На смену DES приходит новый стандарт шифрования AES, сочетающий простоту, надежность и высокую производительность.

Немало времени потребовалось на то, чтобы 2 октября 2000 г. министр торговли Норман Минета наконец смог объявить о замене устаревшего стандарта DES. Новый стандарт Advanced Encryption Standard (AES) предлагает лучшее сочетание уровня безопасности и скорости шифрования, чем DES. Благодаря 128-разрядным ключам AES обеспечивает более надежную защиту от атак по методу "грубой силы", нежели DES с его 56-разрядными ключами, а, кроме того, AES может поддерживать более длинные, 192-разрядные и 256-разрядные, ключи.

Как и любой блочный кодировщик AES шифрует данные блоками фиксированного размера, но при этом за каждый цикл кодирует 128 бит, т. е. в два раза больше, чем в случае DES. Если DES был предназначен для аппаратной реализации, то AES эффективно работает в самых разных средах, от программируемых шлюзов до смарт-карт, программного обеспечения настольных компьютеров и браузеров. В данной статье будет рассказано о том, как и почему Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) выбрал AES. Вы узнаете о преимуществах и недостатках этого стандарта, о том, когда будут реализованы продукты, его поддерживающие, и как он повлияет на существующие стандарты и будущие реализации.

NIST выбрал AES после трехлетнего открытого изучения. В ответ на объявление конкурса на создание алгоритма для AES было получено почти две дюжины предложений. В 1999 г. NIST сократил этот список до пяти алгоритмов, а в 2000 г. в качестве нового AES утвердил алгоритм шифрования Rijndael (произносится как "рейн-долл"), разработанный двумя бельгийскими криптографами. На своем Web-сайте (http://csrc.nist.gov/encryption/aes/) NIST опубликовал отчет о процедуре отбора и сравнительные характеристики алгоритмов-финалистов.

Сообщение о выборе AES заставило облегченно вздохнуть многих экспертов по вопросам защиты. Хотя альтернативы для 56-разрядного DES существуют уже давно, ни одна из них не рассматривалась как его замена. В браузерах Web, как правило, применяется Rivest Cipher #4 (RC4), а для шифрования электронной почты в системе Pretty Good Privacy (PGP) - International Data Encryptions Algorithm (IDEA). В отличие от DES, оба этих алгоритма используют 128-разрядные ключи.

Однако многие американские организации, в первую очередь в финансовой отрасли, по-прежнему отдают предпочтение DES, поскольку он является федеральным стандартом. С появлением более совершенных технологий, показавших, что 56-разрядный ключ опасно мал, началось использование Triple DES. Этот вариант предусматривает троекратное применение алгоритма DES с двумя или тремя различными 56-разрядными ключами. Однако Triple DES работает значительно медленнее, чем коммерческие версии алгоритмов с ключами соответствующей длины.

Теперь, после того как NIST выбрал новый алгоритм, стандарту предстоит пройти официальное утверждение стандарта, после чего начнется его массовое применение. Предполагается, что AES получит статус федерального стандарта по обработке информации (Federal Information Processing Standard, FIPS) летом 2001 г. Этот процесс предусматривает публикацию предварительной версии AES FIPS для открытого обсуждения, после чего, в случае необходимости, в него будут внесены изменения, а уже затем NIST опубликует официальный текст FIPS. Большинство производителей, скорее всего, предпочтут подождать появления окончательного варианта FIPS, прежде чем предложить продукты с поддержкой AES. Однако в некоторых решениях алгоритм Rijndael уже применяется, например в свободно распространяемой версии NetBSD в UNIX, где Rijndael был интегрирован в программное обеспечение IP Security Protocol (IPSec) вскоре после его анонса в октябре прошлого года. Rijndael также предлагается в качестве дополнительной возможности в программах шифрования файлов для настольных систем.

