndael puede ser especificado por una clave que sea múltiplo de 32 bits, con un mínimo de 128 bits y un máximo de 256 bits.
La mayoría de los cálculos del algoritmo AES se hacen en un campo finito determinado.
AES opera en una matriz de 4×4 bytes, llamada state (algunas versiones de Rijndael con un tamaño de bloque mayor tienen columnas adicionales en el state).
Hasta 2005, no se ha encontrado ningún ataque exitoso contra el AES. La Agencia de Seguridad Nacional de los Estados Unidos (NSA) revisó todos los finalistas candidatos al AES, incluyendo el Rijndael, y declaró que todos ellos eran suficientemente seguros para su empleo en información no clasificada del gobierno de los Estados Unidos. En junio de 2003, el gobierno de los Estados Unidos anunció que el AES podía ser usado para información clasificada:
Este hecho marca la primera vez que el público ha tenido acceso a un cifrador aprobado por la NSA para información súper secreta (TOP SECRET). Es interesante notar que muchos productos públicos usan claves de 128 bits por defecto; es posible que la NSA sospeche de una debilidad fundamental en claves de este tamaño, [cita requerida] o simplemente prefieren tener un margen de seguridad para documentos supersecretos (que deberían conservar la seguridad durante décadas en el futuro).
El método más común de ataque hacia un cifrador por bloques consiste en intentar varios ataques sobre versiones del cifrador con un número menor de rondas. El AES tiene 10 rondas para claves de 128 bits, 12 rondas para claves de 192 bits, y 14 rondas para claves de 256 bits. Hasta 2005, los mejores ataques conocidos son sobre versiones reducidas a 7 rondas para claves de 128 bits, 8 rondas para claves de 192 bits, y 9 rondas para claves de 256 bits (Ferguson et al, 2000).
Algunos criptógrafos muestran preocupación sobre la seguridad del AES. Sienten que el margen entre el número de rondas especificado en el cifrador y los mejores ataques conocidos es muy pequeño. El riesgo es que se puede encontrar alguna manera de mejorar los ataques, y de ser así, el cifrado podría romperse (en el contexto criptográfico se considera "roto" un algoritmo si existe algún ataque más rápido que una búsqueda exhaustiva (ataque por fuerza bruta)). De modo que un ataque contra el AES de clave de 128 bits que requiera 'solo' 2120 operaciones sería considerado como un ataque que "rompe" el AES, aun tomando en cuenta que por ahora sería un ataque irrealizable. Hasta el momento, tales preocupaciones pueden ser ignoradas. El ataque de fuerza bruta más largamente publicitado y conocido ha sido contra una clave de 64 bits RC5 por distributed.net.
Otra preocupación es la estructura matemática de AES. A diferencia de la mayoría de cifradores de bloques, AES tiene una descripción matemática muy ordenada.[2][3] Esto no ha llevado todavía a ningún ataque, pero algunos investigadores están preocupados que futuros ataques quizá encuentren una manera de explotar esta estructura.
En 2002, un ataque teórico, denominado "ataque XSL", fue anunciado por Nicolas Courtois y Josef Pieprzyk, mostrando una potencial debilidad en el algoritmo AES. Varios expertos criptográficos han encontrado problemas en las matemáticas que hay por debajo del ataque propuesto, sugiriendo que los autores quizá hayan cometido un error en sus estimaciones. Si esta línea de ataque puede ser tomada contra AES, es una cuestión todavía abierta. Hasta el momento, el ataque XSL contra AES parece especulativo; es improbable que nadie pudiera llevar a cabo en la práctica este ataque.
Los ataques de canal lateral no atacan al cifrador en sí, sino a las implementaciones del cifrador en sistemas que revelan datos inadvertidamente.
En abril de 2005, Daniel J. Bernstein anunció un ataque temporizado de caché[4] que solía romper un servidor a medida que usaba el cifrado AES para OpenSSL. Este servidor fue diseñado para dar la mayor cantidad de información acerca de los tiempos de ejecución como fuera posible, y el ataque requería cerca de 200 millones de ficheros de texto en claro. Se dice que el ataque no es práctico en implementaciones del mundo real;[5] Bruce Schneier llamó a esta investigación un "bonito ataque de tiempos".[6]
En octubre de 2005, Adi Shamir y otros dos investigadores presentaron un artículo demostrando varios ataques de tiempos de caché[7] contra AES. Uno de los ataques obtuvo una clave de AES entera después de tan solo 800 escrituras, en 65 milisegundos. Este ataque requiere que el atacante pueda ejecutar programas en el mismo sistema que realiza el cifrado de AES.
En un procesador Pentium Pro, el cifrado de AES requiere de 18 ciclos por byte (cpb),[16] lo cual equivale a 11 MiB/s en un procesador de 200 MHz.
En los CPU Intel Core y AMD Ryzen que implementan el conjunto de instrucciones AES, el rendimiento puede alcanzar varios GiB/s (incluso más de 15 GiB/s en un modelo i7-12700k).[17] En un CPU con arquitectura Intel Westmere, el cifrado AES con este conjunto de instrucciones toma aproximadamente 1.3 cpb para AES-128 y 1.8 cpb para AES-256.[18]