Padrão de criptografia avançado (AES)

Padrão Avançado de CriptografiaO que é o AES e como ele funciona

AES, ou Advanced Encryption Standards, é uma cifra criptográfica responsável por grande parte da segurança das informações que você desfruta diariamente..

Aplicado por todos, da NSA à Microsoft e Apple, o AES é um dos algoritmos criptográficos mais importantes usados ​​em 2018.

O que exatamente é AES? Como funciona? E pessoas "não-técnicas" como você e eu podem aplicá-lo para ser mais seguro em nossas vidas diárias?

É exatamente isso que discutiremos neste guia.

  • O que é o AES 
  • AES vs. DES (História de fundo)
  • Usos comuns do AES
  • O que é AES Cipher
  • Cifras simétricas x assimétricas
  • Ataques cibernéticos relacionados à AES
  • Conclusão

O que é o AES?

O AES ou Advanced Encryption Standards (também conhecido como Rijndael) é um dos métodos mais usados ​​para criptografar e descriptografar informações confidenciais em 2017.

Esse método de criptografia usa o que é conhecido como algoritmo de codificação em bloco (que explicarei mais adiante) para garantir que os dados possam ser armazenados com segurança.

E enquanto eu vou mergulhar nas nuances técnicas e no jargão criptográfico divertido em um momento, para apreciar totalmente o AES, precisamos primeiro voltar atrás para uma breve lição de história.

AES Design

AES vs. DES (História de fundo)

Antes de mergulhar no AES em toda a sua glória criptografada, quero discutir como a AES alcançou a padronização e falar brevemente sobre seu DES ou Padrões de Criptografia de Dados predecessores.

Baseando seu desenvolvimento em um algoritmo de protótipo desenvolvido por Horst Feistel, a IBM desenvolveu o algoritmo DES inicial no início dos anos 1970.

A criptografia foi então submetida ao National Bureau of Standards que, em uma colaboração posterior com a NSA, modificou o algoritmo original e posteriormente o publicou como um Federal Information Processing Standard em 1977.

O DES tornou-se o algoritmo padrão usado pelo governo dos Estados Unidos por mais de duas décadas, até que, em janeiro de 1999, a distribut.net e a Electronic Frontier Foundation colaboraram para quebrar publicamente uma chave do DES em menos de 24 horas.

Eles concluíram seus esforços com sucesso após apenas 22 horas e 15 minutos, trazendo a fraqueza dos algoritmos para os holofotes para que todos vissem.

Ao longo de cinco anos, o Instituto Nacional de Padrões e Tecnologia avaliou rigorosamente os projetos de criptografia de 15 partes concorrentes, incluindo MARS da IBM, RC6 da RSA Security, Serpent, Twofish e Rijndael, entre muitos outros..

Sua decisão não foi tomada de ânimo leve e, durante todo o processo de cinco anos, toda a comunidade criptográfica se uniu para executar testes detalhados, discussões e ataques simulados, a fim de encontrar possíveis fraquezas e vulnerabilidades que poderiam comprometer a segurança de cada cifra..

Embora a força das cifras concorrentes tenha obviamente sido de suma importância, não foi o único fator avaliado pelos vários painéis. Requisitos de velocidade, versatilidade e computação também foram revisados, pois o governo precisava de uma criptografia fácil de implementar, confiável e rápida.

E embora houvesse muitos outros algoritmos com desempenho admirável (na verdade muitos deles ainda são amplamente usados ​​hoje em dia), a cifra de Rijndael finalmente levou para casa o troféu e foi declarada um padrão federal.

Após sua vitória, a cifra de Rijndael, projetada por dois criptografistas belgas (Joan Daemen e Vincent Rijmen), foi renomeada como Advanced Encryption Standard.

Mas o sucesso dessa cifra não terminou com sua padronização.

