クラス最高：AES暗号化標準の歴史

2020年5月以降、256ビットキーでAESハードウェア暗号化をサポートするWD MyBook外付けハードドライブの公式販売がロシアで開始されました。法律上の制限により、以前はこのようなデバイスは海外のオンライン電気店または「グレー」市場でしか購入できませんでしたが、今では誰でもWesternDigitalからブランドの3年間保証付きの保護されたドライブを入手できます。この重大なイベントに敬意を表して、私たちは歴史を少し振り返り、Advanced Encryption Standardがどのように生まれたのか、そして競合するソリューションと比較してなぜそれが優れているのかを理解することにしました。



長い間、米国における対称暗号化の公式標準はDES（Data Encryption Standard）であり、IBMによって開発され、1977年に連邦情報処理標準のリストに含まれていました（FIPS46-3）。このアルゴリズムは、コード名がルシファーの研究プロジェクトで得られた開発に基づいています。 1973年5月15日、米国国立標準局が政府機関向けの暗号化標準を作成するための競争を発表したとき、米国企業は更新されたFeistelネットワークを使用してLuciferの第3バージョンで暗号競争に参加しました。そして、他の競技者とともに、それは大失敗に見舞われました：最初のコンテストのために提示されたアルゴリズムのどれも、NBSの専門家によって策定された厳しい要件を満たしていませんでした。





もちろん、IBMは敗北を受け入れるだけではありませんでした。1974年8月27日に競争が再開されたとき、アメリカの企業が再申請し、ルシファーの改良版を発表しました。今回、審査員は単一の主張をしていませんでした。エラーに対して有能な作業を実行した後、IBMはすべての欠点を首尾よく排除したので、不満はありませんでした。説得力のある勝利を収めたルシファーは、名前をDESに変更し、1975年3月17日に連邦登録簿に掲載されました。



しかし、1976年に新しい暗号化標準について議論するために開催された公開シンポジウムの間に、DESは専門家コミュニティから強く批判されました。この理由は、NSAスペシャリストによってアルゴリズムに加えられた変更でした。特に、キーの長さが56ビットに短縮され（当初、Luciferは64ビットおよび128ビットのキーでの作業をサポートしていました）、置換ブロックのロジックが変更されました。暗号学者によると、「改善」は意味をなさず、国家安全保障局が修正を導入するために努力した唯一のことは、暗号化された文書を自由に閲覧できるようにすることでした。



上記の告発に関連して、米国上院の下に特別委員会が設立され、その目的はNSAの行動の有効性を検証することでした。1978年に、調査に続いてレポートが発行され、次のことが報告されました。

• NSAの代表者は、DESの最終決定に間接的にのみ参加しましたが、彼らの貢献は、順列ブロックの操作の変更のみに関係していました。
• DESの最終バージョンは、元のバージョンよりもクラッキングと暗号化分析に対して耐性があることが判明したため、変更は正当化されました。
• 56ビットのキー長は、大多数のアプリケーションにとって十分すぎるほどです。そのような暗号を破るには、少なくとも数千万ドル相当のスーパーコンピューターが必要であり、通常の攻撃者やプロのハッカーでさえそのようなリソースを持っていないため、心配する必要はありません。

委員会の結論は1990年に部分的に確認され、イスラエルの暗号学者EliBihamとAdiShamirは、微分暗号分析の概念に取り組んでおり、DESを含むブロックアルゴリズムの大規模な研究を実施しました。科学者たちは、新しい順列モデルは元のモデルよりも攻撃に対してはるかに耐性があることが判明したと結論付けました。これは、NSAがアルゴリズムのいくつかの穴を取り除くのに本当に役立ったことを意味します。





Adi Shamir



同時に、キーの長さの制限が問題であることが判明し、非常に深刻な問題でした。これは、RSAラボの支援の下で実施されたDESチャレンジII実験の一環として、1998年にElectronic Frontier Foundation（EFF）によって納得のいくように証明されました。 EFFの共同創設者でDESチャレンジのプロジェクトリーダーであるJohnGilmoreとCryptographyResearchの創設者であるPaulKocherによって開発された、DESのクラッキング専用にコード名が付けられたスーパーコンピューターEFF DESCrackerが構築されました。





