Расширенный стандарт шифрования

Расширенный стандарт шифрования
(Rijndael)

SubBytes шаг, один из четырех этапов в раунде AES
Общий
Дизайнеров	Винсент Риджмен , Джоан Дэемен
Впервые опубликовано	1998 г.
Происходит от	Квадрат
Преемники	Анубис , Гран Крю , Калина
Сертификация	Победитель AES , CRYPTREC , NESSIE , NSA
Деталь шифра
Ключевые размеры	128, 192 или 256 бит [примечание 1]
Размеры блоков	128 бит [примечание 2]
Структура	Сеть подстановки-перестановки
Раундов	10, 12 или 14 (в зависимости от размера ключа)
Лучший публичный криптоанализ
Были опубликованы атаки, которые в вычислительном отношении быстрее, чем атака полным перебором , хотя по состоянию на 2013 год ни одна из них не является вычислительно выполнимой. [1] Для AES-128 ключ может быть восстановлен с вычислительной сложностью 2 126,1, используя атаку biclique . Для бикликовых атак на AES-192 и AES-256 применяются вычислительные сложности 2 189,7 и 2 254,4 соответственно. Атаки связанных ключей могут взломать AES-256 и AES-192 со сложностями 2 99,5 и 2 176 как по времени, так и по данным, соответственно. [2]

Advanced Encryption Standard ( AES ), также известный под своим первоначальным названием Rijndael ( Голландский произношение: [rɛindaːl] ), ^[3] является спецификацией для шифрования электронных данных , установленных в США Национальным институтом стандартов и технологий (NIST) в 2001. ^[4]

AES - это подмножество блочного шифра Rijndael ^[3], разработанное двумя бельгийскими криптографами, Винсентом Рейменом и Джоан Дэемен , которые подали предложение ^[5] в NIST во время процесса выбора AES . ^[6] Rijndael - это семейство шифров с разными ключами и размерами блоков. Для AES NIST выбрал три члена семейства Rijndael, каждый с размером блока 128 бит, но с тремя разными длинами ключей: 128, 192 и 256 бит.

AES был принят правительством США . Он заменяет Стандарт шифрования данных (DES) ^[7], который был опубликован в 1977 году. Алгоритм, описанный AES, является алгоритмом с симметричным ключом , что означает, что один и тот же ключ используется как для шифрования, так и для дешифрования данных.

В Соединенных Штатах AES был объявлен NIST как US FIPS PUB 197 (FIPS 197) 26 ноября 2001 г. ^[4] Это объявление последовало за пятилетним процессом стандартизации, в ходе которого были представлены и оценены пятнадцать конкурирующих проектов, прежде чем Шифр Rijndael был выбран как наиболее подходящий (подробнее см. Процесс Advanced Encryption Standard ).

AES включен в стандарт ISO / IEC 18033-3 . AES вступил в силу в качестве стандарта федерального правительства США 26 мая 2002 г. после утверждения министром торговли США . AES доступен во многих различных пакетах шифрования и является первым (и единственным) общедоступным шифром, одобренным Агентством национальной безопасности США (NSA) для сверхсекретной информации при использовании в одобренном NSA криптографическом модуле (см. Безопасность AES ниже) .

Окончательные стандарты [ править ]

Расширенный стандарт шифрования (AES) определяется в каждом из:

• FIPS PUB 197: Расширенный стандарт шифрования (AES) ^[4]
• ISO / IEC 18033-3: Блочные шифры ^[8]

Описание шифров [ править ]

AES основан на принципе проектирования, известном как сеть замещения-перестановки , и эффективен как в программном, так и в аппаратном обеспечении. ^[9] В отличие от своего предшественника DES, AES не использует сеть Фейстеля . AES - это вариант Rijndael с фиксированным размером блока 128 бит и размером ключа 128, 192 или 256 бит. Напротив, Rijndael как таковой определяется с размерами блоков и ключей, которые могут быть любым кратным 32 битам, минимум 128 и максимум 256 бит.

