Estándar de cifrado avanzado (AES)

Estándar de cifrado avanzado¿Qué es AES y cómo funciona?


AES, o Advanced Encryption Standards, es un cifrado criptográfico que es responsable de una gran cantidad de seguridad de la información de la que disfruta a diario..

Aplicado por todos, desde la NSA hasta Microsoft y Apple, AES es uno de los algoritmos criptográficos más importantes que se utilizarán en 2018.

Qué exactamente es AES? ¿Como funciona? ¿Y pueden las personas "no tecnológicas" como usted y yo aplicarlo para estar más seguros en nuestra vida diaria??

Eso es exactamente lo que discutiremos en esta guía.

  • ¿Qué es AES? 
  • AES vs. DES (Historia de fondo)
  • Usos comunes de AES
  • ¿Qué es el cifrado AES?
  • Cifrados simétricos versus asimétricos
  • Ataques cibernéticos relacionados con AES
  • Conclusión

¿Qué es AES??

AES o Advanced Encryption Standards (también conocido como Rijndael) es uno de los métodos más utilizados para cifrar y descifrar información confidencial en 2017.

Este método de cifrado utiliza lo que se conoce como un algoritmo de cifrado de bloque (que explicaré más adelante) para garantizar que los datos se puedan almacenar de forma segura.

Y si bien me sumergiré en los matices técnicos y en un montón de jerga de criptografía divertida en un momento, para apreciar completamente AES, primero debemos dar marcha atrás para una breve lección de historia.

Diseño AES

AES vs. DES (Historia de fondo)

Antes de sumergirme en AES en toda su gloria encriptada, quiero discutir cómo AES logró la estandarización y hablar brevemente sobre su predecesor DES o los estándares de cifrado de datos.

Basando su desarrollo en un algoritmo prototipo diseñado por Horst Feistel, IBM desarrolló el algoritmo DES inicial a principios de los años 70..

Luego, el cifrado se envió a la Oficina Nacional de Normas, que, en una colaboración posterior con la NSA, modificó el algoritmo original y luego lo publicó como un Estándar Federal de Procesamiento de Información en 1977.

DES se convirtió en el algoritmo estándar utilizado por el gobierno de los Estados Unidos durante más de dos décadas, hasta que, en enero de 1999, distribuido.net y la Electronic Frontier Foundation colaboraron para romper públicamente una clave DES en menos de 24 horas..

Concluyeron con éxito sus esfuerzos después de solo 22 horas y 15 minutos, llevando la debilidad de los algoritmos a la atención de todos..

Durante 5 años, el Instituto Nacional de Estándares y Tecnología evaluó rigurosamente los diseños de cifrado de 15 partes competidoras, incluidos MARS de IBM, RC6 de RSA Security, Serpent, Twofish y Rijndael, entre muchos otros..

Su decisión no se tomó a la ligera, y durante el proceso de 5 años, toda la comunidad criptográfica se unió para ejecutar pruebas detalladas, discusiones y simulacros de ataques con el fin de encontrar posibles debilidades y vulnerabilidades que pudieran comprometer la seguridad de cada cifrado..

Si bien la fuerza de la cifra de la competencia obviamente era de suma importancia, no fue el único factor evaluado por los diversos paneles. La velocidad, la versatilidad y los requisitos computacionales también se revisaron, ya que el gobierno necesitaba un cifrado que fuera fácil de implementar, confiable y rápido..

Y si bien hubo muchos otros algoritmos que se desempeñaron admirablemente (de hecho, muchos de ellos todavía se usan ampliamente hoy en día), el cifrado Rijndael finalmente se llevó a casa el trofeo y fue declarado un estándar federal.

Tras su victoria, el cifrado Rijndael, diseñado por dos criptógrafos belgas (Joan Daemen y Vincent Rijmen) pasó a llamarse Advanced Encryption Standard..

Pero el éxito de este cifrado no terminó con su estandarización.