Однако основной областью применения продуктов, поддерживающих AES, вероятно, будет организация сетевой защиты, где повышение уровня безопасности не должно мешать работе конечных пользователей. С помощью нового алгоритма компании смогут создавать и развертывать автономные продукты, такие, как шифраторы каналов. То же самое относится и к продуктам с автоматическим выбором алгоритма шифрования из имеющегося списка, где используются такие протоколы, как IPSec.

ЧТО ЖЕ ПЛОХОГО В DES?

Каким же образом была найдена замена алгоритму DES? Все началось еще в 1973 г., когда Национальное бюро стандартов (National Bureau of Standards, NBS, предшественник NIST) начало поиски алгоритма шифрования, которому суждено было стать стандартом DES. Бюро поручило проанализировать предварительный стандарт Агентству национальной безопасности (National Security Agency, NSA). Компания IBM предложила в качестве возможного кандидата на роль DES свой алгоритм шифрования под названием Lucifer. NSA рекомендовало внести два изменения, которые NBS одобрило прежде, чем предложить Lucifer в качестве нового федерального стандарта в 1975 г.

Предложенные NSA изменения разожгли страсти. Вместо 128-разрядного ключа, как это было в Lucifer, NSA хотело, чтобы в DES применялся 56-разрядный ключ. Уайтфилд Диффи и Мартин Хеллман, математики, разработавшие алгоритм открытых ключей Диффи-Хеллмана, в 1977 г. описали машину, способную за один день отыскать все возможные ключи для этого алгоритма. Ее стоимость оценивалась в 20 млн долларов. Хотя на первый взгляд подобная машина большинству хакеров была не по средствам, согласно закону Мура, 56-разрядный ключ шифрования недолго мог оставаться достаточно надежным.

Второе изменение, предложенное NSA, касалось таблиц шифрования данного алгоритма, называемых S-box. Эти таблицы описывают, каким образом в алгоритме выполняется замена одной последовательности бит на другую. DES шифрует данные, "тасуя" их и заменяя группы бит в соответствии с содержимым S-box, повторяя этот процесс 16 раз. Каждый повтор называется раундом.

Однако некоторые аналитики опасались, что изменения в S-box могли бы привести к появлению обходных путей, зная которые, взломщик мог расшифровать сообщения DES, не перебирая все возможные ключи. По существу, любое ослабление значительно сокращает число ключей, которое необходимо проверить злоумышленнику, чтобы взломать DES. Опасения еще больше усилились, когда NSA рекомендовало IBM не описывать критерии, используемые при составлении S-box.

Хотя сомнения относительно длины ключа оказались обоснованными, этого нельзя сказать о базовой архитектуре DES. К началу 1990-х гг. Потенциальные затраты на создание машины, способной взломать DES, снизились в десять раз. В 1997 г. группа из нескольких тысяч добровольцев, работавших параллельно в течение нескольких месяцев, расшифровала сообщение, закодированное с помощью DES. А в 1998 году разработчики, спонсируемые организацией Electronic Frontier Foundation, представили работоспособную машину для взлома DES. Эта машина стоимостью 210 тыс. долларов позволяет расшифровывать в среднем один ключ DES каждые 4,5 дня. Однако до сих пор ни один пользователь DES не заявил об утрате каких-либо данных из-за того, что кто-то подобрал ключ в результате перебора.

Никому также не удалось обнаружить какие-либо лазейки в DES или найти способ проведения какой-либо атаки, на осуществление которой требуется меньше времени, чем на атаку по методу "грубой силы". NBS давно приходится опровергать слухи об оставленных NSA "лазейках" в DES. После того как NIST опубликовал DES, специалисты по шифрованию продолжали его анализировать, но им так и не удалось обнаружить доказательства ненадежности архитектуры DES. Тем не менее слухи циркулируют по-прежнему, и идея использования лазеек в DES нашла отражения во многих фантастических боевиках.