AES работает с массивом байтов размером 4 × 4 столбца , называемым состоянием . ^{[примечание 3]} Большинство вычислений AES выполняется в конкретном конечном поле .

Например, 16 байт представлены как этот двумерный массив:${\ displaystyle b_ {0}, b_ {1}, ..., b_ {15}}$

${\ displaystyle {\ begin {bmatrix} b_ {0} & b_ {4} & b_ {8} & b_ {12} \\ b_ {1} & b_ {5} & b_ {9} & b_ {13} \\ b_ {2} & b_ {6} & b_ {10} & b_ {14} \\ b_ {3} & b_ {7} & b_ {11} & b_ {15} \ end {bmatrix}}}$

Размер ключа, используемый для шифра AES, определяет количество раундов преобразования, которые преобразуют ввод, называемый открытым текстом , в окончательный вывод, называемый зашифрованным текстом . Количество раундов следующее:

• 10 раундов для 128-битных ключей.
• 12 раундов для 192-битных ключей.
• 14 раундов для 256-битных ключей.

Каждый раунд состоит из нескольких этапов обработки, включая один, который зависит от самого ключа шифрования. Применяется набор обратных циклов для преобразования зашифрованного текста обратно в исходный открытый текст с использованием того же ключа шифрования.

Общее описание алгоритма [ править ]

1. KeyExpansion  - раундовые ключи получаются из ключа шифра с использованием расписания ключей AES . AES требует отдельного 128-битного блока ключей раунда для каждого раунда плюс еще один.
2. Добавление начального раундового ключа:
   1. AddRoundKey  - каждый байт состояния объединяется с байтом ключа раунда с помощью побитового xor .
3. 9, 11 или 13 патронов:
   1. SubBytes  - шаг нелинейной замены, на котором каждый байт заменяется другим в соответствии с таблицей поиска .
   2. ShiftRows  - шаг транспонирования, при котором последние три строки состояния циклически сдвигаются на определенное количество шагов.
   3. MixColumns  - операция линейного смешивания, которая работает со столбцами состояния, объединяя четыре байта в каждом столбце.
   4. AddRoundKey
4. Финальный раунд (всего 10, 12 или 14 раундов):
   1. SubBytes
   2. ShiftRows
   3. AddRoundKey

SubBytes шаг [ править ]

На этапе SubBytes каждый байт в массиве состояний заменяется SubByte с использованием 8-битного блока подстановки . Эта операция обеспечивает нелинейность шифра . Используемый S-блок получен из мультипликативной обратной функции над GF (2 ⁸ ) , которая, как известно, имеет хорошие свойства нелинейности. Чтобы избежать атак, основанных на простых алгебраических свойствах, S-блок создается путем объединения обратной функции с обратимым аффинным преобразованием . S-блок также выбран, чтобы избежать каких-либо неподвижных точек (и, следовательно, расстройства ), т. Е.${\ displaystyle a_ {i, j}}$ ${\ Displaystyle S (а_ {я, j})}$${\ Displaystyle S (а_ {я, j}) \ neq а_ {я, j}}$, а также любые противоположные неподвижные точки, т . е . При расшифровке используется шаг InvSubBytes (обратный к SubBytes ), который требует сначала взять обратное для аффинного преобразования, а затем найти мультипликативное обратное.${\ displaystyle S (a_ {i, j}) \ oplus a_ {i, j} \ neq {\ text {FF}} _ {16}}$

ShiftRows шаг [ править ]

ShiftRows шаг работает на строках состояния; он циклически сдвигает байты в каждой строке на определенное смещение . Для AES первая строка остается без изменений. Каждый байт второй строки сдвигается на единицу влево. Точно так же третья и четвертая строки сдвигаются на два и три смещения соответственно. ^{[примечание 4]} Таким образом, каждый столбец состояния вывода шага ShiftRows состоит из байтов из каждого столбца состояния ввода. Важность этого шага состоит в том, чтобы избежать независимого шифрования столбцов, в этом случае AES выродится в четыре независимых блочных шифра.

