¿Cuándo uso el ajuste de la clave NIST AES?

9
  

Key Wrap Las construcciones son una clase de algoritmos de cifrado simétricos diseñados para encapsular (cifrar) material de claves criptográficas. Los algoritmos Key Wrap están diseñados para aplicaciones tales como (a) proteger claves mientras se encuentran en un almacenamiento no confiable, o (b) transmitir claves a través de redes de comunicaciones no confiables. Las construcciones generalmente se construyen a partir de primitivas estándar, como cifrados de bloque y funciones de cifrado criptográfico.

¿Cuáles son las ventajas de usar el ajuste de clave AES en lugar del AES normal, por ejemplo, el modo CCM (Contador con CBC-MAC)? ¿Cuáles son los pros y los contras?

¿Podría alguien indicarme buenas lecturas / documentos sobre el ajuste de la clave AES, aparte de mi recurso principal, Especificación de ajuste de clave NIST ?

O, ¿podría alguien explicar brevemente cómo funciona?

    
pregunta enigma 05.08.2013 - 00:26
fuente

1 respuesta

10

El algoritmo de ajuste de clave se puede visualizar como un esquema de Feistel extendido que utiliza AES como la función redonda, combinada con una estado de ejecución que sirve como un MAC en bruto. Si observa la definición del algoritmo, verá que para cada una de las rondas s , se actualiza un bloque de datos de 64 bits, con una función de combinación que incluye una invocación AES y otra de 64 bits. bloquear. Los bloques también se "rotan" para que la próxima ronda actualice otro bloque, y así sucesivamente. Esto realmente es similar a la definición de un cifrado de bloque grande que opera sobre el texto plano completo como un solo "bloque".

Como funcionan los sistemas de cifrado simétrico, este es bastante ineficiente, ya que implica un promedio de 1.5 invocaciones AES por entrada byte (invocación 12 AES para un bloque de 64 bits), mientras que GCM usaría solo 0.0625 invocaciones AES por byte de entrada (una AES cada bloque de 128 bits). También debe procesar cada byte de entrada varias veces, por lo que todo el mensaje de texto sin formato debe estar completamente protegido: esto será inadecuado para el cifrado masivo.

El algoritmo de ajuste de clave se diseñó para proteger a claves y sufre de un exceso de rituales: muchas invocaciones de AES acumuladas con la esperanza de que causen tanta confusión que el resultado sea fuerte. Esto no es una mala apuesta; Si lo vemos como un cifrado Feistel extendido, entonces hay algunos datos empíricos que muchas rondas aportarán seguridad. Esto debería merecer un análisis decente, sin embargo, y, que yo sepa, esto no ha ocurrido todavía. Probablemente esto esté relacionado con el hecho de que este algoritmo de ajuste de clave no parece ser muy utilizado en la naturaleza.

Buenas propiedades del algoritmo de ajuste de clave AES incluyen lo siguiente:

  • No necesita aleatoriedad . La aleatoriedad es un recurso escaso en muchos sistemas integrados, por lo que tener un esquema que sea seguro sin que sea bueno.

  • No necesita estado . Sin EEPROM o Flash bit para modificar, aunque solo sea para mantener un contador.

  • Es determinista. Esto significa que envolver el mismo texto sin formato con la misma clave producirá la misma secuencia de bytes. El determinismo es mayormente neutral, pero en ocasiones es útil en algunos protocolos.

  • Utiliza una única primitiva, que es "AES": el tamaño del código es también un recurso escaso en sistemas integrados.

  • Tiene una sobrecarga de tamaño baja: solo agrega 64 bits al tamaño de entrada e incluye un MAC, por lo que es aproximadamente el más pequeño que se puede lograr.

Las propiedades erróneas son en su mayoría estas:

  • El algoritmo es ineficiente, con un alto costo de CPU por byte y la necesidad de un búfer completo. Esta es la razón por la cual el algoritmo está destinado a ajuste de clave , donde las "claves" son entidades cortas, manteniendo los costos de ajuste dentro de límites razonables.

  • A pesar de sus 12 años, el algoritmo de ajuste de clave AES no se benefició de un gran análisis o incluso de la atención de la comunidad criptográfica, probablemente debido a sus casos de uso restrictivos.

respondido por el Thomas Pornin 05.08.2013 - 14:49
fuente

Lea otras preguntas en las etiquetas