Per 26 mei wordt de Advanced Encryption Standard (AES) goedgekeurd. Deze standaard moet in de plaats komen van de Data Encryption Standard, de bekendste en meest toegepast symmetrische algoritme. Reden is dat men er niet langer zeker van is dat DES moeilijk te kraken is. Beveiligingsdeskundige Tim Pickard tilt een tipje van de encryptiesluier op.
IBM ontwikkelde in 1977 de Data Encryption Standard (des). Het was een verbeterde versie van de Lucifer-algoritme, dat begin jaren zeventig is ontwikkeld. des is inmiddels de bekendste en meest toegepaste symmetrische algoritme ter wereld. Het maakt gebruik van een privé-sleutel (‘private key’) die volgens de Amerikaanse overheid zo moeilijk te breken was, dat er restricties werden gelegd op de uitvoer van de technologie. Pas in januari 2000 werden deze restricties versoepeld. Bij des zijn er 72 biljard mogelijke encryptiesleutels beschikbaar. Voor elke boodschap wordt volledig aselect een sleutel gekozen. Net als bij andere methoden die met privé-sleutels werken, moeten zender en ontvanger allebei beschikken over dezelfde privé-sleutels.
Des past een 65-bit sleutel toe op elk datablok van 64 bits. Het proces kan plaatsvinden op zestien verschillende manieren, de rounds. Dit betekent echter nog niet dat de versleutelde berichten niet gekraakt zouden kunnen worden. Begin 1977 loofden Rivest, Shamir en Adleman, bedenkers van een andere encryptiebenadering, een beloning uit van tienduizend dollar voor het kraken van een des-boodschap. Door een gezamenlijk project via internet, waarbij 14.000 computers de verschillende mogelijkheden nagingen, kon het bericht ontcijferd worden. Dat gebeurde nadat 18 biljard van de 72 biljard mogelijke sleutels de revue waren gepasseerd!
Exportbeperking
Al snel na de ontwikkeling van des nam het Amerikaanse Ministerie van Defensie deze standaard over. Uit angst dat des in handen kon vallen van niet-bevriende staten, werd de export aan banden gelegd. Niettemin zijn versies van de software ruim beschikbaar op websites en op bulletinboards.
Het Amerikaanse National Institute of Standards (NIST) heeft des elke vijf jaar opnieuw gecertificeerd. Sinds oktober 1999 is enkelvoudige des in de Verenigde Staten alleen nog toegestaan voor legacy-systemen. Niettemin maken de meeste bedrijven gebruik van triple-des, die drie achtereenvolgende sleutels gebruikt. Deze aanpak – ook wel tdea genoemd – is door de federale overheid aangemerkt als ‘approved symmetric algorithm of choice’.
Ondanks deze certificering zullen des en triple-des op korte termijn vervangen worden door de Advanced Encryption Standard (aes). Reden hiervan is dat het NIST er niet langer zeker van is dat des relatief moeilijk te kraken zou zijn. Daarom besloot het NIST een volgende certificering in te houden en aes aan te wijzen als nieuwe standaard.
AES
Aes is een encryptie-algoritme dat gebruikt wordt door Amerikaanse federale-overheidsorganisaties voor het beschermen van vertrouwelijke informatie. Het NIST verwacht dat deze standaard ook door andere bedrijven in binnen- en buitenland op vrijwillige basis gebruikt zal worden. In januari 1997 startte het proces om de vervanger te zoeken voor des, en in mindere mate voor triple-des. De specificatie vroeg om een symmetrisch algoritme – daarbij wordt dezelfde sleutel gebruikt voor encryptie en ontcijfering – met een blok-encryptie van 128 bits. Sleutels van respectievelijk 128, 192 en 256 bits zouden minimaal ondersteund moeten worden. De algoritme moest verder royalty-vrij beschikbaar zijn voor wereldwijd gebruik en twintig tot dertig jaar mee kunnen. Implementaties in hardware en software moesten makkelijk zijn en de algoritme moest bescherming bieden tegen verschillende aanvalstechnieken.
Het gehele selectieproces vond in volledige openbaarheid plaats, onder meer omdat men verwachtte dat openheid zou leiden tot het beste ontwerp. In 1998 koos het NIST vijftien kandidaten uit. Hun voorstellen werden door onder meer de National Security Agency nader onderzocht. In augustus 1999 koos het NIST vijf algoritmes uit voor verdere analyse. Het ging om: MARS van IBM Research; RC6 van RSA Security;
Rijndael van de Belgische cryptografen Joan Daemen en Vincent Rijmen; Serpent van Ross Andersen, Eli Biham en Lars Knudsen; Twofish van een team onderzoekers, onder wie de bekende cryptograaf Bruce Schneier.