MixColumns шаг [ править ]

На шаге MixColumns каждый столбец состояния умножается на фиксированный полином .${\ Displaystyle с (х)}$

На шаге MixColumns четыре байта каждого столбца состояния объединяются с помощью обратимого линейного преобразования . Функция MixColumns принимает четыре байта в качестве входных и выводит четыре байта, причем каждый входной байт влияет на все четыре выходных байта. Вместе с ShiftRows , MixColumns обеспечивает диффузию в шифре.

Во время этой операции каждый столбец преобразуется с использованием фиксированной матрицы (матрица, умноженная слева на столбец, дает новое значение столбца в состоянии):

${\displaystyle {\begin{bmatrix}b_{0,j}\\b_{1,j}\\b_{2,j}\\b_{3,j}\end{bmatrix}}={\begin{bmatrix}2&3&1&1\\1&2&3&1\\1&1&2&3\\3&1&1&2\end{bmatrix}}{\begin{bmatrix}a_{0,j}\\a_{1,j}\\a_{2,j}\\a_{3,j}\end{bmatrix}}\qquad 0\leq j\leq 3}$

Умножение матриц состоит из умножения и сложения записей. Записи рассматриваются как байты как коэффициенты полинома порядка . Сложение - это просто XOR. Умножение производится по модулю неприводимого многочлена . Если обрабатывается побитно, то после сдвига должен выполняться условный XOR с 1B ₁₆ , если сдвинутое значение больше FF ₁₆ (переполнение должно быть исправлено вычитанием генерирующего полинома). Это частные случаи обычного умножения в .${\displaystyle x^{7}}$${\displaystyle x^{8}+x^{4}+x^{3}+x+1}$${\displaystyle \operatorname {GF} (2^{8})}$

В более общем смысле каждый столбец рассматривается как многочлен над и затем умножается по модулю на фиксированный многочлен . Коэффициенты отображаются в их шестнадцатеричном эквиваленте двоичного представления битовых многочленов из . MixColumns шаг также можно рассматривать как умножение на показанной конкретные матрицы РМР в конечной области . Этот процесс описан далее в статье Rijndael MixColumns .${\displaystyle \operatorname {GF} (2^{8})}$${\displaystyle {01}_{16}\cdot z^{4}+{01}_{16}}$${\displaystyle c(z)={03}_{16}\cdot z^{3}+{01}_{16}\cdot z^{2}+{01}_{16}\cdot z+{02}_{16}}$${\displaystyle \operatorname {GF} (2)[x]}$ ${\displaystyle \operatorname {GF} (2^{8})}$

AddRoundKey шаг [ править ]

На шаге AddRoundKey подраздел объединяется с состоянием. Для каждого раунда подключ получается из основного ключа с использованием расписания ключей Rijndael ; каждый подключ имеет тот же размер, что и состояние. Подключ добавляется путем объединения каждого байта состояния с соответствующим байтом подраздела с помощью побитового XOR .

Оптимизация шифра [ править ]

В системах с 32-битными или большими словами можно ускорить выполнение этого шифра, объединив шаги SubBytes и ShiftRows с шагом MixColumns , преобразовав их в последовательность поиска по таблице. Для этого требуются четыре 32-битные таблицы с 256 записями (вместе занимающие 4096 байт). Затем цикл может быть выполнен с помощью 16 операций поиска в таблице и 12 32-битных операций исключающего ИЛИ, за которыми следуют четыре 32-битных операции исключающего ИЛИ на этапе AddRoundKey . ^{[10] В} качестве альтернативы, операция поиска в таблице может выполняться с одной 32-битной таблицей с 256 записями (занимающей 1024 байта) с последующими операциями кругового вращения.