ВЫБОР AES

NIST предпринял первые шаги в поисках замены DES после демонстрации успешного взлома этого алгоритма и начал открытую процедуру анализа и выбора нового стандарта. Он опубликовал все несекретные данные о тестировании кандидатов на роль AES и потребовал от авторов алгоритмов сообщить о базовых принципах построения используемых в них констант, таблиц и S-box. В отличие от ситуации с DES, NIST при выборе AES не стал опираться на секретные и, как следствие, запрещенные к публикации данные об исследовании алгоритмов-кандидатов.

Из 21 кандидата на роль AES, представленных к июню 1998 г., шесть не соответствовали первоначальным требованиям и еще 10 были отвергнуты NIST после первого этапа тестирования. В августе 1999 г. были объявлены следующие пять финалистов.

  1. Rijndael, предложенный Джоан Димен из компании Proton World International и Винсентом Риджменом из бельгийского университета Katholieke Universiteit Leuven. В конце концов, именно Rijndael был выбран NIST в качестве нового AES.
  2. MARS, предложенный компанией IBM.
  3. RC6(tm), предложенный RSA Laboratories. Его название - это сокращение от Rivest Cipher #6, в соответствии с традицией названия созданных ранее RSA алгоритмов с закрытыми ключами, таких, как RC2, RC4 и RC5.
  4. Serpent, предложенный Россом Андерсоном из Кембриджского университета (Англия), Эли Бихамом из Technion (Израиль) и Ларсом Кнудсеном из Калифорнийского университета.
  5. Twofish, предложенный Брюсом Шнейером, Джоном Келси и Нильсом Фергюсоном из Counterpane Internet Security, Дэвидом Вагнером из Калифорнийского университета, Дугом Уайтингом из Hi/Fn и Крисом Холлом из Принстонского университета.

Все пять отобранных алгоритмов представляли собой блоковые шифраторы, все предусматривали проведение нескольких раундов и были разработаны специально для конкурса на роль AES. При окончательном тестировании учитывались следующие девять характеристик: две касались защиты (общий уровень защиты и защищенность реализации), одна характеризовала гибкость, а остальные были связаны с эффективностью реализации. В Таблице приводятся комментарии к результатам тестирования, проведенного NIST.

По результатам итогового тестирования NIST присвоил относительные оценки финалистам - "отлично", "хорошо" или "удовлетворительно" - по различным критериям. В Таблице эти оценки представлены различным числом звездочек, от одной до трех, где одна звездочка соответствует минимальной оценке в категории, а три - максимальной.

Объективно сравнить достоинства алгоритмов шифрования довольно сложно. Претенденты на роль AES имеют много общего, но есть и важные отличия, хотя и не существует приемлемого метода, позволяющего надежно оценить, какие из этих отличий влияют на безопасность зашифрованных данных.

Чтобы решить эту задачу, специалисты по шифрованию разработали методику для исследования алгоритмов шифрования. Один из подходов предусматривает анализ версий каждого алгоритма с сокращенным числом раундов. Поскольку во всех пяти кандидатах предусмотрено выполнение серии отдельных раундов, криптографы могут изучать упрощенные версии каждого алгоритма, уменьшая число выполняемых раундов.

К примеру, при шифровании 128-разрядным ключом Rijndael выполняет 10 раундов. Криптографы проанализировали уровень защиты Rijndael и выявили недостатки при выполнении семи или меньшего числа раундов. Аналогичным образом были проверены и остальные кандидаты на роль AES. В результате было обнаружено, что Rijndael становится достаточно устойчивым к атакам уже начиная с восьмого раунда и, вдобавок, выполняет после этого еще два раунда шифрования. Специалисты NIST пришли к выводу, что данное решение обладает адекватным запасом защиты, хотя другие кандидаты имеют даже больший запас прочности.