De hecho, después de la estandarización de AES, el cifrado continuó aumentando en los rangos, y en 2003 la NSA lo consideró adecuado para proteger la información de alto secreto.

Entonces, ¿por qué exactamente te estoy diciendo todo esto??

Bueno, en los últimos años, AES ha sido objeto de mucha controversia ya que muchos criptógrafos y piratas informáticos cuestionan su idoneidad para su uso continuo. Y aunque no me estoy haciendo pasar por un experto de la industria, quiero que comprenda el proceso requerido para desarrollar el algoritmo y la tremenda confianza que incluso las agencias más reservadas depositan en el cifrado de Rijndael..

DES vs AES

Usos comunes de AES en 2017

Usos comunes de AESAntes de sumergirme en algunos de los detalles más técnicos sobre cómo funciona AES, primero analicemos cómo se está utilizando en 2017.

Cabe señalar que AES es gratuito para cualquier uso público, privado, comercial o no comercial. (Aunque debe proceder con precaución al implementar AES en software, ya que el algoritmo se diseñó en un sistema big-endian y la mayoría de las computadoras personales se ejecutan en sistemas little-endian).

  1. Herramientas de archivo y compresión

Si alguno de ustedes alguna vez descargó un archivo de Internet y luego fue a abrir ese archivo solo para notar que el archivo estaba comprimido (lo que significa que el tamaño original del archivo se redujo para minimizar su efecto en su disco duro), entonces es probable que software instalado que se basa en un cifrado AES.

Las herramientas de compresión comunes como WinZip, 7 Zip y RAR le permiten comprimir y luego descomprimir archivos para optimizar el espacio de almacenamiento, y casi todos usan AES para garantizar la seguridad de los archivos.

  1. Cifrado de disco / partición

Si ya está familiarizado con el concepto de criptografía y ha tomado medidas adicionales para garantizar la seguridad de sus datos personales, es probable que el software de cifrado de disco / partición que utiliza utilice un algoritmo AES.

BitLocker, FileVault y CipherShed son todos software de cifrado que se ejecutan en AES para mantener su información privada..

  1. VPN

El algoritmo AES también se aplica comúnmente a VPN o redes privadas virtuales.

Para aquellos de ustedes que no están familiarizados con el término, una VPN es una herramienta que les permite utilizar una conexión a Internet pública para conectarse a una red más segura.

Las VPN funcionan creando un "túnel" entre su conexión de red pública y una red encriptada en un servidor operado por el proveedor de VPN.

Por ejemplo, si regularmente trabaja desde su cafetería local, probablemente sepa que la conexión pública es increíblemente insegura y lo deja vulnerable a todo tipo de piratería..

Con una VPN, puede resolver fácilmente este problema conectándose a una red privada que enmascarará sus actividades en línea y mantendrá sus datos seguros.

O bien, supongamos que viaja a un país con estrictas leyes de censura y nota que todos sus sitios favoritos están restringidos.

Una vez más, con una configuración de VPN simple, puede recuperar rápidamente el acceso a estos sitios web conectándose a una red privada en su país de origen.

Sin embargo, debe tenerse en cuenta que no todas las VPN se crean por igual.

Si bien las mejores VPN (como ExpressVPN y NordVPN) se basan en un cifrado AES-256, hay una serie de servicios obsoletos que aún dependen de PPTP y Blowfish (un cifrado de 64 bits obsoleto), así que asegúrese de investigar antes de seleccionar un proveedor.

  1. Otras aplicaciones principales

Además de las aplicaciones anteriores, AES se utiliza en una gran cantidad de diferentes programas y aplicaciones con los que sin duda está familiarizado..

Si utiliza algún tipo de herramienta de contraseña maestra como LastPass o 1Password, entonces ha tenido conocimiento de los beneficios del cifrado AES de 256 bits.

Has jugado alguna vez Grand Theft Auto? Bueno, la gente de Rockstar desarrolló un motor de juego que usa AES para evitar la piratería multijugador.