Используя байтовый подход, можно объединить шаги SubBytes , ShiftRows и MixColumns в одну операцию раунда. ^[11]

Безопасность [ править ]

Агентство национальной безопасности (АНБ) проверило всех финалистов AES, включая Риджндала, и заявило, что все они были достаточно безопасными для несекретных данных правительства США. В июне 2003 года правительство США объявило, что AES может использоваться для защиты секретной информации :

Дизайн и надежность всех длин ключей алгоритма AES (т. Е. 128, 192 и 256) достаточны для защиты секретной информации до уровня SECRET. СОВЕРШЕННО СЕКРЕТНАЯ информация потребует использования ключей длиной 192 или 256. Внедрение AES в продукты, предназначенные для защиты систем национальной безопасности и / или информации, должно быть проверено и сертифицировано АНБ до их приобретения и использования. ^[12]

AES имеет 10 раундов для 128-битных ключей, 12 раундов для 192-битных ключей и 14 раундов для 256-битных ключей.

К 2006 году самые известные атаки были на 7 раундов для 128-битных ключей, 8 раундов для 192-битных ключей и 9 раундов для 256-битных ключей. ^[13]

Известные атаки [ править ]

Для криптографов криптографический «взлом» - это что-то более быстрое, чем атака полным перебором, то есть выполнение одного пробного дешифрования для каждого возможного ключа в последовательности (см. Криптоанализ ). Таким образом, перерыв может включать результаты, которые недостижимы при использовании современных технологий. Несмотря на то, что теоретические исследования непрактичны, иногда они могут дать представление о моделях уязвимости. Самая большая успешная общеизвестный перебор атака на алгоритм шифрования широко реализован блок-шифр была против 64-битного RC5 ключа по distributed.net в 2006 году ^[14]

Ключевое пространство увеличивается в 2 раза для каждого дополнительного бита длины ключа, и если каждое возможное значение ключа равновероятно, это приводит к удвоению среднего времени поиска ключа методом перебора. Это означает, что усилие перебора возрастает экспоненциально с увеличением длины ключа. Длина ключа сама по себе не означает защиты от атак, поскольку есть шифры с очень длинными ключами, которые оказались уязвимыми.

AES имеет довольно простую алгебраическую основу. ^[15] В 2002 году Николя Куртуа и Йозеф Пиепшик объявили о теоретической атаке, названной « XSL-атакой », с целью показать слабость алгоритма AES, частично из-за низкой сложности его нелинейных компонентов. ^[16] С тех пор другие документы показали, что атака в том виде, в котором она была представлена ​​изначально, неосуществима; см. XSL-атака на блочные шифры .

В процессе выбора AES разработчики конкурирующих алгоритмов написали об алгоритме Райндала: «Мы обеспокоены его использованием ... в критически важных для безопасности приложениях». ^[17] В октябре 2000 года, однако, в конце процесса выбора AES Брюс Шнайер , разработчик конкурирующего алгоритма Twofish , написал, что, хотя он думал, что успешные академические атаки на Rijndael когда-нибудь будут разработаны, он «не верил, что любой когда-либо обнаружит атаку, которая позволит кому-либо читать трафик Rijndael ". ^[18]

До мая 2009 года единственными успешными опубликованными атаками на полную версию AES были атаки по побочным каналам на некоторые конкретные реализации. В 2009 году была обнаружена новая атака на основе связанных ключей , использующая простоту расписания ключей AES и имеющая сложность ²¹¹⁹ . В декабре 2009 года он был улучшен до 2 ^99,5 . ^[2] Это продолжение атаки, обнаруженной ранее в 2009 году Алексом Бирюковым , Дмитрием Ховратовичем и Ивицей Николичем, со сложностью 2 ⁹⁶ для одного из каждых 2 ³⁵ ключей. ^[19]Однако атаки со связанными ключами не вызывают беспокойства ни в одном должным образом разработанном криптографическом протоколе, поскольку правильно разработанный протокол (т. Е. Программное обеспечение для реализации) позаботится о том, чтобы не допустить использование связанных ключей, по существу, ограничивая средства злоумышленника в выборе ключей для определения взаимосвязи.