Для оценки производительности в NIST провели тестирование программных и аппаратных реализаций алгоритмов, а также реализаций для смарт-карт (называемых в NIST версиями с ресурсными ограничениями - restricted space). При тестировании программного обеспечения рассматривались 32-разрядные реализации на С, Java и для смарт-карт на базе ARM, а кроме того, реализации на 64- и 8-разрядных процессорах и процессорах для обработки цифровых сигналов. На Рисунке 1 приводятся сравнительные оценки производительности программного обеспечения всех кандидатов на роль AES. При анализе версий алгоритмов, предназначенных для смарт-карт, и других реализаций с ресурсными ограничениями NIST использовал две среды: смарт-карты с 8-разрядным процессором и процессором Motorola 6805, имеющим оперативную память емкостью всего 120 байт.

Рисунок 1. NIST оценивал программное обеспечение на основе 32-разрядных реализаций на С, Java и на смарт-картах на базе ARM.

Специалисты NIST также анализировали характеристики архитектуры, способные влиять на производительность (см. Рисунок 2). Здесь, в частности, ими оценивались относительные затраты на шифрование и дешифрование, а также возможность параллельной реализации алгоритма, которая позволяет добиться более высокой скорости обработки. Еще одна характеристика, которая принималась во внимание, касалась затрат на смену ключей - большинство алгоритмов шифрования предусматривает некоторую предварительную обработку ключа прежде, чем они могут начать шифрование и дешифрование. Эта задержка имеет важное значение для устройств, которые выполняют шифрование для множества различных соединений, таких, как защищенный сервер Web или шлюз IPSec.

Рисунок 2. NIST оценивал особенности архитектуры AES по таким параметрам, как относительные затраты на шифрование и дешифрование, а также возможность параллельной реализации алгоритма для повышения скорости обработки.

MARS - СЛИШКОМ МЕДЛЕННО И СЛОЖНО

?MARS оказался самым сложным из всех представленных кандидатов. В то время как остальные алгоритмы во всех раундах используют одну и ту же функцию, в MARS применяются четыре разные функции. Как показало тестирование вариантов с сокращенным числом раундов, это обеспечивает данному алгоритму очень высокий запас прочности. Однако его сложность заставила усомниться в этих оценках, а некоторые из участвующих в тестировании специалистов посчитали, что MARS требует более тщательного анализа, чем тот, который можно сделать в отведенное для экспертизы время.

В MARS использованы умножение, переменное чередование и большие таблицы данных. Все это значительно усложняет его защиту от атак на реализацию, при том, что модификация MARS с целью усиления защиты от таких атак серьезно снижает его производительность.

За производительность MARS не получил оценок выше средних. В целом производительность его программной реализации находится на среднем уровне, хотя результаты значительно варьируются в зависимости от применяемых процессоров и компиляторов. Оценки аппаратных реализаций оказались ниже среднего, вне зависимости от длины ключа. MARS не очень хорошо подходит для реализаций в смарт-картах, поскольку требует оперативной памяти большой емкости. В конечном счете этот алгоритм оказался отвергнут из-за оценки по производительности и исключительно высокой сложности.

RC6 - СЛИШКОМ МНОГО ОПЕРАТИВНОЙ ПАМЯТИ

RC6 - это простой алгоритм с адекватным запасом прочности. Он базируется на RC5, разработанным ранее в RSA Security, применение которого не выявило каких-то серьезных проблем. Как и в MARS, в RC6 используются умножение и переменное чередование, в силу чего RC6 трудно защитить от атак на реализацию, хотя и не настолько сложно, как MARS.

Кроме того, RC6 работает довольно быстро. В некоторых случаях, в частности, в программных реализациях на 32-разрядных процессорах, он опережает Rijndael, но аппаратные реализации имеют лишь среднюю производительность. Вдобавок, RC6 требуется много оперативной памяти, в силу чего он не очень хорошо подходит для сред с ресурсными ограничениями, таких, как смарт-карты. RC6 не стал победителем из-за низкой производительности при аппаратной реализации.