プロセッサーEFFDES Cracker



彼らが開発したシステムは、暗号化されたサンプルの鍵を、単純なブルートフォース方式でわずか56時間、つまり3日未満で正常に見つけることができました。これを行うには、DES Crackerはすべての可能な組み合わせの約4分の1をチェックする必要がありました。つまり、最も不利な状況下でも、クラックするのに約224時間、つまり10日以内で完了します。スーパーコンピューターの設計に費やされた資金を考慮に入れると、スーパーコンピューターのコストはわずか25万ドルになりました。今日、そのような暗号を解読することはさらに簡単で安価であると推測するのは簡単です：ハードウェアがはるかに強力になっただけでなく、インターネット技術の開発のおかげで、ハッカーは必要な機器を購入またはレンタルする必要がありません-ウイルスに感染したPCからボットネットを作成するのに十分です。



この実験は、DESがいかに時代遅れであるかを明確に示しました。また、当時、データ暗号化の分野のソリューションのほぼ50％でアルゴリズムが使用されていたため（同じEFFによる）、代替案を見つけるという問題はかつてないほど深刻になりました。

新しい課題-新しい競争

公平を期すために、データ暗号化標準の代替品の検索は、EFF DESクラッカーの準備とほぼ同時に始まったと言わなければなりません。米国の国立標準技術研究所（NIST）は、1997年に、暗号セキュリティの新しい「ゴールドスタンダード」を特定するために設計された暗号化アルゴリズムの競争の開始を発表しました。そして、昔も同様のイベントが「私たちだけのために」開催されていたとしたら、30年前の悪い経験を念頭に置いて、NISTは競争を完全にオープンにすることを決定しました。市民権。



このアプローチは、申請者の選択の段階でも成果を上げました。AdvancedEncryptionStandardコンテストへの参加を申請した著者の中には、世界的に有名な暗号学者（Ross Anderson、Eli Biham、Lars Knudsen）、およびサイバーセキュリティを専門とする小規模IT企業（Counterpane）がありました。 ）、大企業（German Deutsche Telekom）、教育機関（Catholic University of Leuven、Belgium）、および国外ではほとんど知られていない新興企業や中小企業（たとえば、コスタリカのTecnologia Apropriada Internacional）。



興味深いことに、今回NISTは、参加するアルゴリズムの2つの基本要件のみを承認しました。

• データブロックは128ビットの固定サイズである必要があります。
• アルゴリズムは、128、192、および256ビットの少なくとも3つのキーサイズをサポートする必要があります。

そのような結果を達成するのは比較的簡単でしたが、彼らが言うように、悪魔は細部にあります。二次的な要件がはるかに多く、それらを満たすのははるかに困難でした。一方、NISTの査読者が出場者を選んだのは彼らの根拠でした。候補者が勝つための基準は次のとおりです。

1. サイドチャネルを介した攻撃を含む、競争時に知られている暗号分析攻撃に抵抗する能力。
2. 弱くて同等の暗号化キーがない（同等とは、互いに大きな違いはあるものの、同一の暗号の受信につながるキーを意味します）。
3. 暗号化速度は安定しており、現在のすべてのプラットフォーム（8ビットから64ビット）でほぼ同じです。
4. マルチプロセッサシステムの最適化、操作の並列化のサポート。
5. RAMの量の最小要件。
6. 標準シナリオでの使用に制限はありません（ハッシュ関数、PRNGなどを構築するための基礎として）。
7. アルゴリズムの構造は堅牢で理解しやすいものでなければなりません。

最後の点は奇妙に思えるかもしれませんが、よく構造化されたアルゴリズムは分析がはるかに簡単であり、さらに、開発者が暗号化されたデータに無制限にアクセスできる「ブックマーク」を隠すのがはるかに難しいため、考えてみると理にかなっています。



Advanced Encryption Standardコンテストへの応募の呼びかけは、1年半続きました。合計で15のアルゴリズムが参加しました。

1. CarlisleAdamsとStaffordTavaresによって作成されたCAST-128に基づいて、カナダの会社EntrustTechnologiesによって開発されたCAST-256。
2. Crypton, Future Systems, ;
3. DEAL, , , ;
4. DFC, , (CNRS) France Telecom;
5. E2, Nippon Telegraph and Telephone;
6. FROG, - Tecnologia Apropriada Internacional;
7. HPC, ;
8. LOKI97, ;
9. Magenta, Deutsche Telekom AG;
10. MARS IBM, — Lucifer;
11. RC6, , AES;
12. Rijndael, ;
13. SAFER+, Cylink ;
14. Serpent, , ;
15. Twofish, Blowfish, 1993 .