Еще одна атака была опубликована в блоге Брюса Шнайера ^[20] 30 июля 2009 г. и выпущена в виде препринта ^[21] 3 августа 2009 г. Эта новая атака была проведена Алексом Бирюковым, Орром Дункельманом, Натаном Келлером, Дмитрием Ховратовичем и Ади Шамиром. , против AES-256, который использует только два связанных ключа и 2 ³⁹ раз, чтобы восстановить полный 256-битный ключ 9-раундовой версии, или 2 ⁴⁵ раз для 10-раундовой версии с более сильным типом атаки связанных подключей, или 2 ⁷⁰ раз для 11-раундового варианта. 256-битный AES использует 14 раундов, поэтому эти атаки не эффективны против полного AES.

Практичность этих атак с более сильными связанными ключами подвергалась критике ^[22], например, в статье об атаках с выбранным ключом в середине на AES-128, автором которой является Винсент Раймен в 2010 году ^[23].

В ноябре 2009 года в виде препринта была выпущена первая атака с распознаванием ключа против сокращенной 8-раундовой версии AES-128. ^[24] Эта атака с распознаванием известного ключа является улучшением отскока, или атаки «начало с середины», против AES-подобных перестановок, которые рассматривают два последовательных раунда перестановки как применение так называемой супер- S-бокс. Он работает с 8-раундовой версией AES-128 с временной сложностью 2 ⁴⁸ и сложностью памяти 2 ³² . 128-битный AES использует 10 раундов, поэтому эта атака не эффективна против полного AES-128.

Первые атаки с восстановлением ключа на полный AES были предприняты Андреем Богдановым, Дмитрием Ховратовичем и Кристианом Рехбергером и были опубликованы в 2011 году. ^[25] Атака является бикликовой атакой и примерно в четыре раза быстрее грубой силы. Для восстановления ключа AES-128 требуется 2 операции ^126,2 . Для AES-192 и AES-256 требуется 2 операций ^190,2 и 2 ^254,6 соответственно. Этот результат был дополнительно улучшен до 2 ^126,0 для AES-128, 2 ^189,9 для AES-192 и 2 ^254,3 для AES-256, ^[26], которые на данный момент являются лучшими результатами атаки восстановления ключа против AES.

Это очень небольшой выигрыш, поскольку 126-битный ключ (вместо 128-битного) все равно потребует миллиарды лет, чтобы перебрать текущее и ожидаемое оборудование. Кроме того, авторы вычисляют лучшую атаку, используя свою технику на AES со 128-битным ключом, требующим хранения 2 ⁸⁸ бит данных. Это составляет около 38 триллионов терабайт данных, что больше, чем все данные, хранящиеся на всех компьютерах планеты в 2016 году. Таким образом, нет никаких практических последствий для безопасности AES. ^[27] Сложность пространства позже была улучшена до 2 ⁵⁶ бит, ^[26] что составляет 9007 терабайт.

Согласно документам Сноудена , АНБ изучает, может ли криптографическая атака, основанная на статистике тау, взломать AES. ^[28]

В настоящее время не существует известной практической атаки, которая позволила бы кому-либо, не зная ключа, прочитать данные, зашифрованные AES, при правильной реализации.

Атаки по побочным каналам [ править ]

Атаки по побочным каналам не атакуют шифр как черный ящик и, таким образом, не связаны с безопасностью шифра, как определено в классическом контексте, но важны на практике. Они атакуют реализации шифра на аппаратном или программном обеспечении, в результате чего происходит непреднамеренная утечка данных. Известно несколько таких атак на различные реализации AES.