SERPENT - НАДЕЖНЫЙ, НО МЕДЛЕННЫЙ

Serpent похож на Rijndael, но вместо выполнения небольшого числа более сложных раундов Serpent выполняет больше простых раундов. Благодаря своей простой, надежной архитектуре Serpent повторяет некоторые характеристики DES и, в целом, опирается на хорошо известные операции. Из-за этой простоты и известности оценить надежность Serpent оказалось намного проще, и после изучения версии с сокращенным числом раундов выяснилось, что он обладает высоким запасом прочности. Serpent относится к тем алгоритмам, которые проще всего защитить от атак на реализацию.

К сожалению, программные реализации Serpent оказались самыми медленными среди финалистов. С другой стороны, в некоторых случаях тестеры смогли организовать конвейер аппаратных реализаций, показавший очень высокую производительность. Увеличение размера ключа не влияло на скорость работы. Из-за низких требований к памяти Serpent хорошо подходит для применения в смарт-картах.

Хотя Serpent предлагал лучшее сочетание простоты и запаса прочности, чем Rijndael, он уступил последнему из-за низкой производительности программных реализаций.

TWOFISH - МЕДЛЕННЫЙ И ТАИНСТВЕННЫЙ

Twofish использует кардинально новый подход, при котором половина ключа используется для изменения работы самого алгоритма шифрования, и в этом подалгоритме в качестве собственного ключа шифрования применяется другая половина исходного ключа. Эта особенность приводит к разделению ключа, что, по мнению некоторых аналитиков, может сделать алгоритм неустойчивым к атакам, организованным по принципу "разделяй и властвуй". При подобной атаке хакер может попытаться определить, какой ключ был выбран в подалгоритме, и сразу же получить половину значения ключа. Однако при анализе тестерам не удалось провести ни одну из подобных атак.

Изучение вариантов Twofish с сокращенным числом раундов показало, что он обладает высоким запасом прочности. Однако, как и в случае с MARS, его необычная структура породила определенные сомнения в качестве этих исследований. Некоторые тестеры отмечали, что из-за сложности Twofish проанализировать его детально в отведенные для этого сроки оказалось очень сложно.

Twofish уязвим для атак на реализацию, но его можно модифицировать таким образом, чтобы он оказался способен эффективно противостоять некоторым атакам. В целом Twofish показал среднюю производительность. Производительность программных реализаций оказалась ниже средней, а время предварительной обработки ключа самым большим. Производительность аппаратных реализаций была средней. Благодаря ограниченным требованиям к памяти этот алгоритм подходит для реализации на смарт-картах. NIST не выбрал Twofish из-за его сравнительно низкой производительности и сложности алгоритма.

RIJNDAEL - ПОБЕДИТЕЛЬ

Rijndael - быстрый и компактный алгоритм с простой математической структурой, благодаря чему он оказался прост для анализа при оценке уровня защиты, и никаких претензий специалисты NIST при этом не высказали. С другой стороны, из-за этой простоты хакерам потребуется изучить более ограниченный математический аппарат - и если где-то в Rijndael есть скрытые проблемы, то рано или поздно их кто-нибудь обнаружит. Атаки на версию с сокращенным числом раундов показали, что Rijndael не имеет такого запаса прочности, как другие кандидаты, а увеличение числа раундов замедляет его работу.

Кроме того, Rijndael продемонстрировал хорошую устойчивость к атакам на реализацию, при которых хакер пытается декодировать зашифрованное сообщение, анализируя внешние проявления алгоритма, в том числе уровень энергопотребления и время выполнения. В NIST были проверены уязвимость всех кандидатов к таким атакам и их способность противостоять им, обычно за счет специального кодирования, для выравнивания уровня энергопотребления. Rijndael можно легко защитить от таких атак, поскольку он опирается в основном на булевы операции.