De fato, após a padronização da AES, a cifra continuou a subir entre as fileiras e, em 2003, foi considerada adequada pela NSA para guardar informações secretas importantes..

Então, por que exatamente estou lhe dizendo tudo isso?

Bem, nos últimos anos, a AES tem sido objeto de muita controvérsia, já que muitos criptografadores e hackers questionam sua adequação para uso contínuo. E enquanto eu não estou posando como especialista do setor, quero que você entenda o processo necessário para desenvolver o algoritmo e a tremenda quantidade de confiança que mesmo as agências mais secretas depositam na cifra de Rijndael.

DES vs AES

Usos comuns da AES em 2017

Usos comuns do AESAntes de me aprofundar em alguns detalhes mais técnicos sobre como a AES funciona, primeiro vamos discutir como está sendo usada em 2017.

Note-se que a AES é gratuita para qualquer uso público, privado, comercial ou não comercial. (Embora você deva ter cuidado ao implementar o AES no software, pois o algoritmo foi desenvolvido em um sistema big endian e a maioria dos computadores pessoais é executada em sistemas little endian.)

  1. Ferramentas de arquivamento e compactação

Se algum de vocês já baixou um arquivo da Internet e abriu o arquivo apenas para perceber que o arquivo foi compactado (o que significa que o tamanho do arquivo original foi reduzido para minimizar o efeito no disco rígido), é provável que você software instalado que depende de uma criptografia AES.

Ferramentas de compactação comuns, como WinZip, 7 Zip e RAR, permitem compactar e descompactar arquivos para otimizar o espaço de armazenamento, e quase todos eles usam o AES para garantir a segurança dos arquivos..

  1. Criptografia de disco / partição

Se você já conhece o conceito de criptografia e tomou medidas extras para garantir a segurança de seus dados pessoais, o software de criptografia de disco / partição que você usa provavelmente usa um algoritmo AES.

BitLocker, FileVault e CipherShed são todos softwares de criptografia executados no AES para manter suas informações privadas.

  1. VPNs

O algoritmo AES também é comumente aplicado a VPNs ou redes privadas virtuais.

Para aqueles que não estão familiarizados com o termo, uma VPN é uma ferramenta que permite usar uma conexão pública à Internet para conectar-se a uma rede mais segura.

As VPNs funcionam criando um "túnel" entre sua conexão de rede pública e uma rede criptografada em um servidor operado pelo provedor de VPN.

Por exemplo, se você trabalha regularmente em uma cafeteria local, provavelmente está ciente de que a conexão pública é incrivelmente insegura e o deixa vulnerável a todos os tipos de hackers.

Com uma VPN, você pode resolver facilmente esse problema conectando-se a uma rede privada que mascara suas atividades on-line e mantém seus dados seguros.

Ou, digamos que você esteja viajando para um país com rigorosas leis de censura e observe que todos os seus sites favoritos estão restritos.

Mais uma vez, com uma configuração simples de VPN, você pode recuperar rapidamente o acesso a esses sites, conectando-se a uma rede privada em seu país de origem..

Note-se, no entanto, que nem todas as VPNs são criadas igualmente.

Embora as melhores VPNs (como ExpressVPN e NordVPN) dependam de uma criptografia AES-256, há vários serviços desatualizados que ainda dependem de PPTP e Blowfish (uma criptografia de 64 bits obsoleta há muito tempo), portanto, faça sua pesquisa antes de selecionar um provedor.

  1. Outras aplicações convencionais

Além dos aplicativos acima, o AES é usado em diversos softwares e aplicativos com os quais você, sem dúvida, está familiarizado.

Se você usar algum tipo de ferramenta de senha mestra, como LastPass ou 1Password, terá acesso aos benefícios da criptografia AES de 256 bits.

Você já jogou Grand Theft Auto? Bem, o pessoal da Rockstar desenvolveu um mecanismo de jogo que usa o AES para evitar hackers multiplayer.

