Advanced Encryption Standard, AES — конкурс, організований NIST в 1997 році для вибору нового криптографічного стандарту, який повинен був стати наступником DES. В результаті конкурсу 2000 року переможцем був оголошений шифр Rijndael (який тепер часто називають за іменем конкурсу — AES).
Необхідність у прийнятті нового стандарту була викликана невеликою довжиною ключа DES (56 біт), що теоретично дозволяло застосувати метод грубої сили (повний перебір ключів) проти цього алгоритму. Крім того, архітектура DES була орієнтована на апаратну реалізацію, і програмна реалізація алгоритму на платформах з обмеженими ресурсами не давала достатнього швидкодії. Модифікація 3-DES володіла достатньою довжиною ключа, але при цьому була втричі повільніша.
Початок конкурсу
2 січня 1997 року NIST оголосив про намір вибрати наступника для DES, що був американським стандартом із 1977 року. Однак, замість опублікування алгоритму, NIST прийняв різні пропозиції від зацікавлених сторін про те, яким чином слід вибирати алгоритм. Бурхливий відгук зі сторони відкритої криптографічної спільноти привів до оголошення конкурсу (12 вересня 1997 року). Свій алгоритм могла запропонувати будь-яка організація або група дослідників. Вимоги до нового стандарту були наступними:
- Блочний шифр
- Довжина блоку 128 біт
- Ключі довжиною 128, 192 і 256 біт
Подібні шифри були досить рідкісні під час оголошення конкурсу; можливо, кращим був SQUARE. Додатково кандидатам рекомендувалося:
- Використовувати операції, легко реалізовані як апаратно (в мікрочипах), так і програмно (на персональних комп'ютерах і серверах)
- Орієнтуватися на 32-розрядні процесори
- Не ускладнювати без необхідності структуру шифру для того, щоб всі зацікавлені сторони були в змозі самостійно провести незалежний криптоаналіз алгоритму й переконатися, що в ньому не закладено жодних недокументованих можливостей.
Крім того, алгоритм, який претендує на те, щоб стати стандартом, повинен поширюватися по всьому світу за неексклюзивними умовами й без плати за користування патентом.
Конкурс AES
20 серпня 1998 року на 1-й конференції AES був оголошений список з 15 кандидатів: CAST-256, CRYPTON, , , , , , , MAGENTA, , RC6, Rijndael, SAFER +, Serpent, Twofish.
У наступних обговореннях ці алгоритми піддавалися всебічному аналізу, причому досліджувалися не тільки криптографічні властивості, такі як стійкість до відомих атак, відсутність слабких ключів, хороші , але й практичні аспекти реалізації: оптимізацію швидкості виконання коду на різних архітектурах (від ПК до смарт-карт і апаратних реалізацій), можливість оптимізації розміру коду, можливість розпаралелювання. Перевірка кандидатів на предмет формування випадкових двійкових послідовностей здійснювалася за допомогою набору .
Перший раунд AES
Протягом першого раунду тестування проводилося з 128-бітними ключами. Лише 9 алгоритмів з 15 змогли пройти статистичні тести, а саме: CAST-256, DFC, E2, LOKI-97, MAGENTA, MARS, Rijndael, SAFER + і Serpent. Решта алгоритмів показали деякі відхилення в тестах на випадковий характер формованих ними довічних послідовностей .
У березні 1999 року пройшла 2-га конференція AES, а в серпні 1999 року були оголошені 5 фіналістів: , RC6, Rijndael, Serpent і Twofish. Всі ці алгоритми були розроблені авторитетними криптографами зі світовими іменами. На 3-й конференції AES в квітні 2000 року автори виступили з доповідями про свої алгоритмах.
Другий раунд AES
У другому раунді оцінка придатності фіналістів першого раунду в якості генераторів випадкових чисел проводилося на основі 192-бітних і 256-бітних ключів. Тривалість статистичних тестів NIST склала кілька місяців, причому обчислення проводилися на численних робочих станціях . Всі дані формувалися і оброблялися в режимі онлайн. В результаті другого раунду було показано, що кожен з п'яти вищевказаних алгоритмів формує абсолютно випадкову бінарну послідовність і тому може бути використаний в якості генератора псевдовипадкових чисел, причому є можливість використання ключів розмірами: 128, 192 і 256 біт .
