Clever Geek Handbook

Meilleur de sa catégorie: l'histoire de la norme de cryptage AES



Depuis mai 2020, les ventes officielles de disques durs externes WD My Book prenant en charge le chiffrement matériel AES avec une clé de 256 bits ont commencé en Russie. En raison de restrictions législatives, auparavant, ces appareils ne pouvaient être achetés que dans les magasins d'électronique en ligne étrangers ou sur le marché «gris», mais maintenant, tout le monde peut obtenir un lecteur protégé avec une garantie de 3 ans de Western Digital. En l'honneur de cet événement mémorable, nous avons décidé de faire une courte excursion dans l'histoire et de comprendre comment Advanced Encryption Standard est né et pourquoi il est si bon par rapport aux solutions concurrentes.



Pendant longtemps, la norme officielle de cryptage symétrique aux États-Unis était le DES (Data Encryption Standard), développé par IBM et inclus dans la liste des Federal Information Processing Standards en 1977 (FIPS 46-3). L'algorithme est basé sur les développements obtenus lors d'un projet de recherche portant le nom de code Lucifer. Lorsque le 15 mai 1973, le National Bureau of Standards des États-Unis a annoncé un concours pour créer une norme de cryptage pour les agences gouvernementales, la société américaine est entrée dans la course cryptographique avec la troisième version de Lucifer, en utilisant le réseau Feistel mis à jour. Et avec d'autres concurrents, il a subi un fiasco: aucun des algorithmes présentés pour le premier concours ne répondait aux exigences strictes formulées par les experts du NBS.





Bien sûr, IBM ne pouvait pas se contenter d'accepter la défaite: lorsque la compétition a été relancée le 27 août 1974, la société américaine a réappliqué, présentant une version améliorée de Lucifer. Cette fois, le jury n'a pas eu une seule plainte: après avoir effectué un travail compétent sur les erreurs, IBM a réussi à éliminer toutes les lacunes, il n'y avait donc rien à redire. Ayant remporté une victoire convaincante, Lucifer a changé son nom en DES et a été publié dans le Federal Register le 17 mars 1975.



Cependant, lors de symposiums ouverts organisés en 1976 pour discuter d'un nouveau standard cryptographique, le DES a été fortement critiqué par la communauté d'experts. La raison en était les modifications apportées à l'algorithme par les spécialistes de la NSA: en particulier, la longueur de la clé a été réduite à 56 bits (initialement Lucifer supportait le travail avec des clés de 64 et 128 bits), et la logique des blocs de permutation a été modifiée. Selon les cryptographes, les «améliorations» n'avaient aucun sens et la seule chose que la National Security Agency s'efforçait, en introduisant des modifications, était de pouvoir consulter librement les documents cryptés.



Dans le cadre des accusations ci-dessus, une commission spéciale a été créée sous l'égide du Sénat américain, dont le but était de vérifier la validité des actions de la NSA. En 1978, un rapport a été publié à la suite de l'enquête, qui rapportait ce qui suit:



  • Les représentants de la NSA n'ont participé à la finalisation du DES qu'indirectement, tandis que leur contribution ne concernait que les changements dans le fonctionnement des blocs de permutation;
  • la version finale du DES s'est avérée plus résistante à la fissuration et à l'analyse cryptographique que l'original, les changements étaient donc justifiés;
  • une longueur de clé de 56 bits est plus que suffisante pour la grande majorité des applications, car casser un tel chiffrement nécessitera un supercalculateur valant au moins des dizaines de millions de dollars, et comme les attaquants ordinaires et même les pirates professionnels ne disposent pas de telles ressources, il n'y a rien à craindre.


Les conclusions de la commission ont été partiellement confirmées en 1990, lorsque les cryptographes israéliens Eli Biham et Adi Shamir, travaillant sur le concept de cryptanalyse différentielle, ont mené une vaste étude sur les algorithmes de blocs, dont DES. Les scientifiques ont conclu que le nouveau modèle de permutation s'est avéré beaucoup plus résistant aux attaques que l'original, ce qui signifie que la NSA a vraiment aidé à éliminer plusieurs trous dans l'algorithme.