Ah, e não se esqueça, qualquer um de vocês que gosta de enviar mensagens pelo WhatsApp ou Facebook Messenger ... Você adivinhou! AES em ação.

Felizmente, agora você está começando a perceber o quão integral é a AES na administração de toda a estrutura da sociedade moderna.

E agora que você entende o que é e como é usado, é hora de começar a se divertir. Quão esse menino mau trabalha.

A cifra AES

A cifra AES faz parte de uma família conhecida como cifras de bloco, que são algoritmos que criptografam dados em uma base por bloco.

Esses "blocos" medidos em bits determinam a entrada de texto sem formatação e a saída de texto cifrado. Por exemplo, como o AES tem 128 bits de comprimento, para cada 128 bits de texto simples, são produzidos 128 bits de texto cifrado.

Como quase todos os algoritmos de criptografia, o AES depende do uso de chaves durante o processo de criptografia e descriptografia. Como o algoritmo AES é simétrico, a mesma chave é usada para criptografia e descriptografia (falarei mais sobre o que isso significa em um momento).

O AES opera no que é conhecido como matriz de bytes principais de 4 x 4 colunas. Se isso lhe parecer um pouco demais, a comunidade de criptografia concorda e denomina esse processo como Estado.

O tamanho da chave usada para essa cifra especifica o número de repetições ou "voltas" necessárias para colocar o texto sem formatação na cifra e convertê-lo em texto cifrado.

Veja como os ciclos se decompõem.

  • São necessárias 10 rodadas para uma chave de 128 bits
  • São necessárias 12 rodadas para uma chave de 192 bits
  • 14 rodadas são necessárias para uma chave de 256 bits

Embora as chaves mais longas forneçam aos usuários criptografias mais fortes, a força tem o custo de desempenho, o que significa que eles levarão mais tempo para criptografar.

Por outro lado, embora as chaves mais curtas não sejam tão fortes quanto as mais longas, elas fornecem tempos de criptografia muito mais rápidos para o usuário.

As cifras simétricas não são mais fáceis de quebrar do que as assimétricas?

Agora, antes de prosseguirmos, quero abordar brevemente um tópico que provocou uma quantidade significativa de controvérsia na comunidade criptográfica.

Como observei anteriormente, o AES conta com um algoritmo simétrico, o que significa que a chave usada para criptografar informações é a mesma usada para descriptografá-las. Quando comparado a um algoritmo assimétrico, que depende de uma chave privada para descriptografia e de uma chave pública separada para criptografia de arquivos, costuma-se dizer que algoritmos simétricos são menos seguros.

E, embora seja verdade que as criptografias assimétricas possuem uma camada adicional de segurança porque não exigem a distribuição de sua chave privada, isso não significa necessariamente que elas são melhores em todos os cenários..

Os algoritmos simétricos não requerem o mesmo poder computacional que as chaves assimétricas, tornando-os significativamente mais rápidos do que seus equivalentes..

No entanto, onde as chaves simétricas ficam aquém, está dentro do domínio da transferência de arquivos. Como eles contam com a mesma chave para criptografia e descriptografia, algoritmos simétricos exigem que você encontre um método seguro de transferir a chave para o destinatário desejado..

Com algoritmos assimétricos, você pode distribuir com segurança sua chave pública a qualquer pessoa e a todos, sem se preocupar, porque apenas sua chave privada pode descriptografar arquivos criptografados.

Portanto, embora os algoritmos assimétricos sejam certamente melhores para transferências de arquivos, eu queria salientar que o AES não é necessariamente menos seguro porque se baseia em criptografia simétrica, é simplesmente limitado em sua aplicação.

assimétrico vs simétrico

Ataques e violações de segurança relacionados à AES

A AES ainda está para ser quebrada da mesma maneira que o DES estava em 1999, eo maior ataque bem-sucedido de força bruta contra qualquer A cifra de bloco era apenas contra uma criptografia de 64 bits (pelo menos para conhecimento do público).

