Estudio del algoritmo de cifrado Rijndael. Comparativa entre los algoritmos de cifrado DES y Rijndael

Transcripción

1 UNIVERSIDADE DA CORUÑA FACULTAD DE INFORMÁTICA DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES PROYECTO DE FIN DE CARRERA DE INGENIERÍA TÉCNICA EN INFORMÁTICA DE GESTIÓN Estudio del algoritmo de cifrado Rijndael. Comparativa entre los algoritmos de cifrado DES y Rijndael Autor: Francisco Pais Suárez Tutor: Antonino Santos del Riego A Coruña, 04 de febrero de 2003

2 A las personas que me han soportado mientras les hablaba de este proyecto

3 Agradecimientos Quiero expresar mi más profundo y sincero agradecimiento a todas las personas que han soportado mis enfados y quebraderos de cabeza cada vez que surgía un obstáculo en el desarrollo de este proyecto. A mi familia, porque es la que pasa más tiempo conmigo, por lo que también fue la más sufridora y la que más paciencia tuvo que tener. A mis amigos, por amargarles más de un café en el bar contándoles las interioridades del lenguaje Java. Y por último, pero no por ello menos importante, a Nino por atreverse a tutelarme este proyecto y soportar cada una de mis visitas a su despacho. Gracias a todos

4 UNIVERSIDADE DA CORUÑA D. ANTONINO SANTOS DEL RIEGO, Profesor titular de la Universidade da Coruña, HACE CONSTAR QUE: La memoria titulada Estudio del Algoritmo de cifrado Rijndael. Comparativa entre los algoritmos de cifrado DES y Rijndael ha sido realizada por D. FRANCISCO PAIS SUÁREZ, bajo mi dirección, en el Departamento de Tecnologías de la Información y las Comunicaciones de la Universidade da Coruña, y constituye su proyecto que presenta para optar al Grado de INGENIERO TÉCNICO en Informática de la UDC. A Coruña, 04 de febrero de 2003 Fdo: Prof D. Antonino Santos del Riego

5 ÍNDICE 1 RESUMEN INTRODUCCIÓN ESTADO DEL ARTE METODOLOGÍA DE TRABAJO ALGORITMO Rijndael Breve historia de Rijndael Preliminares matemáticos Fundamentos del diseño de Rijndael Especificaciones de Rijndael Aspectos de implementación Ejecución del algoritmo Justificación de las elecciones del diseño Resistencia frente a los ataques conocidos Fortaleza estimada Metas de seguridad Ventajas y limitaciones de Rijndael Extensiones Otras funcionalidades Adaptabilidad para ATM, HDTV, B-ISDN, voz y satélite ALGORITMO DES Breve historia Características del cifrador DES Descifrado ALGORITMO Triple DES COMPARATIVA DE LOS PRINCIPALES ASPECTOS DE DISEÑO, ESTRUCTURA Y USO ENTRE Rijndael Y DES Ámbitos de uso Clave de cifrado Tamaño de bloque de datos Estructura interna de los algoritmos Resistencia frente a los principales ataques SISTEMA CLIENTE-SERVIDOR DE CIFRADO

6 9.1 Descripción del sistema Diseño de la aplicación Herramientas y bases teóricas Entorno del Usuario CONCLUSIONES GLOSARIO ÍNDICE DE TABLAS Tabla 1 Estado intermedio con tamaño de bloque de 128 bits Tabla 2 Estado intermedio con tamaño de bloque de 192 bits Tabla 3 Estado intermedio con tamaño de bloque de 256 bits Tabla 4 Representación de una clave de 128 bits Tabla 5 Representación de una clave de 192 bits Tabla 6 Representación de una clave de 256 bits Tabla 7 Correspondencia entre el tamaño en bits y el valor Nb Tabla 8 Número de vueltas del algoritmo según el valor de Nb y Nk Tabla 9 Valor de los desplazamientos C1, C2 y C3 según Nb Tabla 10: Número de subclaves generadas Tabla 11 Tiempos de ejecución y tamaño del código con un procesador Intel Tabla 12 Tiempos de ejecución, tamaño de código y RAM necesaria con un procesador Motorola 68HC Tabla 13 Número de ciclos necesarios para la operación KeyExpansion Tabla 14 Tiempos de ejecución del cifrador Rijndael Tabla 15 Ejecución del cifrador Rijndael codificado en Java Tabla 16: Complejidad del ataque Square sobre Rijndael Tabla 17 Desplazamientos en la función ShiftRow para valores alternativos de longitud de bloque Tabla 18: Permutación inicial (PC-1) aplicada a la clave principal Tabla 19: Número de bits a desplazar según la vuelta Tabla 20: Permutación 2 (PC-2) Tabla 21: Permutación inicial (IP) Tabla 22: Función de expansión de 32 a 48 bits (E) Tabla 23: S-Boxes del algoritmo DES Tabla 24: Permutación P a la salida de las S-Boxes Tabla 25: Permutación final (IP -1 ) Tabla 26: Claves débiles del algoritmo DES Tabla 27 Claves semidébiles del algoritmo DES