Общая производительность программных реализаций Rijndael оказалась наилучшей. Он прекрасно прошел все тесты со смарт-картами и в аппаратных реализациях. Алгоритму в значительной степени присущ внутренний параллелизм, что позволяет без труда обеспечить эффективное использование процессорных ресурсов. Увеличение длины ключа несколько замедляет его работу, поскольку при обработке ключей большей длины алгоритм предусматривает выполнение дополнительных раундов шифрования.

NIST остановил свой выбор на Rijndael, поскольку тот сочетает в себе простоту и высокую производительность. Хотя Rijndael обладает меньшим запасом прочности, чем другие финалисты, это не несет в себе никакого практического риска. Если сравнивать различных финалистов с клетками из закаленной стали, то на изготовление Rijndael потрачено меньше стали, чем на его конкурентов, но этого количества оказалось достаточно, чтобы надежно запереть чудовище. (См. Таблицу с оценками NIST по каждому из финалистов.)

AES НА РЫНКЕ

Вне зависимости от выбранного алгоритма шифрования, в ближайшие четыре года AES скорее всего постепенно вытеснит другие в популярных продуктах. Сейчас применяется множество нестандартных алгоритмов, поскольку DES не обеспечивает достаточную защиту, а Triple DES обладает слишком низкой производительностью. AES сочетает в себе производительность, защиту и надежность, необходимые для федерального стандарта. Ни один из современных алгоритмов не может опередить его по совокупности этих трех характеристик. В некоторых продуктах всегда будут применяться более старые алгоритмы только для того, чтобы сохранить совместимость с унаследованными системами. Но пользователи, для которых вопросы безопасности имеют крайне важное значение, при малейшей возможности будут стремиться приобрести продукты на базе AES.

Первые продукты, поддерживающие AES, появятся либо в приложениях с фиксированными туннелями передачи, либо в продуктах с гибкой поддержкой разных методов разных методов шифрования. Приложения с фиксированными туннелями обеспечивают взаимодействие небольшого числа узлов с конкретным оборудованием, гарантируя высокий уровень защиты. Например, предприятие с арендуемой сетью будет использовать шифраторы каналов для автоматического кодирования всех данных при их передаче по арендованной линии. Такое предприятие может модернизировать сеть для поддержки AES по одному каналу, заменив пару шифраторов на конкретной арендованной линии.

Продукты с гибкой поддержкой разных алгоритмов шифрования используют передовые протоколы шифрования, выбираемые при выполнении кодирования. Самыми известными примерами таких протоколов служат Internet Key Exchange (IKE) в IPSec и Secure Sockets Layer (SSL). Если два устройства используют один из этих протоколов при установке соединения, то они будут автоматически пытаться выбрать самый надежный алгоритм шифрования из тех, которые они поддерживают. Такая методика позволяет предприятиям приобретать лучшие с точки зрения защиты продукты по мере их появления, не утрачивая связи с узлами, где по-прежнему применяются устаревшие технологии.

Например, многие организации обращаются к протоколу IPSec для реализации виртуальной частной сети за счет установки ориентированных на IPSec межсетевых экранов или маршрутизаторов, выполняющих роль шлюзов на границах корпоративной сети. Эти устройства организуют зашифрованные туннели для безопасной передачи по Internet трафика между филиалами предприятия.

IKE предлагает таким узлам относительно бесконфликтный способ модернизации до AES. Когда два шлюза, поддерживающие IKE, устанавливают канал виртуальной частной сети, они автоматически выбирают известный им обоим алгоритм шифрования. Поскольку основные продукты IPSec поддерживают IKE, предприятие может переводить на AES по одному устройству. Как только на предприятии появятся два шлюза, поддерживающие AES, виртуальная частная сеть сможет использовать AES для защиты передаваемых данных между данными двумя узлами. В то же время эти шлюзы могут по-прежнему поддерживать соединения со старыми узлами, используя менее надежное шифрование DES или более медленное шифрование Triple DES.

