Definición de AES o Advanced Encryption Standard (cifrado)

(Advanced Encryption Standard - AES). También conocido como Rijndael. Esquema de cifrado por bloques, que fue adoptado como estándar de cifrado por el gobierno estadounidense. Reemplaza progresivamente a su predecesor (DES y Triple DES). AES es uno de los algoritmos más utilizados en criptografía simétrica.

Fue anunciado el 26 de noviembre de 2001 por el NIST (Instituto Nacional de Estándares y Tecnología), luego de un proceso de estandarización que duró 5 años. Se transformó en estándar el 26 de mayo de 2002.

El cifrador fue desarrollado por Joan Daemen y Vincent Rijmen (de aquí su nombre original Rijndael), dos criptólogos de Bélgica, estudiantes de la Universidad Católica de Leuven.

AES es una red de sustitución-permutación, no una red de Feistel (como DES). AES también es mucho más rápido que DES, tanto en hardware como en software y además, requiere poca memoria.


Funcionamiento de AES

AES funciona en una matriz de 4×4 bytes que es llamada state.

- Expansión de la clave usando el esquema de claves de Rijndael.

- Etapa inicial:
AddRoundKey

- Rondas:
SubBytes
ShiftRows
MixColumns
AddRoundKey.

- Etapa final:
SubBytes
ShiftRows
AddRoundKey


SubBytes: se realiza una sustitución no lineal donde cada byte es reemplazado con otro de acuerdo a una tabla de búsqueda.


En la fase de SubBytes, cada byte en el state es reemplazado con su entrada en una tabla de búsqueda fija de 8 bits, S; bij = S(aij). Imagen de dominio público


ShiftRows: se realiza una transposición donde cada fila del «state» es rotada de manera cíclica un número determinado de veces.


En el paso ShiftRows, los bytes en cada fila del state son rotados de manera cíclica hacia la izquierda. El número de lugares que cada byte es rotado difiere para cada fila. Imagen de dominio público


MixColumns: operación de mezclado que opera en las columnas del «state», combinando los cuatro bytes en cada columna usando una transformación lineal


En el paso MixColumns, cada columna del state es multiplicada por un polinomio constante c(x). Imagen de dominio público


AddRoundKey: cada byte del «state» es combinado con la clave «round»; cada clave «round» se deriva de la clave de cifrado usando una iteración de la clave.


En el paso AddRoundKey, cada byte del state se combina con un byte de la subclave usando la operación XOR (⊕). Imagen de dominio público

Concurso para la elección de AES

A finales de los 90, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) organizó un concurso para encontrar un bloque de cifrado que reemplazara al Estándar de Cifrado de Datos, DES. El cifrado ganador, previamente conocido como Rijndael se convirtió en el Estándar de Cifrado Avanzado, AES. El DES se había vuelto obsoleto porque su tamaño de clave de 56 bits era inadecuado para resistir ataques de fuerza bruta, dada la tecnología moderna.

Todo el proceso fue completamente abierto; incluso su documento de requisitos fue publicado y se invitó a comentar o criticar antes de que se escribiera una versión final, y todo el trabajo posterior hacia la elección de un estándar fue público también.

Todo el proceso fue ampliamente elogiado por los criptógrafos como un buen ejemplo de cómo tener en cuenta el Principio de Kerckhoffs. Esto contrastaba con algunas de las críticas que se habían hecho al secreto en el proceso de estandarización del DES que fue dirigido por el antepasado del NIST, la Oficina Nacional de Estándares.

Los requisitos finales especificaban un cifrado por bloques con un tamaño de bloque de 128 bits y soporte para tamaños de clave de 128, 192 o 256 bits. Los criterios de evaluación incluían la seguridad, el rendimiento en una serie de plataformas desde las CPU de 8 bits (por ejemplo, en las tarjetas inteligentes) hasta la facilidad de implementación tanto en el software como en el hardware.

Se recibieron quince propuestas que cumplían los criterios básicos, no sólo de los Estados Unidos sino también de muchos otros países. Todas las entradas eran cifrados de bloque iterados; en términos de Shannon todos eran cifrados de producto. La mayoría usaba una red SP o una estructura Feistel, o variaciones de ellas. Varios tenían pruebas de resistencia a varios ataques.

En orden alfabético, los quince candidatos de la primera ronda eran:

CAST-256, CRYPTON, DEAL, DFC, E2, FROG, Hasty Pudding, LOKI97, MAGENTA, MARS, RC6, Rijndael, SAFER+, Serpent, y Twofish

Todos se describen a continuación.

El NIST logró acorralar a un buen grupo de sospechosos; muchos de los criptógrafos más conocidos del mundo participaron en diversos equipos de diseño y otros contribuyeron al análisis de los candidatos. Proporcionamos una tabla con la lista de algunos de los principales actores involucrados.

Después de muchos análisis y pruebas, y dos conferencias, el campo se redujo a cinco finalistas - Twofish, MARS, Serpent, RC6, y Rijndael. Después de otro año de análisis y pruebas centradas en los finalistas, y otra conferencia con todos los equipos finalistas haciendo presentaciones, eligieron un ganador. En octubre de 2002, Rijndael fue elegido para convertirse en el Estándar de Cifrado Avanzado o AES.

El concurso fue abierto e internacional y se hizo un trabajo extenso de prueba y comparación de los distintos candidatos. Para facilitar esto, el NIST definió algunas interfaces estándar que todos utilizaron. Para casi todos los cifrados candidatos, las implementaciones con estas interfaces están fácilmente disponibles. Muchos, aunque no todos, de estos cifrados tienen licencias abiertas. Esto significa que cualquiera que implemente AES tiene la opción de añadir otros cifrados a un costo mínimo, en particular los otros tres finalistas con licencias abiertas - Twofish, MARS, y Serpent. Esto da una póliza de seguro barato contra la (presumiblemente remota) posibilidad de que alguien encuentre un buen ataque al AES.

Debido al ataque de cumpleaños (birthday attack), un hash criptográfico necesita proporcionar la salida de 2n bits para resistir los ataques, así como un cifrado con una clave de n-bit. Por lo tanto, el NIST ha emitido estándares para la familia de hashes SHA-2: SHA-256, SHA-384 y SHA-512 para igualar la fuerza de AES, además de SHA-224 para igualar la fuerza de 112 bits de Triple DES. Sin embargo, todos esos hashes se derivan de SHA y se han demostrado sus debilidades, así que en 2008 el NIST inició un concurso similar al de AES para diseñar un Estándar Avanzado de Hash que puede (si es necesario) reemplazar a SHA-2 como AES reemplazó a DES.

¿Mejoramos la definición?