7 ÍNDICE DE ILUSTRACIONES Ilustración 1: Traslado de información desde un vector de entrada a la matriz Ilustración 2: Localización de un elemento en la matriz Ilustración 3 Estructura de una vuelta del algoritmo Rijndael Ilustración 4: Ejemplo de desplazamiento de bytes C1, C2 y C Ilustración 5: Operaciones de la función MixColumn Ilustración 6: Adicción de la clave mediante función EXOR Ilustración 7 Clave expandida y selección de subclaves para Nk=4 y Nb= Ilustración 8: Operaciones Key Addiction y MixColumn en procesadores de 32 bits Ilustración 9: Operaciones ShiftRow y ByteSub en procesadores de 32 bits Ilustración 10: Valor de salida de la columna e en función de la matriz de estado a Ilustración 11: Multiplicación de matrices expresada como combinación lineal de vectores Ilustración 12: Tablas T 0, T 1, T 2 y T Ilustración 13 Propagación de un patrón de actividad (en gris) a través de una vuelta.. 73 Ilustración 14: Propagación de patrones en una vuelta Ilustración 15: Teorema 1 con Q = Ilustración 16: Esquema del algoritmo DES Ilustración 17: Cálculo de las subclaves K i Ilustración 18: Esquema de una vuelta de la red Feistel del algoritmo DES Ilustración 19: Proceso de cifrado mediante TDES Ilustración 20: Casos de uso de la aplicación Ilustración 21: Diagrama de secuencia de cifrado DES Ilustración 22: Diagrama de secuencia de cifrado Rijndael Ilustración 23: Diagrama de secuencia para ver paso a paso Ilustración 24: Diagrama de clases colaboradoras de cifrado DES Ilustración 25: Diagrama de clases colaboradoras de cifrado Rijndael Ilustración 26: Diagrama de clases colaboradoras para ver paso a paso Ilustración 27: Diagrama de clases Ilustración 28:Pantalla de inicio de la aplicación Ilustración 29: Inicio animación Flash Ilustración 30: Menú principal Ilustración 31: Documentación del proyecto Ilustración 32: Pantalla de selección del algoritmo Ilustración 33: Selección del tamaño de clave y de bloque Ilustración 34: Petición de clave y bloque de datos Ilustración 35: Resultados del cifrado Rijndael Ilustración 36: Pantalla de resultados de cifrado DES Ilustración 37: Paso 1 del algoritmo DES Ilustración 38: Paso 2 del algoritmo DES Ilustración 39: Paso 3 del algoritmo DES Ilustración 40: Paso final del algoritmo DES

8 1 RESUMEN En este proyecto se aborda el estudio de un nuevo estándar de cifrado, llamado Rijndael, que ha sido seleccionado por el National Institute of Standards and Technology, a partir de ahora NIST, como el nuevo estándar de cifrado del siglo XXI, sustituyendo así a su predecesor, el algoritmo denominado Data Encryption Standard, al que nos referiremos como DES, que había ostentando dicho título desde principios de los años 70. El proyecto se compone de varias partes: La primera es un estudio en profundidad del algoritmo Rijndael, centrándonos en sus características de diseño, las innovaciones que aporta al mundo de la criptografía, su nivel de seguridad y su resistencia frente a los principales ataques criptográficos conocidos, analizando los motivos por los cuales un cifrado Rijndael no es vulnerable a los mismos. La segunda parte hace referencia a su antecesor, el algoritmo DES. Consta de una descripción de las características del algoritmo, centrándonos en aquellas por las cuales el paso del tiempo y el aumento de las capacidades de las computadoras han dejado a este algoritmo obsoleto y susceptible de sufrir ataques. La tercera parte está formada por una comparativa entre ambos algoritmos, mostrando las ventajas y desventajas que aporta el uso del algoritmo Rijndael frente al DES, las características diferenciadoras entre ambos, los correspondientes ámbitos de uso, las restricciones que el propio diseño de cada algoritmo imponen, la velocidad de cifrado, la resistencia frente a ataques conocidos y los métodos empleados por cada uno de ellos. Por último, complementando este proyecto, se ha desarrollado una aplicación clienteservidor, constituida por un sistema de páginas web y un applet Java que permite consultar toda la documentación de este proyecto on-line y acceder a un programa de cifrado interactivo, orientado a mostrar los detalles de funcionamiento de ambos algoritmos de cifrado. Esta aplicación posee un carácter didáctico, ya que persigue un acercamiento del usuario al mundo de la criptografía, en especial al uso de estos algoritmos, con el fin de que puedan comprobar de una manera empírica las afirmaciones que se han realizado a lo largo de este proyecto