Adi Shamir



Dans le même temps, la limitation de la longueur de clé s'est avérée être un problème, et très grave, ce qui a été prouvé de manière convaincante par l'Electronic Frontier Foundation (EFF) en 1998 dans le cadre de l'expérience DES Challenge II menée sous les auspices du RSA Laboratory. Un supercalculateur, nommé EFF DES Cracker, a été spécialement conçu pour le cracking DES, développé par John Gilmore, co-fondateur d'EFF et chef de projet du DES Challenge, et Paul Kocher, fondateur de Cryptography Research.





Processeur EFF DES Cracker



Le système qu'ils ont développé a réussi à trouver la clé d'un échantillon chiffré par une simple méthode de force brute en seulement 56 heures, soit en moins de trois jours. Pour ce faire, DES Cracker devait vérifier environ un quart de toutes les combinaisons possibles, ce qui signifie que même dans les circonstances les plus défavorables, il faudra environ 224 heures pour se fissurer, c'est-à-dire pas plus de 10 jours. Le coût du supercalculateur, compte tenu des fonds dépensés pour sa conception, ne s'élevait qu'à 250 mille dollars. Il est facile de deviner qu'aujourd'hui il est encore plus facile et moins cher de déchiffrer un tel chiffrement: non seulement le matériel est devenu beaucoup plus puissant, mais aussi grâce au développement des technologies Internet, un pirate n'a pas à acheter ou à louer l'équipement nécessaire - il suffit amplement de créer un botnet à partir de PC infectés par un virus.



Cette expérience a clairement démontré à quel point le DES est obsolète. Et comme à cette époque l'algorithme était utilisé dans près de 50% des solutions dans le domaine du cryptage des données (selon le même EFF), la question de trouver une alternative est devenue plus aiguë que jamais.



Nouveaux défis - nouveau concours





En toute honnêteté, il faut dire que la recherche d'un remplaçant pour le Data Encryption Standard a commencé presque simultanément avec la préparation de l'EFF DES Cracker: le National Institute of Standards and Technology (NIST) des États-Unis a annoncé en 1997 le lancement d'un concours d'algorithmes de cryptage visant à identifier un nouveau "gold standard" pour la sécurité cryptographique. Et si autrefois un événement similaire se tenait exclusivement «pour nous», alors, gardant à l'esprit la mauvaise expérience d'il y a 30 ans, le NIST a décidé de rendre le concours complètement ouvert: toute entreprise et tout individu pouvait y participer, quel que soit son emplacement ou citoyenneté.



Cette approche a porté ses fruits même au stade de la sélection des candidats: parmi les auteurs qui ont demandé à participer au concours Advanced Encryption Standard se trouvaient des cryptologues de renommée mondiale (Ross Anderson, Eli Biham, Lars Knudsen) et de petites sociétés informatiques spécialisées dans la cybersécurité (Counterpane ) et les grandes entreprises (Deutsche Telekom allemande) et les établissements d'enseignement (Université catholique de Louvain, Belgique), ainsi que les start-up et les petites entreprises dont peu de gens ont entendu parler en dehors de leur pays (par exemple, Tecnologia Apropriada Internacional du Costa Rica).



Fait intéressant, cette fois, le NIST n'a approuvé que deux exigences de base pour les algorithmes participants:



  • le bloc de données doit avoir une taille fixe de 128 bits;
  • l'algorithme doit prendre en charge au moins trois tailles de clé: 128, 192 et 256 bits.