В апреле 2005 года DJ Bernstein объявил об атаке с использованием тайминга кеша, которую он использовал для взлома пользовательского сервера, который использовал шифрование OpenSSL AES. ^[29] Для атаки потребовалось более 200 миллионов выбранных открытых текстов. ^[30] Пользовательский сервер был разработан так, чтобы выдавать как можно больше информации о времени (сервер сообщает количество машинных циклов, затраченных на операцию шифрования). Однако, как указал Бернштейн, «уменьшение точности временных меток сервера или их исключение из ответов сервера не останавливает атаку: клиент просто использует время приема-передачи, основанное на своих локальных часах, и компенсирует повышенный шум. путем усреднения по большему количеству образцов ". ^[29]

В октябре 2005 года Даг Арне Освик, Ади Шамир и Эран Тромер представили документ, демонстрирующий несколько атак с использованием тайминга кеширования против реализаций AES, обнаруженных в OpenSSL и dm-cryptфункции шифрования разделов Linux . ^[31] Одна атака смогла получить весь ключ AES всего за 800 операций, запускающих шифрование, в общей сложности за 65 миллисекунд. Эта атака требует, чтобы злоумышленник мог запускать программы в той же системе или платформе, на которой выполняется AES.

В декабре 2009 года была опубликована атака на некоторые аппаратные реализации, в которой использовался дифференциальный анализ неисправностей и которая позволяет восстановить ключ со сложностью 2 ³² . ^[32]

В ноябре 2010 года Эндре Бангертер, Дэвид Гуллаш и Стефан Кренн опубликовали статью, в которой описал практический подход к восстановлению секретных ключей из AES-128 «почти в реальном времени» без необходимости в шифрованном или открытом тексте. Этот подход также работает с реализациями AES-128, которые используют таблицы сжатия, такие как OpenSSL. ^[33] Подобно некоторым более ранним атакам, эта требует возможности запускать непривилегированный код в системе, выполняющей шифрование AES, что может быть достигнуто путем заражения вредоносным ПО гораздо проще, чем реквизиция учетной записи root. ^[34]

В марте 2016 года Ашоккумар С., Рави Пракаш Гири и Бернард Менезес представили атаку по побочному каналу на реализации AES, которая может восстановить полный 128-битный ключ AES всего за 6-7 блоков открытого текста / зашифрованного текста, что является существенным улучшением по сравнению с предыдущие работы, требующие от 100 до миллиона шифрований. ^[35] Предлагаемая атака требует стандартных привилегий пользователя, а алгоритмы извлечения ключей выполняются менее чем за минуту.

Многие современные процессоры имеют встроенные аппаратные инструкции для AES , которые защищают от атак по побочным каналам, связанных с синхронизацией. ^{[36] [37]}

Проверка NIST / CSEC [ править ]

Программа проверки криптографических модулей (CMVP) осуществляется совместно Национальным институтом стандартов и технологий (NIST) правительства США и Управлением безопасности связи (CSE) правительства Канады. Использование криптографических модулей, подтвержденных NIST FIPS 140-2Требуется правительством США для шифрования всех данных, имеющих классификацию «Чувствительные, но несекретные» (SBU) или выше. Из NSTISSP # 11, Национальная политика, регулирующая получение информации: «Продукты шифрования для защиты секретной информации будут сертифицированы NSA, а продукты шифрования, предназначенные для защиты конфиденциальной информации, будут сертифицированы в соответствии с NIST FIPS 140-2». ^[38]

Правительство Канады также рекомендует использовать утвержденные FIPS 140 криптографические модули в несекретных приложениях своих ведомств.

Хотя публикация NIST 197 («FIPS 197») является уникальным документом, охватывающим алгоритм AES, поставщики обычно обращаются к CMVP в соответствии с FIPS 140 и просят одновременно проверить несколько алгоритмов (например, Triple DES или SHA1 ). Следовательно, редко можно найти криптографические модули, которые однозначно проверены FIPS 197, а сам NIST обычно не тратит время на то, чтобы перечислить проверенные модули FIPS 197 отдельно на своем общедоступном веб-сайте. Вместо этого проверка FIPS 197 обычно просто указывается как нотация «Утверждено FIPS: AES» (с конкретным номером сертификата FIPS 197) в текущем списке проверенных криптографических модулей FIPS 140.