第1ラウンドの結果によると、5人のファイナリストが決定され、その中にはSerpent、Twofish、MARS、RC6、Rijndaelが含まれていました。審査員は、1つを除いて、リストされているほとんどすべてのアルゴリズムに欠陥を発見しました。誰が勝者でしたか？陰謀を少し拡張して、最初にリストされた各ソリューションの主な長所と短所を考えてみましょう。

火星

「戦争の神」の場合、専門家は暗号化と復号化の手順の正体に注目しましたが、これはその利点に限定されていました。IBMのアルゴリズムは驚くほど貪欲であることが判明したため、リソースが限られた環境での運用には適していませんでした。計算の並列化にも問題がありました。効率的な操作のために、MARSは可変ビット数による32ビットの乗算と回転のハードウェアサポートを必要としていました。これもサポートされるプラットフォームのリストに制限を課しました。



MARSはまた、時間と電力消費の攻撃に対して非常に脆弱であることが判明し、その場でのキー拡張に問題があり、その過度の複雑さにより、アーキテクチャの分析が困難になり、実際の実装の段階で追加の問題が発生しました。要するに、他のファイナリストを背景に、MARSは本当の部外者のように見えました。

RC6

このアルゴリズムは、以前に徹底的に調査された前身であるRC5からいくつかの変換を継承しました。これは、シンプルで直感的な構造と組み合わされて、専門家に対して完全に透過的になり、「ブックマーク」の存在を排除しました。さらに、RC6は32ビットプラットフォームでレコード処理速度を示し、暗号化と復号化の手順はまったく同じでした。



ただし、このアルゴリズムには、前述のMARSと同じ問題がありました。サイドチャネル攻撃に対する脆弱性、32ビット操作のサポートへのパフォーマンス依存、および並列コンピューティング、キー拡張、ハードウェアリソースへの高い要求に関する問題があります。この点で、彼は勝者の役割にはまったく適していませんでした。

Twofish

Twofishは非常に機敏で、低電力デバイスでの作業に最適化されており、拡張キーにうまく対応し、いくつかの実装オプションを想定しているため、特定のタスクに合わせて微調整することができました。同時に、「2匹の魚」はサイドチャネルを介した攻撃に対して脆弱であることが判明し（特に時間と電力消費の点で）、マルチプロセッサシステムに特に適しておらず、非常に複雑であり、偶然にもキーの拡張速度に影響を与えました。

蛇

アルゴリズムはシンプルで理解しやすい構造で、監査が大幅に簡素化され、ハードウェアプラットフォームの能力を特に要求せず、「オンザフライ」でキーを拡張することをサポートし、比較的簡単に変更できました。これは、対戦相手とはかなり異なります。それにもかかわらず、サーペントは原則としてファイナリストの中で最も遅いものでした。さらに、その中の情報を暗号化および復号化する手順は根本的に異なり、実装には根本的に異なるアプローチが必要でした。

Rijndael

Rijndaelは、理想に非常に近いことが判明しました。アルゴリズムはNISTの要件を完全に満たしていましたが、劣っていることはなく、特性の全体的な点で、競合他社よりも著しく優れていました。Reindalには、非常に特殊なシナリオであるキー拡張手順での電力消費攻撃に対する脆弱性と、オンザフライでのキー拡張に関する特定の問題の2つの弱点しかありませんでした（このメカニズムは、2人の競技者（SerpentとTwofish）に対してのみ制限なしで機能しました）。さらに、専門家によると、Reindalの暗号強度はSerpent、Twofish、MARSよりもわずかに低かったが、大多数のタイプのサイドチャネル攻撃に対する耐性と幅広い実装オプションによって十分に補われた。



特性の全体に関して、ラインダールは競合他社よりも頭と肩を並べていたため、最終投票の結果は非常に論理的でした。アルゴリズムは地滑りの勝利を勝ち取り、賛成86票、反対10票しか獲得しませんでした。サーペントは59票で名誉ある2位になり、トゥーフィッシュは31人の審査員で3位になりました。続いてRC6が23票を獲得し、MARSは当然最後のラインを取り、賛成13票、反対83票しか獲得しませんでした。