Il était relativement facile d'obtenir un tel résultat, mais, comme on dit, le diable est dans les détails: il y avait beaucoup plus d'exigences secondaires, et il était beaucoup plus difficile de les satisfaire. Pendant ce temps, c'est sur leur base que les critiques du NIST ont sélectionné les candidats. Voici les critères pour que les prétendants gagnent:



  1. la capacité de résister à toutes les attaques cryptanalytiques connues au moment de la compétition, y compris les attaques par canaux secondaires;
  2. l'absence de clés de chiffrement faibles et équivalentes (par équivalent, on entend les clés qui, bien qu'elles présentent des différences significatives les unes des autres, conduisent à la réception de chiffrements identiques);
  3. la vitesse de cryptage est stable et approximativement la même sur toutes les plateformes actuelles (de 8 à 64 bits);
  4. optimisation des systèmes multiprocesseurs, prise en charge de la parallélisation des opérations;
  5. exigences minimales pour la quantité de RAM;
  6. aucune restriction d'utilisation dans des scénarios standard (comme base pour la création de fonctions de hachage, de PRNG, etc.);
  7. la structure de l'algorithme doit être robuste et facile à comprendre.


Le dernier point peut sembler étrange, mais si vous y réfléchissez, cela a du sens, car un algorithme bien structuré est beaucoup plus facile à analyser, et de plus, il est beaucoup plus difficile d'y cacher un «signet», avec lequel un développeur pourrait obtenir un accès illimité aux données cryptées.



L'appel à candidatures pour le concours Advanced Encryption Standard a duré un an et demi. Au total, 15 algorithmes y ont participé:



  1. CAST-256, développé par la société canadienne Entrust Technologies, basé sur le CAST-128 créé par Carlisle Adams et Stafford Tavares;
  2. Crypton, Future Systems, ;
  3. DEAL, , , ;
  4. DFC, , (CNRS) France Telecom;
  5. E2, Nippon Telegraph and Telephone;
  6. FROG, - Tecnologia Apropriada Internacional;
  7. HPC, ;
  8. LOKI97, ;
  9. Magenta, Deutsche Telekom AG;
  10. MARS IBM, — Lucifer;
  11. RC6, , AES;
  12. Rijndael, ;
  13. SAFER+, Cylink ;
  14. Serpent, , ;
  15. Twofish, Blowfish, 1993 .


Selon les résultats du premier tour, 5 finalistes ont été déterminés, parmi lesquels Serpent, Twofish, MARS, RC6 et Rijndael. Le jury a trouvé des failles dans presque tous les algorithmes énumérés, sauf un. Qui a été le gagnant? Étendons un peu l'intrigue et examinons d'abord les principaux avantages et inconvénients de chacune des solutions énumérées.



MARS



Dans le cas du «dieu de la guerre», les experts ont noté l'identité des procédures de cryptage et de décryptage, mais cela se limitait à ses avantages. L'algorithme d'IBM s'est avéré étonnamment glouton, ce qui le rendait inadapté aux opérations avec des ressources limitées. Il y avait également des problèmes de parallélisation des calculs. Pour un fonctionnement efficace, MARS avait besoin d'un support matériel pour la multiplication 32 bits et la rotation par un nombre variable de bits, ce qui a de nouveau imposé des restrictions sur la liste des plates-formes prises en charge.



MARS s'est également avéré assez vulnérable aux attaques en termes de temps et de consommation d'énergie, avait des problèmes d'expansion des clés à la volée et sa complexité excessive rendait difficile l'analyse de l'architecture et créait des problèmes supplémentaires au stade de la mise en œuvre pratique. Bref, sur fond d'autres finalistes, MARS ressemblait à un véritable outsider.



RC6



L'algorithme a hérité de certaines des transformations de son prédécesseur, RC5, qui avait fait l'objet de recherches approfondies auparavant, ce qui, combiné à une structure simple et intuitive, le rendait complètement transparent pour les experts et excluait la présence de «signets». En outre, RC6 a démontré des vitesses de traitement d'enregistrement sur des plates-formes 32 bits, et les procédures de cryptage et de décryptage y étaient absolument identiques.



Cependant, l'algorithme présentait les mêmes problèmes que le MARS mentionné ci-dessus: il existe une vulnérabilité aux attaques par canal latéral et une dépendance des performances à la prise en charge des opérations 32 bits, ainsi que des problèmes de calcul parallèle, d'expansion des clés et de fortes demandes en ressources matérielles. À cet égard, il n'était en aucun cas apte au rôle de gagnant.