Ah, y no lo olvidemos, cualquiera de ustedes que quiera enviar mensajes a través de WhatsApp o Facebook Messenger ... ¡Lo adivinaron! AES en acción.

Con suerte, ahora está comenzando a darse cuenta de cuán integral es AES en el funcionamiento del marco completo de la sociedad moderna.

Y ahora que comprende lo que es y cómo se usa, es hora de entrar en las cosas divertidas. Cómo este chico malo trabaja.

El cifrado AES

El cifrado AES es parte de una familia conocida como cifrado de bloques, que son algoritmos que encriptan datos por bloque.

Estos "bloques" que se miden en bits determinan la entrada de texto sin formato y la salida de texto cifrado. Entonces, por ejemplo, dado que AES tiene 128 bits de largo, por cada 128 bits de texto sin formato, se producen 128 bits de texto cifrado.

Como casi todos los algoritmos de cifrado, AES se basa en el uso de claves durante el proceso de cifrado y descifrado. Dado que el algoritmo AES es simétrico, se usa la misma clave tanto para el cifrado como para el descifrado (hablaré más sobre lo que esto significa en un momento).

AES opera en lo que se conoce como una matriz de bytes de orden principal de 4 x 4 columnas. Si eso le parece demasiado bocado, la comunidad de criptografía está de acuerdo y calificó este proceso de estado.

El tamaño de la clave utilizada para este cifrado especifica el número de repeticiones o "rondas" necesarias para pasar el texto sin formato a través del cifrado y convertirlo en texto cifrado..

Así es como se descomponen los ciclos.

  • Se requieren 10 rondas para una clave de 128 bits
  • Se requieren 12 rondas para una clave de 192 bits
  • Se requieren 14 rondas para una clave de 256 bits

Si bien las claves más largas brindan a los usuarios cifrados más seguros, la fortaleza viene a costa del rendimiento, lo que significa que tardarán más en cifrarse.

Por el contrario, aunque las claves más cortas no son tan fuertes como las más largas, proporcionan tiempos de cifrado mucho más rápidos para el usuario.

No son cifrados simétricos más fáciles de romper que asimétricos?

Ahora, antes de continuar, quiero tocar brevemente un tema que ha generado una gran cantidad de controversia dentro de la comunidad criptográfica..

Como señalé anteriormente, AES se basa en un algoritmo simétrico, lo que significa que la clave utilizada para cifrar la información es la misma que se utiliza para descifrarla. En comparación con un algoritmo asimétrico, que se basa en una clave privada para descifrar y una clave pública separada para el cifrado de archivos, a menudo se dice que los algoritmos simétricos son menos seguros.

Y si bien es cierto que los cifrados asimétricos tienen una capa adicional de seguridad porque no requieren la distribución de su clave privada, esto no significa necesariamente que sean mejores en cada escenario.

Los algoritmos simétricos no requieren la misma potencia computacional que las claves asimétricas, por lo que son significativamente más rápidos que sus contrapartes.

Sin embargo, cuando las claves simétricas se quedan cortas es dentro del ámbito de la transferencia de archivos. Debido a que dependen de la misma clave para el cifrado y descifrado, los algoritmos simétricos requieren que encuentre un método seguro para transferir la clave al destinatario deseado.

Con algoritmos asimétricos, puede distribuir de forma segura su clave pública a cualquier persona sin preocuparse, porque solo su clave privada puede descifrar archivos cifrados.

Entonces, si bien los algoritmos asimétricos son ciertamente mejores para las transferencias de archivos, quería señalar que AES no es necesariamente menos seguro porque se basa en criptografía simétrica, simplemente es limitado en su aplicación.

asimétrico vs simétrico

Ataques y violaciones de seguridad relacionadas con AES

AES aún no se ha roto de la misma manera que DES estaba en 1999, y el mayor ataque de fuerza bruta exitoso contra ninguna el cifrado de bloque solo estaba en contra de un cifrado de 64 bits (al menos para conocimiento público).