К сожалению, AES не появится по мановению волшебной палочки. Унаследованное оборудование и программное обеспечение не будут использовать AES до тех пор, пока не будут заменены уже существующие алгоритмы. Это ставит в безвыходное положение даже SSL - протокол шифрования транспортного уровня, на основе которого работают большинство Web-узлов электронной коммерции. Ни один из существующих сейчас браузеров для настольных систем не поддерживает AES. Компании могут устанавливать AES на своих серверах электронной коммерции, но никто не станет его использовать до тех пор, пока для настольных систем не будут созданы браузеры, ориентированные на AES.

?Браузеры с поддержкой AES, скорее всего, появятся в течение ближайшего года, и примерно тогда же его начнут поддерживать серверы электронной коммерции. Для бизнеса в Internet определяющим моментом является производительность, поэтому компании будут активно использовать AES, учитывая предлагаемое им сочетание безопасности и скорости. К сожалению, AES не сможет полностью заменить уже существующие алгоритмы. Большая часть из 10 млн браузеров, установленных сейчас на настольных системах по всему миру, использует для шифрования алгоритм RC4. И может пройти лет десять или даже больше, прежде чем пользователи откажутся от этих браузеров. Так что на потребительских серверах Web придется поддерживать обратную совместимость в течение еще долгого времени.

Аналогичная проблема возникает и во встроенных, фирменных средствах, подобных Point-to-Point Tunneling Protocol (PPTP) компании Microsoft. В таких продуктах новые алгоритмы будут реализованы только после того, как их модернизируют сами производители, после чего придется подождать, пока появится возможность установить на унаследованные рабочие станции новое программное обеспечение. А до этого будут работать старые алгоритмы.

Перспективы развертывания AES зависят от решения проблемы аутентификации, в частности в продуктах, использующих одноразовые пароли. Хотя некоторые подобные системы прибегают к нестандартным алгоритмам, большинство опирается на DES. Принимая во внимание способ работы таких продуктов, понятно, что они, как правило, менее уязвимы к атакам по методу "грубой силы", чем более традиционные приложения шифрования. Некоторые пользователи чувствуют себя в безопасности, когда аппаратные ключи доступа поддерживают закрытый ключ большей длины. Проведенное NIST исследование показало, что предприятия могут реализовать AES в средах с весьма ограниченными ресурсами и активно применять его в такого рода приложениях. Хотя большинство аналитиков предполагают, что в подобных приложениях методы шифрования с открытым ключом в конечном итоге заменят методы с секретным ключом, AES по-прежнему может обеспечить приемлемый уровень защиты, используя при этом более ограниченные ресурсы.

?В конце текущего года, как только будет завершен предпринятый правительством процесс стандартизации, Rijndael обретет статус AES. Пользователи получат надежный, быстрый и официально рекомендованный алгоритм шифрования. В отличие от DES, AES был выбран NIST из множества достойных кандидатов, созданных специалистами по шифрованию из самых разных стран. Этот процесс завершился выбором надежного стандарта, который, без сомнения, будет пользоваться доверием со стороны производителей и системных пользователей.

Хотя среди новых продуктов будут преобладать системы на базе AES, сообществу по-прежнему потребуются старые алгоритмы шифрования, чтобы обеспечить обратную совместимость. Настраиваемые системы, такие, как виртуальные частные сети на основе IPSec, могут быть легко модернизированы до AES по мере появления более быстрых и надежных продуктов. В ближайшие полтора года или около того защита в сети может быть значительно улучшена за счет AES, но в унаследованных системах DES и другие алгоритмы будут применяться еще лет десять или даже больше.

Ричард Смит -- доктор наук, ведущий инженер компании Secure Computing Corporation, более 20 лет занимается проблемами компьютерных сетей.

Ресурсы Internet

Web-узел AES (http://csrc.nist.gov/encryption/aes/) содержит информацию о процессе стандартизации AES, кандидатах, проведенном анализе, а также предлагает детальный обзор алгоритмов шифрования и другой анализ.