Deux Poisson



Twofish s'est avéré assez agile et bien optimisé pour le travail sur des appareils de faible puissance, a bien géré l'expansion des touches et a supposé plusieurs options de mise en œuvre, ce qui a permis de l'ajuster pour des tâches spécifiques. Dans le même temps, les «deux poissons» se sont révélés vulnérables aux attaques via des canaux secondaires (en particulier en termes de temps et de consommation d'énergie), n'étaient pas particulièrement conviviaux avec les systèmes multiprocesseurs et étaient extrêmement complexes, ce qui, par ailleurs, a affecté la vitesse d'expansion des clés.



Serpent



L'algorithme avait une structure simple et compréhensible, ce qui simplifiait grandement son audit, n'était pas particulièrement exigeant sur la puissance de la plate-forme matérielle, prenait en charge l'expansion des touches «à la volée» et était relativement facile à modifier, ce qui différait favorablement de ses adversaires. Malgré cela, Serpent était, en principe, le plus lent des finalistes, en outre, les procédures de cryptage et de décryptage des informations qu'il contenait étaient radicalement différentes et nécessitaient des approches de mise en œuvre fondamentalement différentes.



Rijndael



Rijndael s'est avéré être extrêmement proche de l'idéal: l'algorithme répondait pleinement aux exigences du NIST, sans être inférieur, et en termes de totalité des caractéristiques, il était nettement supérieur à ses concurrents. Reindal n'avait que deux faiblesses: la vulnérabilité aux attaques de consommation d'énergie sur la procédure d'extension de clé, qui est un scénario très spécifique, et certains problèmes d'extension de clé à la volée (ce mécanisme ne fonctionnait sans restrictions que pour deux candidats - Serpent et Twofish). De plus, selon les experts, Reindal avait une force cryptographique légèrement inférieure à Serpent, Twofish et MARS, ce qui, cependant, était plus que compensé par la résistance à la grande majorité des types d'attaques par canal latéral et un large éventail d'options de mise en œuvre.

Catégorie

Serpent

Deux Poisson

MARS

RC6

Rijndael

Crypto-résistance

+

+

+

+

+

Marge de force cryptographique

++

++

++

+

+



-

±

±

+

+



±

-

±

±

+

-



+

+

-

±

++

-



±

+

-

±

++

()

+

+

-

±

+

( )

+

±

-

-

+



+

±

-

-

+



±

±

±

±

-

-

±

+

-

±

+

« »

+

+

±

±

±

( )

+

+

±

±

+



±

±

±

±

+


En termes de totalité des caractéristiques, Reindahl avait une longueur d'avance sur les concurrents, le résultat du vote final était donc assez logique: l'algorithme a remporté une victoire écrasante, recueillant 86 voix pour et seulement 10 contre. Serpent a pris la deuxième place honorable avec 59 voix, tandis que Twofish est arrivé troisième avec 31 membres du jury. Ils ont été suivis par RC6 avec 23 voix, tandis que MARS s'est naturellement retrouvé dans le résultat final avec seulement 13 voix pour et 83 contre.



Le 2 octobre 2000, Rijndael a été déclaré vainqueur du concours AES, changeant traditionnellement son nom en Advanced Encryption Standard, par lequel il est connu aujourd'hui. La procédure de normalisation a duré environ un an: le 26 novembre 2001, AES a été inclus dans la liste des Federal Information Processing Standards, recevant l'indice FIPS 197. Le nouvel algorithme a été très apprécié par la NSA, et depuis juin 2003, la US National Security Agency a même reconnu AES avec une clé de 256 bits le cryptage est suffisamment puissant pour garantir la sécurité des documents top secret.



Disques durs externes WD My Book avec chiffrement matériel AES-256



Grâce à sa combinaison de haute fiabilité et de performances, Advanced Encryption Standard a rapidement acquis une reconnaissance mondiale, devenant l'un des algorithmes de cryptage symétrique les plus populaires au monde et faisant partie de nombreuses bibliothèques cryptographiques (OpenSSL, GnuTLS, Crypto API de Linux, etc.). AES est désormais largement utilisé dans les applications d'entreprise et grand public et est pris en charge sur une grande variété d'appareils. En particulier, c'est le cryptage matériel AES-256 qui est utilisé dans les disques externes Western Digital de la famille My Book pour assurer la protection des données stockées. Examinons de plus près ces appareils.