Голосування
Голоси на конференції AES2 розподілилися наступним чином:
- Rijndael: 86 за, 10 проти
- Serpent: 59 за, 7 проти
- Twofish: 31 за, 21 проти
- RC6: 23 за, 37 проти
- MARS: 13 за, 83 проти
Третя конференція AES
Третя конференція AES пройшла в Нью-Йорку 13 і 14 квітня 2000 року, незадовго до завершення другого етапу. На ній були присутні 250 учасників, багато з яких приїхали з-за кордону. Дводенна конференція була розділена на вісім сесій, по чотири в день, плюс до того відбулася неформальна додаткова сесія, підводила підсумки першого дня. На сесіях першого дня обговорювалися питання, пов'язані з програмованими матрицями (FPGA), проводилася оцінка реалізації алгоритмів на різних платформах, в тому числі PA-RISC, IA-64, DEC Alpha, високорівневих смарт-картах і сигнальних процесорах, порівнювалася продуктивність претендентів на стандарт, аналізувалося число раундів в алгоритмах-кандидатах. На сесіях другого дня був проаналізований Rijndael зі скороченим числом раундів і показана його слабкість в цьому випадку, обговорювалося питання про інтегрування в остаточний стандарт всіх п'яти алгоритмів-претендентів, ще раз тестувалися всі алгоритми. В кінці другого дня була проведена презентація, на якій претенденти розповідали про свої алгоритми, їх достоїнства і недоліки. Про Rijndael розповів Вінсент Реймен, який заявив про надійність захисту, високу загальну продуктивність і простоту архітектури свого кандидата.
Вибір переможця
2 жовтня 2000 було оголошено, що переможцем конкурсу став алгоритм Rijndael , і почалася процедура стандартизації.
28 лютого 2001 року було опубліковано проект, а 26 листопада 2001 року AES був прийнятий як FIPS 197. Історичну ретроспективу конкурсу можна простежити на вебсайті NIST.
Примітки
- NIST IR 6390 Randomness Testing of the Advanced Encryption Standard Candidate Algorithms [ 6 листопада 2010 у Wayback Machine.] (англ.)
- . Архів оригіналу за 27 травня 2010. Процитовано 18 квітня 2018.
- NIST Error Page [ 2010-09-28 у Wayback Machine.]
- Bounce to index.html [ 2014-07-17 у Wayback Machine.]
Посилання
- NIST IR 6483 Randomness Testing of the Advanced Encryption Standard Finalist Candidates [ 27 травня 2010 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
U Vikipediyi ye statti pro inshi znachennya cogo termina AES Dokladnishe Advanced Encryption Standard Advanced Encryption Standard AES konkurs organizovanij NIST v 1997 roci dlya viboru novogo kriptografichnogo standartu yakij povinen buv stati nastupnikom DES V rezultati konkursu 2000 roku peremozhcem buv ogoloshenij shifr Rijndael yakij teper chasto nazivayut za imenem konkursu AES Neobhidnist u prijnyatti novogo standartu bula viklikana nevelikoyu dovzhinoyu klyucha DES 56 bit sho teoretichno dozvolyalo zastosuvati metod gruboyi sili povnij perebir klyuchiv proti cogo algoritmu Krim togo arhitektura DES bula oriyentovana na aparatnu realizaciyu i programna realizaciya algoritmu na platformah z obmezhenimi resursami ne davala dostatnogo shvidkodiyi Modifikaciya 3 DES volodila dostatnoyu dovzhinoyu klyucha ale pri comu bula vtrichi povilnisha Pochatok konkursu2 sichnya 1997 roku NIST ogolosiv pro namir vibrati nastupnika dlya DES sho buv amerikanskim standartom iz 1977 roku Odnak zamist opublikuvannya algoritmu NIST prijnyav rizni propoziciyi vid zacikavlenih storin pro te yakim chinom slid vibirati algoritm Burhlivij vidguk zi storoni vidkritoyi kriptografichnoyi spilnoti priviv do ogoloshennya konkursu 12 veresnya 1997 roku Svij algoritm mogla zaproponuvati bud yaka organizaciya abo grupa doslidnikiv Vimogi do novogo standartu buli nastupnimi Blochnij shifr Dovzhina bloku 128 bit Klyuchi dovzhinoyu 128 192 i 256 bit Podibni shifri buli dosit ridkisni pid chas ogoloshennya konkursu mozhlivo krashim buv SQUARE Dodatkovo kandidatam rekomenduvalosya Vikoristovuvati operaciyi legko realizovani yak aparatno v mikrochipah tak i programno na personalnih komp yuterah i serverah Oriyentuvatisya na 32 rozryadni procesori Ne uskladnyuvati bez neobhidnosti strukturu shifru dlya togo shob vsi zacikavleni storoni buli v zmozi samostijno provesti nezalezhnij kriptoanaliz algoritmu j perekonatisya sho v nomu ne zakladeno zhodnih nedokumentovanih mozhlivostej Krim togo algoritm yakij pretenduye na te shob stati