Программа проверки криптографических алгоритмов (CAVP) ^[39] позволяет проводить независимую проверку правильности реализации алгоритма AES. Успешная проверка приводит к появлению в списке на странице проверок NIST. ^[40] Это тестирование является предварительным условием для проверки модуля FIPS 140-2, описанной ниже. Однако успешная проверка CAVP никоим образом не означает, что криптографический модуль, реализующий алгоритм, безопасен. Криптографический модуль без проверки FIPS 140-2 или специального одобрения NSA не считается безопасным правительством США и не может использоваться для защиты правительственных данных. ^[38]

Проверка FIPS 140-2 является сложной задачей как с технической, так и с финансовой точки зрения. ^[41] Существует стандартный набор тестов, а также элемент проверки исходного кода, который необходимо пройти в течение нескольких недель. Стоимость проведения этих тестов в утвержденной лаборатории может быть значительной (например, более 30 000 долларов США) ^[41] и не включает время, необходимое для написания, тестирования, документирования и подготовки модуля для проверки. После проверки модули должны быть повторно представлены и повторно оценены, если они каким-либо образом изменены. Это может отличаться от простых обновлений документов, если функциональные возможности безопасности не изменились, до более существенного набора повторных проверок, если на функциональные возможности безопасности это изменение повлияло.

Тестовые векторы [ править ]

Тестовые векторы - это набор известных шифров для заданного входа и ключа. NIST распределяет эталоны тестовых векторов AES как векторы теста известных ответов AES (KAT). ^{[примечание 5]}

Производительность [ править ]

Критериями выбора AES были высокая скорость и низкие требования к оперативной памяти. В качестве выбранного алгоритма AES хорошо работает на широком спектре оборудования, от 8-битных смарт-карт до высокопроизводительных компьютеров.

На Pentium Pro для шифрования AES требуется 18 тактовых циклов на байт ^{[42], что} эквивалентно пропускной способности около 11 МБ / с для процессора с тактовой частотой 200 МГц.

На процессорах Intel Core и AMD Ryzen, поддерживающих расширения набора инструкций AES-NI , пропускная способность может составлять несколько ГБ / с (даже более 10 ГБ / с). ^[43]

Если аппаратное обеспечение ЦП не поддерживает ускорение AES, ChaCha представляет собой альтернативный шифр с более высокой производительностью и без ущерба для безопасности. ^{[44] [45]}

Реализации [ править ]

См. Также [ править ]

• Режимы работы AES
• Шифрование диска
• Сетевое шифрование
• Whirlpool - хеш-функция, созданная Винсентом Рейменом и Пауло SLM Баррето
• Список бесплатных программных пакетов и пакетов с открытым исходным кодом

Заметки [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• «256-битный ключ - 128-битный блок - AES» . Криптография - 256-битные шифры: справочный исходный код и заявки на участие в международных конкурсах криптографических разработок . EmbeddedSW.
• «Расширенный стандарт шифрования (AES)» (PDF) . Федеральные стандарты обработки информации . 26 ноября 2001 г. doi : 10.6028 / NIST.FIPS.197 . 197.
• Архивная информация алгоритма AES - (старая, неподдерживаемая)
• «Часть 3: Блочные шифры» (PDF) . Информационные технологии - Методы безопасности - Алгоритмы шифрования (2-е изд.). ISO. 2010-12-15. ИСО / МЭК 18033-3: 2010 (E).
• Анимация Rijndael - AES подробно объяснил и анимировал с помощью Flash (Энрике Забала / Университет ОРТ / Монтевидео / Уругвай). Эта анимация (на английском, испанском и немецком языках) также является частью CrypTool 1 (меню Индив. Процедуры → Визуализация алгоритмов → AES).
• HTML5-анимация Rijndael - та же анимация, что и выше, сделанная в HTML5.