La gamme de disques durs de bureau WD My Book est disponible en six capacités de 4, 6, 8, 10, 12 et 14 téraoctets, vous pouvez donc choisir celui qui répond le mieux à vos besoins. Par défaut, les disques durs externes utilisent le système de fichiers exFAT, qui garantit la compatibilité avec un large éventail de systèmes d'exploitation, y compris Microsoft Windows 7, 8, 8.1 et 10, ainsi que Apple macOS version 10.13 (High Sierra) et versions ultérieures. Les utilisateurs Linux peuvent monter un disque dur à l'aide du pilote exfat-nofuse.



Le My Book se connecte à votre ordinateur via Hi-Speed ​​USB 3.0, qui est rétrocompatible avec USB 2.0. D'une part, il vous permet de transférer des fichiers à la vitesse la plus élevée possible, car la bande passante USB SuperSpeed ​​est de 5 Gb / s (soit 640 Mo / s), ce qui s'avère largement suffisant. Dans le même temps, la fonctionnalité de compatibilité descendante prend en charge presque tous les appareils sortis au cours des 10 dernières années.





Bien que My Book ne nécessite pas d'installation de logiciel supplémentaire en raison de sa technologie plug and play pour détecter et configurer automatiquement les périphériques, nous vous recommandons tout de même d'utiliser le progiciel propriétaire WD Discovery inclus avec chaque appareil.





L'ensemble comprend les applications suivantes:



Utilitaires WD Drive



Le programme vous permet d'obtenir des informations à jour sur l'état actuel du lecteur en fonction des données SMART et de vérifier le disque dur pour les secteurs défectueux. De plus, Drive Utilities peut effacer rapidement toutes les données stockées sur votre My Book non seulement en effaçant les fichiers, mais aussi en les écrasant complètement plusieurs fois, de sorte que vous ne pouvez pas les restaurer une fois la procédure terminée.



Sauvegarde WD



À l'aide de cet utilitaire, vous pouvez configurer des sauvegardes planifiées. Il faut dire que WD Backup prend en charge le travail avec Google Drive et Dropbox, tout en vous permettant de sélectionner toutes les combinaisons source-cible possibles lors de la création d'une sauvegarde. Ainsi, vous pouvez configurer le transfert automatique des données de My Book vers le cloud, ou importer les fichiers et dossiers nécessaires à partir des services répertoriés à la fois vers un disque dur externe et vers une machine locale. De plus, vous pouvez vous synchroniser avec votre compte Facebook, ce qui vous permet de sauvegarder automatiquement vos photos et vidéos de votre profil.



Sécurité WD



C'est avec cet utilitaire que vous pouvez restreindre l'accès au disque avec un mot de passe et gérer le cryptage des données. Tout ce qui est nécessaire pour cela est de spécifier un mot de passe (sa longueur maximale peut aller jusqu'à 25 caractères), après quoi toutes les informations sur le disque seront cryptées, et seuls ceux qui connaissent la phrase de passe pourront accéder aux fichiers enregistrés. Pour plus de commodité, WD Security vous permet de créer une liste d'appareils de confiance qui déverrouilleront automatiquement votre My Book une fois connecté à.



Nous soulignons que WD Security ne fournit qu'une interface visuelle pratique pour gérer la protection cryptographique, tandis que le cryptage des données est effectué par le disque externe lui-même au niveau matériel. Cette approche offre un certain nombre d'avantages importants, à savoir:



  • , , ;
  • , , ;
  • ;
  • , « », .


Tout ce qui précède garantit la sécurité des données et vous permet d'éliminer presque complètement la possibilité de vol d'informations confidentielles. Compte tenu des capacités supplémentaires du lecteur, cela fait de My Book l'un des meilleurs systèmes de stockage sécurisés disponibles sur le marché russe.


More articles:


All Articles