Español | English
rss facebook linkedin Twitter

Estandares de cifrado de datos

Existen muchos algoritmos de cifrado de datos. Y no todos están definidos por los estándares norteamericanos. Es cierto que el AES, DES, RSA y otros algoritmos de cifrado han copado el mercado, pero Europa y Japón tienen sus propios estándares, sus propios concursos para buscar los mejores algoritmos de cifrado. Después de la vulnerabilidad descubierta en el generador de números aleatorios para AES propuesto por la NSA, es hora de conocer en qué trabajan los Europeos (NESSIE, eCRYPT, eSTREAM) y Japoneses (CRYPTREC).

Lo primero es saber quién es quién. NESSIE y CRYPTREC son los equivalentes Europeo y Japonés del NIST norteamericano. Ambos proyectos buscaban un estándar de cifrado, secure hashing, y message digest entre los años 2000 y 2004. Actualmente en Europa NESSIE ha sido reemplazado por eCRYPT, que se encarga no solo de decidir qué algoritmos de cifrado son los mejores para Europa, sino de investigar todos los aspectos de la seguridad de la información, como criptografía, criptoanálisis, watermarking digital y drm (MPEG-21) entre otros. eSTREAM forma parte del proyecto eCRYPT y durante 4 años ha realizado un concurso para seleccionar 8 algoritmos de cifrado de flujos de información. Algunos de los algoritmos de cifrado de eSTREAM son sorprendentes por su simplicidad y su resistencia al criptonálisis necesitándose en la mayoría de ellos un mínimo de 2^64 bits de datos para poder empezar un ataque.

Aunque la mayor parte de los estudios y documentos de NESSIE y eCRYPT son privados, los resultados de sus decisiones sobre qué algoritmos usar son públicas, así como la descripción de los algoritmos elegidos. Seguramente ninguno de estos estudios conseguirá desplazar a los de NIST con su AES pero una cosa es segura, hay opciones de sobra para no depender de decisiones "extranjeras".

Eduardo Morrás
S21sec labs

2 comentarios:

Pedro dijo...

Este post contiene varias informaciones incorrectas. Dice que NESSIE es el equivalente europeo de NIST. Esto es un disparate.

NIST es una agencia federal del departamento de comercio de EEUU. NESSIE es un proyecto de investigación entre 1999 y 2003 co-financiado por la Comisión Europea. Un proyecto y una agencia son cosas muy diferentes. NIST es una agencia activa, y NESSIE (como tantos otros proyectos financiados por la C.E.) dejó de tener actividad alguna al final del proyecto. Además, NESSIE no tenía como objetivo en absoluto crear ni establecer ningún estándar, algo que sí es el objetivo del NIST.

No quiero decir que NESSIE o eCRYPT no sean de utilidad. Cumplen su misión de ayudar a la I+D europea... pero totalmente desligados de posibles estrategias dictadas por la Comisión Europea ni de ningún gobierno europeo. No hay tales estrategias, que es lo que sí hay en el caso del NIST, que tiene un objetivo.

El AES es un estándar de NIST, pero el algoritmo de AES surge precisamente de un concurso de ideas en el que fue seleccionado un algoritmo (Rijndael) propuesto por investigadores europeos.

Desconozco si los autores de Rijndael participan en eCRYPT o participaron en NESSIE. Es probable. Pero el caso es que NESSIE/eCRYPT no son comparables a NIST. NIST no se dedica a hacer investigación. NESSIE/eCRYPT sí, pero no hacen estándares.

S21sec labs dijo...

Efectivamente NESSIE no es una agencia federal, si no un proyecto de investigación de la U.E. cerrado en 2004, mientras que NIST no realiza investigación, solo estandarización. NESSIE al igual que el NIST realizó un concurso de ideas para probar qué algoritmos de cifrado eran los mejores.

El proyecto NESSIE contribuyó además en el desarrollo de AES tanto como consultor del NIST a través de la Katholieke Universiteit Leuven, como participante ya que dos alumnos de dicha Universidad desarrollaron el Rinjdael.

Uno de los objetivos de NESSIE era además desarrollar los algoritmos criptográficos en Europa y hacer recomendaciones al margen de las del NIST sobre qué algoritmos utilizar, si había una razón técnica para ello.

eCRYPT al igual que NESSIE es un proyecto de investigación Europeo dentro de los planes de I+D+i Europeos FP6 y FP7, y al igual que NESSIE sacará recomendaciones, que no estándares, al margen del NIST sobre criptografía y watermarking.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login