История конкурса на новый стандарт криптозащиты

В 1997 году NIST (National Institute of Standards and Technology) объявил конкурс на создание алгоритма симметричного шифрования, алгоритм получил название AES (Advanced Encryption Standard). Алгоритм планировалось принять как стандарт Соединенных Штатов Америки взамен устаревшего к этому времени стандарту DES (Digital Encryption Standard), являвшегося американским стандартом с 1977 года. Необходимость в принятии нового стандарта была вызвана небольшой длиной ключа DES (56 бит), что позволяло успешно применять метод прямого перебора ключей для взлома DES. Кроме того, архитектура DES была ориентирована на аппаратную реализацию, и программная реализация алгоритма на платформах с ограниченными ресурсами не давала достаточного быстродействия.

2 января 1997 года NIST объявляет о намерении выбрать преемника для DES. Конкурс был объявлен 12 сентября 1997 г. Свой алгоритм могла предложить любая организация или группа исследователей. NIST опубликовал все данные о тестировании кандидатов на роль AES и потребовал от авторов алгоритмов сообщить о базовых принципах построения алгоритмов, используемых в них константах, таблицах для замен (S-box) и т. п. В отличие от ситуации с DES, NIST при выборе AES не стал опираться на секретные и, как следствие, запрещенные к публикации данные об исследовании алгоритмов-кандидатов.

Требования к кандидатам на новый стандарт были следующими:

блочный шифр;

длина блока, равная 128 битам;

ключи длиной 128, 192 и 256 бит.

Дополнительно кандидатам рекомендовалось:

использовать операции, легко реализуемые как аппаратно (в микрочипах), так и программно (на персональных компьютерах и серверах);

ориентироваться на 32-разрядные процессоры не усложнять без необходимости структуру шифра для того, чтобы все заинтересованные стороны были в состоянии самостоятельно провести независимый криптоанализ алгоритма и убедиться, что в нём не заложено каких-либо недокументированных возможностей.

Кроме того, алгоритм, претендующий на то, чтобы стать стандартом, должен распространяться по всему миру на не эксклюзивных условиях и без платы за пользование патентом.

Алгоритм AES прежде всего должен предлагать высокую степень защиты, обладать простой структурой и высокой производительностью. Уже на уровне внутренней архитектуры он должен обладать надежностью, достаточной для того, чтобы противостоять будущим попыткам его взлома.

Был проведен конкурс среди алгоритмов шифрования на роль AES, 2 октября 2000 года было объявлено, что победителем конкурса стал алгоритм Rijndael и началась процедура стандартизации. 28 февраля 2001 года был опубликован проект, а 26 ноября 2001 года AES был принят как стандарт FIPS 197.

AES не тождественен Rijndael, т.к. оригинальный алгоритм Rijndael поддерживает более широкий диапазон длин ключей и блоков. В AES размер блока фиксирован и равен 128 бит, а в Rijndael поддерживаются различные длины ключей и блоков — от 128 до 256 бит, с шагом 32 бита. AES оперирует с блоком данных 16 байт, а Rijndael позволяет выбирать размер блока.

Rijndael — быстрый и компактный алгоритм с простой математической структурой. Он продемонстрировал хорошую устойчивость к атакам на реализацию, при которых пытаются декодировать зашифрованное сообщение, анализируя внешние проявления алгоритма, в том числе уровень энергопотребления и время выполнения. Алгоритму присущ внутренний параллелизм, что позволяет без труда обеспечить эффективное использование процессорных ресурсов. Далее под AES можно понимать Rijndael с ключом в 128 бит и блоком данных 16 байт.

Преимущества алгоритма Rijndael состоят в:

• · высокая эффективность на любых платформах;
• · высокий уровень защищенности;
• · хорошо подходит для реализации в smart-картах из-за низких требований к памяти;
• · быстрая процедура формирования ключа;
• · хорошая поддержка параллелизма на уровне инструкций;
• · поддержка различных длин ключа с шагом 32 бита.

Недостатки:

· уязвим к анализу мощности.