Embolcall de claus

En criptografia, les construccions d'embolcall de clau són una classe d'algoritmes de xifratge simètrics dissenyats per encapsular (xifrar) material de clau criptogràfica.^[1] Els algorismes d'embolcall de claus estan pensats per a aplicacions com ara protegir les claus mentre es troben en un emmagatzematge no fiable o transmetre claus a través de xarxes de comunicacions no fiables. Les construccions es construeixen normalment a partir de primitives estàndard com ara xifratge de blocs i funcions hash criptogràfiques.^[2]

L'embolcall de claus es pot considerar una forma d'algorisme d'encapsulació de claus, encara que no s'ha de confondre amb els més coneguts algorismes d'encapsulació de claus asimètriques (de clau pública) (per exemple, PSEC-KEM). Els algorismes d'embolcall de claus es poden utilitzar en una aplicació similar: per transportar de manera segura una clau de sessió xifrant-la amb una clau de xifratge a llarg termini.^[3]

Rerefons[modifica]

A finals de la dècada de 1990, l'Institut Nacional d'Estàndards i Tecnologia (NIST) va plantejar el problema de l'"Embolcall de claus": desenvolupar algorismes de xifratge de claus segurs i eficients basats en xifratge. Els algorismes resultants serien avaluats formalment pel NIST i, finalment, aprovats per utilitzar-los en mòduls criptogràfics certificats per NIST. El NIST no va definir amb precisió els objectius de seguretat de l'algoritme resultant i va deixar més perfeccionament als desenvolupadors de l'algorisme. Segons els algorismes resultants, els requisits de disseny semblen ser (1) confidencialitat, (2) protecció de la integritat (autenticació), (3) eficiència, (4) ús de primitives subjacents estàndard (aprovades) com l'estàndard de xifratge avançat (AES) i Secure Hash Algorithm (SHA-1) i (5) consideració de circumstàncies addicionals (p. ex., resistència a l'error de l'operador, generadors de nombres aleatoris de baixa qualitat). Els objectius (3) i (5) són especialment importants, atès que molts algorismes de xifratge autenticatàmpliament desplegats (per exemple, AES-CCM) ja són suficients per assolir els objectius restants.

S'han proposat diverses construccions. Això inclou:

Especificació d'embolcall de claus AES (novembre de 2001,)
- Implementat per l'API subtil WebCrypto.
American Standards Committee ANSX9.102, que defineix quatre algorismes:
- AESKW (una variant de l' especificació d'embolcall de claus AES)
- TDKW (similar a AESKW, construït a partir de Triple DES en lloc d'AES).
- AKW1 (TDES, dues rondes de CBC)
- AKW2 (TDES, CBC i després CBC-MAC)

Cadascun dels algorismes proposats es pot considerar com una forma d'algoritme de xifratge autenticat que proporciona confidencialitat per a missatges altament entròpics, com ara claus criptogràfiques. L'AES Key Wrap Specification, AESKW, TDKW i AKW1 estan pensats per mantenir la confidencialitat sota atacs de text xifrat triats adaptatius, mentre que l'algoritme AKW2 està dissenyat per ser segur només en atacs de text pla conegut (o més dèbil). (L'objectiu declarat d'AKW2 és utilitzar-lo en sistemes heretats i dispositius computacionalment limitats on l'ús dels altres algorismes seria poc pràctic.) AESKW, TDKW i AKW2 també ofereixen la possibilitat d'autenticar la "capçalera" de text clar, un bloc de dades associat que és no xifrat.

Rogaway i Shrimpton van avaluar el disseny dels algorismes ANSX9.102 respecte als objectius de seguretat establerts. Entre les seves troballes generals, van assenyalar la manca d'objectius de disseny clars per als algorismes i l'absència de proves de seguretat per a totes les construccions.

En el seu article, Rogaway i Shrimpton van proposar un algorisme demostrable d'embolcall de claus (SIV, el mode de vector d'inicialització sintètica) que autentica i xifra una cadena arbitrària i autentica, però no xifra, les dades associades que es poden vincular a la clau embolicada. S'ha estandarditzat com a nou mode AES RFC 5297.^[4]

Referències[modifica]

↑ «Key wrap algorithm» (en anglès). [Consulta: 26 maig 2016].
↑ «OpenSSL Key Wrapping» (en anglès). [Consulta: 1r maig 2024].
↑ Housley, Russ; Schaad, Jim «Advanced Encryption Standard (AES) Key Wrap Algorithm». Network Working Group, 2002-10.
↑ FRSE, Prof Bill Buchanan OBE. «How Do We Protect An Encryption Key? Meet Key Wrapping» (en anglès), 19-07-2021. [Consulta: 1r maig 2024].

[1] «Key wrap algorithm» (en anglès). [Consulta: 26 maig 2016].

[2] «OpenSSL Key Wrapping» (en anglès). [Consulta: 1r maig 2024].

[3] Housley, Russ; Schaad, Jim «Advanced Encryption Standard (AES) Key Wrap Algorithm». Network Working Group, 2002-10.

[4] FRSE, Prof Bill Buchanan OBE. «How Do We Protect An Encryption Key? Meet Key Wrapping» (en anglès), 19-07-2021. [Consulta: 1r maig 2024].

[1]

[2]

[3]

[4]