2000年10月2日、RijndaelはAESコンテストの優勝者として宣言され、伝統的にその名前をAdvanced Encryption Standardに変更しました。これにより、現在では知られています。標準化手順は約1年続きました。2001年11月26日、AESは連邦情報処理標準のリストに含まれ、FIPS 197インデックスを取得しました。新しいアルゴリズムは、NSAによって高く評価され、2003年6月以降、米国国家安全保障局は256ビットキーのAESを認識しました。暗号化は、極秘文書のセキュリティを確保するのに十分強力です。

AES-256ハードウェア暗号化を備えたWDMyBook外付けハードドライブ

高い信頼性とパフォーマンスの組み合わせのおかげで、Advanced Encryption Standardはすぐに世界的に認知され、世界で最も人気のある対称暗号化アルゴリズムの1つになり、多くの暗号化ライブラリ（OpenSSL、GnuTLS、LinuxのCrypto APIなど）の一部になりました。 AESは現在、エンタープライズおよびコンシューマーアプリケーションで広く使用されており、さまざまなデバイスでサポートされています。特に、保存されたデータの保護を確実にするためにMyBookファミリのWesternDigital外付けドライブで使用されるのはハードウェアAES-256暗号化です。これらのデバイスを詳しく見てみましょう。





デスクトップハードドライブのWDMy Bookラインは、4、6、8、10、12、および14テラバイトの6つの容量で利用できるため、ニーズに最適なものを選択できます。デフォルトでは、外部HDDはexFATファイルシステムを使用します。これにより、Microsoft Windows 7、8、8.1、10、およびApple macOSバージョン10.13（High Sierra）以降を含む幅広いオペレーティングシステムとの互換性が保証されます。 Linuxユーザーは、exfat-nofuseドライバーを使用してハードドライブをマウントすることができます。



My Bookは、USB2.0と下位互換性のある高速USB3.0を使用してコンピューターに接続します。一方では、USBSuperSpeedの帯域幅が5Gb / s（つまり、640 MB / s）であり、十分すぎることが判明したため、可能な限り最高の速度でファイルを転送できます。同時に、下位互換性機能は、過去10年間にリリースされたほぼすべてのデバイスをサポートします。





My Bookは、周辺デバイスを自動的に検出して構成するプラグアンドプレイテクノロジーにより、追加のソフトウェアをインストールする必要はありませんが、各デバイスに含まれている独自のWDDiscoveryソフトウェアパッケージを使用することをお勧めします。





セットには、次のアプリケーションが含まれています。

WDドライブユーティリティ

このプログラムを使用すると、SMARTデータに基づいてドライブの現在の状態に関する最新情報を取得し、ハードドライブに不良セクターがないかどうかを確認できます。さらに、ドライブユーティリティは、ファイルを削除するだけでなく、ファイルを複数回完全に上書きすることで、マイブックに保存されているすべてのデータをすばやく消去できるため、手順が完了すると復元できません。

WDバックアップ

このユーティリティを使用して、スケジュールされたバックアップを設定できます。WD Backupは、GoogleドライブとDropboxでの作業をサポートしている一方で、バックアップを作成するときに可能なソースとターゲットの組み合わせを選択できることを述べておく必要があります。したがって、マイブックからクラウドへのデータの自動転送を構成したり、リストされたサービスから外部ハードドライブとローカルマシンの両方に必要なファイルとフォルダーをインポートしたりできます。さらに、Facebookアカウントと同期できるため、プロフィールから写真や動画を自動的にバックアップできます。

WDセキュリティ

このユーティリティを使用すると、パスワードを使用してドライブへのアクセスを制限し、データの暗号化を管理できます。これに必要なのは、パスワード（最大長は最大25文字）を指定することだけです。その後、ディスク上のすべての情報が暗号化され、パスフレーズを知っている人だけが保存されたファイルにアクセスできます。さらに便利なように、WD Securityでは、接続時にマイブックのロックを自動的に解除する信頼できるデバイスのリストを作成できます。



WD Securityは、暗号化保護を管理するための便利なビジュアルインターフェイスのみを提供し、データ暗号化はハードウェアレベルで外部ドライブ自体によって実行されることを強調します。このアプローチには、次のような多くの重要な利点があります。

• , , ;
• , , ;
• ;
• , « », .

上記のすべてがデータのセキュリティを保証し、機密情報の盗難の可能性をほぼ完全に排除することを可能にします。ドライブの追加機能を考慮すると、これによりMyBookはロシア市場で入手可能な最高の安全なストレージの1つになります。