standartom povinen poshiryuvatisya po vsomu svitu za neeksklyuzivnimi umovami j bez plati za koristuvannya patentom Konkurs AES20 serpnya 1998 roku na 1 j konferenciyi AES buv ogoloshenij spisok z 15 kandidativ CAST 256 CRYPTON MAGENTA RC6 Rijndael SAFER Serpent Twofish U nastupnih obgovorennyah ci algoritmi piddavalisya vsebichnomu analizu prichomu doslidzhuvalisya ne tilki kriptografichni vlastivosti taki yak stijkist do vidomih atak vidsutnist slabkih klyuchiv horoshi ale j praktichni aspekti realizaciyi optimizaciyu shvidkosti vikonannya kodu na riznih arhitekturah vid PK do smart kart i aparatnih realizacij mozhlivist optimizaciyi rozmiru kodu mozhlivist rozparalelyuvannya Perevirka kandidativ na predmet formuvannya vipadkovih dvijkovih poslidovnostej zdijsnyuvalasya za dopomogoyu naboru Pershij raund AES Protyagom pershogo raundu testuvannya provodilosya z 128 bitnimi klyuchami Lishe 9 algoritmiv z 15 zmogli projti statistichni testi a same CAST 256 DFC E2 LOKI 97 MAGENTA MARS Rijndael SAFER i Serpent Reshta algoritmiv pokazali deyaki vidhilennya v testah na vipadkovij harakter formovanih nimi dovichnih poslidovnostej U berezni 1999 roku projshla 2 ga konferenciya AES a v serpni 1999 roku buli ogolosheni 5 finalistiv RC6 Rijndael Serpent i Twofish Vsi ci algoritmi buli rozrobleni avtoritetnimi kriptografami zi svitovimi imenami Na 3 j konferenciyi AES v kvitni 2000 roku avtori vistupili z dopovidyami pro svoyi algoritmah Drugij raund AES U drugomu raundi ocinka pridatnosti finalistiv pershogo raundu v yakosti generatoriv vipadkovih chisel provodilosya na osnovi 192 bitnih i 256 bitnih klyuchiv Trivalist statistichnih testiv NIST sklala kilka misyaciv prichomu obchislennya provodilisya na chislennih robochih stanciyah Vsi dani formuvalisya i obroblyalisya v rezhimi onlajn V rezultati drugogo raundu bulo pokazano sho kozhen z p yati vishevkazanih algoritmiv formuye absolyutno vipadkovu binarnu poslidovnist i tomu mozhe buti vikoristanij v yakosti generatora psevdovipadkovih chisel prichomu ye mozhlivist vikoristannya klyuchiv rozmirami 128 192 i 256 bit Golosuvannya Golosi na konferenciyi AES2 rozpodililisya nastupnim chinom Rijndael 86 za 10 proti Serpent 59 za 7 proti Twofish 31 za 21 proti RC6 23 za 37 proti MARS 13 za 83 protiTretya konferenciya AESTretya konferenciya AES projshla v Nyu Jorku 13 i 14 kvitnya 2000 roku nezadovgo do zavershennya drugogo etapu Na nij buli prisutni 250 uchasnikiv bagato z yakih priyihali z za kordonu Dvodenna konferenciya bula rozdilena na visim sesij po chotiri v den plyus do togo vidbulasya neformalna dodatkova sesiya pidvodila pidsumki pershogo dnya Na sesiyah pershogo dnya obgovoryuvalisya pitannya pov yazani z programovanimi matricyami FPGA provodilasya ocinka realizaciyi algoritmiv na riznih platformah v tomu chisli PA RISC IA 64 DEC Alpha visokorivnevih smart kartah i signalnih procesorah porivnyuvalasya produktivnist pretendentiv na standart analizuvalosya chislo raundiv v algoritmah kandidatah Na sesiyah drugogo dnya buv proanalizovanij Rijndael zi skorochenim chislom raundiv i pokazana jogo slabkist v comu vipadku obgovoryuvalosya pitannya pro integruvannya v ostatochnij standart vsih p yati algoritmiv pretendentiv she raz testuvalisya vsi algoritmi V kinci drugogo dnya bula provedena prezentaciya na yakij pretendenti rozpovidali pro svoyi algoritmi yih dostoyinstva i nedoliki Pro Rijndael rozpoviv Vinsent Rejmen yakij zayaviv pro nadijnist zahistu visoku zagalnu produktivnist i prostotu arhitekturi svogo kandidata Vibir peremozhcya2 zhovtnya 2000 bulo ogolosheno sho peremozhcem konkursu stav algoritm Rijndael i pochalasya procedura standartizaciyi 28 lyutogo 2001 roku bulo opublikovano proekt a 26 listopada 2001 roku AES buv prijnyatij yak FIPS 197 Istorichnu retrospektivu konkursu mozhna prostezhiti na vebsajti NIST PrimitkiNIST IR 6390 Randomness Testing of the Advanced Encryption Standard Candidate Algorithms 6 listopada 2010 u Wayback Machine angl Arhiv originalu za 27 travnya 2010 Procitovano 18 kvitnya 2018 NIST Error Page 2010 09 28 u Wayback Machine Bounce to index html 2014 07 17 u Wayback Machine PosilannyaNIST IR 6483 Randomness Testing of the Advanced Encryption Standard Finalist Candidates 27 travnya 2010 u Wayback Machine