La mayoría de los criptógrafos están de acuerdo en que, con el hardware actual, atacar con éxito el algoritmo AES, incluso en una clave de 128 bits, llevaría miles de millones de años y, por lo tanto, es altamente improbable.

En este momento, no existe un único método conocido que permita a alguien atacar y descifrar datos cifrados por AES siempre que el algoritmo se haya implementado correctamente.

Sin embargo, muchos de los documentos filtrados por Edward Snowden muestran que la NSA está investigando si algo conocido como estadística tau podría usarse para romper AES.

Ataques de canal lateral

A pesar de toda la evidencia que apunta a la impracticabilidad de un ataque AES con el hardware actual, esto no significa que AES sea completamente seguro.

Los ataques de canal lateral, que son un ataque basado en la información obtenida de la implementación física de un sistema criptográfico, aún pueden explotarse para atacar un sistema encriptado con AES. Estos ataques no se basan en debilidades en el algoritmo, sino en indicaciones físicas de una debilidad potencial que puede ser explotada para violar el sistema..

Aquí hay algunos ejemplos comunes.

  • Ataque de tiempo: Estos ataques se basan en atacantes que miden la cantidad de tiempo que necesitan varios cálculos para realizar.
  • Ataque de monitoreo de potencia: Estos ataques dependen de la variabilidad del consumo de energía por hardware durante el cálculo
  • Ataques Electromagnéticos: Estos ataques, que se basan en la radiación electromagnética filtrada, pueden proporcionar directamente a los atacantes texto plano y otra información. Esta información se puede utilizar para suponer las claves criptográficas mediante el uso de métodos similares a los utilizados por la NSA con TEMPEST.

La piratería del himno: cómo AES podría haber guardado los datos personales de 80 millones de personas

Durante febrero de 2015, la base de datos de la compañía de seguros Anthem fue pirateada, comprometiendo los datos personales de más de 80 millones de estadounidenses..

Los datos personales en cuestión incluían todo, desde los nombres, las direcciones y los números de seguridad social de las víctimas..

Y aunque el CEO de Anthem tranquilizó al público al afirmar que la información de la tarjeta de crédito de sus clientes no estaba comprometida, cualquier hacker que valga la pena puede cometer fraude financiero fácilmente con la información robada.

Si bien el portavoz de la compañía afirmó que el ataque no era evitable y que habían tomado todas las medidas para garantizar la seguridad de la información de sus clientes, casi todas las principales compañías de seguridad de datos en el mundo disputaron este reclamo, señalando que la violación fue, de hecho,, completamente evitable.

Mientras Anthem cifró datos En tránsito, lo hicieron no cifrar esos mismos datos mientras estaban en reposo. Lo que significa que toda su base de datos.

Entonces, aunque el ataque en sí mismo podría haber sido evitable, al aplicar un simple cifrado AES a los datos en reposo, Anthem podría haber evitado que los piratas informáticos vieran los datos de sus clientes.

Conclusión

Con la creciente prevalencia de los ciberataques y las crecientes preocupaciones en torno a la seguridad de la información, ahora es más importante que nunca tener una sólida comprensión de los sistemas que lo protegen a usted y a su información personal..

Y con suerte, esta guía lo ha ayudado a obtener una comprensión general de uno de los algoritmos de seguridad más importantes que se utilizan actualmente en la actualidad..

AES está aquí para quedarse y comprender no solo cómo funciona, sino cómo puede hacerlo funcionar para le ayudará a maximizar su seguridad digital y mitigar su vulnerabilidad a los ataques en línea.

Si realmente quieres profundizar en AES, Considero ver el siguiente video de Christof Paar (va en profundidad y también es interesante):

Si tiene más preguntas sobre AES o cualquier información que haya obtenido de la investigación relacionada con la criptografía, no dude en comentar a continuación y haré todo lo posible para responderle.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me