A maioria dos criptografadores concorda que, com o hardware atual, atacando com sucesso o algoritmo AES, mesmo em uma chave de 128 bits levaria bilhões de anos e é, portanto, altamente improvável.

No momento, não existe um método conhecido que permita a alguém atacar e descriptografar dados criptografados pelo AES, desde que o algoritmo tenha sido implementado corretamente.

No entanto, muitos dos documentos divulgados por Edward Snowden mostram que a NSA está pesquisando se algo conhecido como estatística tau pode ou não ser usado para quebrar a AES.

Ataques de canal lateral

Apesar de todas as evidências apontarem para a impraticabilidade de um ataque AES com o hardware atual, isso não significa que o AES seja completamente seguro.

Os ataques de canal lateral, que são baseados nas informações obtidas com a implementação física de um sistema de criptografia, ainda podem ser explorados para atacar um sistema criptografado com o AES. Esses ataques não se baseiam em pontos fracos do algoritmo, mas em indicações físicas de um ponto fraco potencial que pode ser explorado para violar o sistema..

Aqui estão alguns exemplos comuns.

  • Timing Attack: Esses ataques são baseados em invasores que medem quanto tempo vários cálculos precisam executar.
  • Ataque de monitoramento de energia: Esses ataques dependem da variabilidade do consumo de energia do hardware durante o cálculo
  • Ataques eletromagnéticos: Esses ataques, baseados na radiação eletromagnética vazada, podem fornecer diretamente aos atacantes texto simples e outras informações. Essas informações podem ser usadas para supor as chaves criptográficas usando métodos semelhantes aos usados ​​pela NSA com TEMPEST.

The Hacking Anthem: Como a AES poderia ter salvo 80 milhões de dados pessoais de pessoas

Em fevereiro de 2015, o banco de dados da companhia de seguros Anthem foi invadido, comprometendo os dados pessoais de mais de 80 milhões de americanos.

Os dados pessoais em questão incluíam tudo, desde nomes, endereços e números de previdência social das vítimas.

E enquanto o CEO da Anthem tranquilizou o público afirmando que as informações do cartão de crédito de seus clientes não estavam comprometidas, qualquer hacker que se preze pode facilmente cometer fraudes financeiras com as informações roubadas..

Enquanto o porta-voz da empresa alegou que o ataque era imprevisível e que eles haviam tomado todas as medidas para garantir a segurança das informações de seus clientes, quase todas as principais empresas de segurança de dados do mundo contestaram essa alegação, apontando que a violação era, de fato,, completamente evitável.

Enquanto os dados criptografados pelo Anthem em trânsito, eles fizeram não criptografar esses mesmos dados enquanto estava em repouso. Significando que todo o banco de dados.

Portanto, mesmo que o ataque tenha sido imprevisível, aplicando uma criptografia simples AES aos dados em repouso, o Anthem poderia ter impedido os hackers de visualizar os dados de seus clientes.

Conclusão

Com a crescente prevalência de ataques cibernéticos e as crescentes preocupações em torno da segurança da informação, é mais importante agora do que nunca ter um forte entendimento dos sistemas que mantêm você e suas informações pessoais em segurança.

E, esperançosamente, este guia o ajudou a obter uma compreensão geral de um dos algoritmos de segurança mais importantes atualmente em uso atualmente.

A AES está aqui para ficar e entender não apenas como funciona, mas como você pode fazê-lo funcionar para você o ajudará a maximizar sua segurança digital e reduzir sua vulnerabilidade a ataques online.

Se você realmente deseja explorar o AES, Considero assistir ao vídeo abaixo de Christof Paar (é aprofundado e interessante também):

Se você tiver mais alguma dúvida sobre o AES ou informações obtidas com pesquisas relacionadas à criptografia, sinta-se à vontade para comentar abaixo e farei o possível para retornar a você.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me