Het NIST koos voor Rijndael als kandidaat voor de aes. Het instituut benadrukte overigens dat alle vijf kandidaten voldoende betrouwbaarheid boden en dat de andere vier geen zwakke punten kenden.
Prestaties
Een sterk punt van Rijndael is de consistentie in prestaties in zowel hardware- als softwareomgevingen, ongeacht het gebruik van feedback- of non-feedback-methodes. Rijndael kan heel snel een sleutel genereren en de flexibiliteit van de sleutels is groot. Verder heeft de algoritme weinig geheugen nodig, waardoor het ook geschikt is voor omgevingen waarin de geheugenruimte beperkt is.
Er bestaat onder cryptografen inmiddels consensus over het feit dat des niet veilig genoeg meer is, eenvoudigweg omdat 56-bit sleutels kwetsbaar zijn voor grootschalige kraakpogingen. Daarom wordt des door de Amerikaanse federale overheid niet meer toegepast. Op dit moment is triple-des de standaard totdat aes klaar is voor algemeen gebruik.
Tijdens de selectieprocedure van aes kwam bij het NIST de vraag op of het aantal ‘rounds’ voor een of meer algoritmes gewijzigd zou moeten worden. Aanleiding waren vragen uit de wereldwijde cryptografiegemeenschap. Het NIST stelde uiteindelijk vast dat de oorspronkelijke inzendingen – waarin geen wijzigingen waren voorgesteld – de beste basis vormden voor verdere analyse en evaluatie.
Een andere vraag die opkwam, is die van mogelijke ‘des-cracker’-hardware. Aan het eind van de jaren negentig zijn speciale systemen gebouwd, die in een paar uur een des-sleutel konden achterhalen. Ervan uitgaande dat het mogelijk is om een systeem te bouwen dat een des-sleutel in een seconde kan kraken, zal zo’n systeem bij een 128-bit aes-sleutel toch nog 149 biljoen jaren nodig hebben om alle mogelijkheden door te rekenen…
Ondersteuning
Het NIST kondigde in november 2001 aan dat de federale overheid de Advanced Encryption Standard per 26 mei 2002 heeft goedgekeurd. Elke vijf jaar zal een formele evaluatie plaatsvinden. De onderhoudsactiviteiten voor de standaard zullen nog ontwikkeld worden. Het is zaak dat leveranciers van beveiligingsproducten n� al starten met de ondersteuning van aes. De standaard zal immers breder ingezet worden dan alleen bij de Amerikaanse federale overheid. Sterker nog: in sommige standaarden is men al begonnen met het incorporeren van aes. Zo heeft ANSI het gebruik van aes al als standaard opgenomen voor de bank- en financiële sector. In IEEE 802.11 voor draadloze lan’s wordt aes de standaard voor ‘link layer’-encryptie en data-integriteit. De Internet Engineering Task Force (IETF) neemt aes als standaard voor internetapplicaties. Overigens blijft des nog zeker twee tot drie jaar opgenomen in de specificaties, alleen al om de compatibiliteit te garanderen.
Er zijn nog veel andere voorbeelden van de inzet van aes. Zo zijn enkele projecten gestart, waarin goedgekeurde algoritmes geselecteerd gaan worden voor bijvoorbeeld ‘public key’-schema’s, bloksleutels (block cipher) en stroomsleutels (stream cipher). Een voorbeeld vormen de ‘encryption algorithms’ van de International Organization for Standardization (ISO), die aes vrijwel zeker als goedgekeurde bloksleutel zal kiezen. In Europa is er het Nessie-project (New European Schemes for Signatures, Integrity and Encryption), dat algoritmes evalueert voor e-handel, e-bestuur en elektronische handtekeningen. Hoewel de bedenkers van Rijndael hun bloksleutel niet hebben aangeboden aan Nessie, ligt het in de lijn der verwachting dat Rijndael gekozen zal worden. Het Nessie-project is voornemens om de geselecteerde algoritmes aan te bieden aan standaardisatieorganisaties als de ISO, de IETF en de IEEE.
Balans
Cryptografische systemen gebruiken verschillende componenten om beveiliging mogelijk te maken. Naast bloksleutels worden bijvoorbeeld ‘hash’-functies toegepast voor verificatie of digitale handtekeningen. Met het oog op de verschillende interacterende componenten is het essentieel dat een systeem in balans is. Zo moet bijvoorbeeld het beheer van sleutels even solide mogelijk zijn als de sleutels zelf. Het is de verwachting dat aes daaraan zal voldoen en de komende tientallen jaren goede diensten zal kunnen leveren.
Tim Pickard, Strategic marketing director Emea, RSA Seurity.