9 PALABRAS CLAVE Criptografía, Rijndael, DES (Data Encryption Standard), AES (Advanced Encryption Standard), NIST (National Institute of Standards and Technology), cifrado didáctico, applet, World Wide Web 2 INTRODUCCIÓN La información ha sido, desde siempre, una de las más preciadas posesiones para el hombre y, por ello, desde muy antiguo, todas aquellas personas que poseían informaciones privilegiadas han utilizado métodos y mecanismos para salvaguardarlas de posibles ataques. A lo largo de los años, la humanidad ha ido buscando mecanismos para transmitir y utilizar la información como lo fue, en su día, el caso del telégrafo o la propia Internet. Sin embargo, los grandes logros conseguidos en este tema tenían como contrapartida el aumento en la inseguridad de la misma, lo que provocó la aparición de diversos mecanismos de criptoanálisis para intentar romper la confidencialidad de las comunicaciones. De esta forma surgió y prosperó el estudio y utilización de mecanismos criptográficos que permitiesen hacer ininteligible la información a toda persona que no estuviese autorizada. La introducción de las computadoras en el mundo de la criptografía supuso una revolución en los métodos de cifrado, por lo que marcó un punto de inflexión en la historia de esta ciencia, que pasó a dividirse en criptografía clásica y moderna. La criptografía clásica abarca todos los periodos anteriores a la aparición de las computadoras. A ella pertenecen algoritmos de cifrado como el César, el cifrado de Vigenere o el método de Beaufort. La criptografía moderna nace con la introducción de las computadoras. Se basa en los mismas ideas que la criptografía clásica pero, mientras que en la criptografía clásica se utilizaban algoritmos muy sencillos y se confiaba en el tamaño de la clave para otorgar seguridad, en la criptografía moderna se han perfeccionado los algoritmos para lograr - 9 -

10 una mayor seguridad y se basa la fortaleza de un cifrado en la calidad del cifrado en sí, no en el tamaño de la clave de cifrado. Se pueden clasificar los criptosistemas modernos en simétricos y asimétricos. Los criptosistemas simétricos son aquellos que emplean la misma clave de cifrado tanto para cifrar como para descifrar. También se conocen como criptosistemas de clave privada, ya que la publicación de la clave de cifrado supone poner en compromiso la privacidad del cifrado. Pertenecen a esta categoría cifradores como Blowfish, Serpent, Loki y los dos algoritmos analizados en este proyecto: Rijndael y DES. Los criptosistemas asimétricos, también llamados de clave pública, son aquellos que poseen una clave de cifrado y otra clave de descifrado distinta de la anterior. En la actualidad, este tipo de algoritmos están siendo muy utilizados ya que facilitan el intercambio de documentos cifrados gracias a la clave pública y son idóneos para procesos donde se precise una firma digital. El principal representante de los algoritmos englobados en esta categoría es el algoritmo RSA, aunque cabe mencionar otros como el sistema DH (Diffie Hellman) o el sistema DSA de firma digital. En este proyecto se analizarán los principales aspectos y características del principal representante de los algoritmos de cifrado simétricos, el algoritmo DES y del algoritmo que ha sido designado para ser su sucesor como nuevo estándar del NIST, el algoritmo Rijndael. Tras casi treinta años de vida, la aportación del algoritmo DES al mundo de la criptografía ha sido inconmensurable. Las soluciones adoptadas con el fin de conseguir la mayor fortaleza posible en el cifrado se han convertido en pilares donde se apoyan los nuevos algoritmos que se están desarrollando actualmente, que basan su diseño en la estructura de red del algoritmo DES y en sus desarrollos. El aumento de la potencia de las computadoras ha motivado una disminución de la seguridad del algoritmo DES ya que, aunque su diseño sigue siendo un estándar a imitar, el escaso tamaño de su clave de cifrado ha provocado que sea susceptible de sufrir un ataque por fuerza bruta. El NIST ha buscado un sustituto para los años venideros que pudiese suplir esta carencia de seguridad. Tras la convocatoria de un concurso público, fue elegido como sucesor el algoritmo Rijndael. Al igual que DES, Rijndael también es un cifrador de datos de tipo síncrono. La principal característica de este algoritmo es

11 que puede trabajar con un tamaño de clave y de bloque de 128, 192 ó 256 bits, permitiendo al usuario que seleccione el tamaño más adecuado para sus necesidades y que pueda combinar el tamaño de clave con el tamaño de bloque de datos que más le convenga. El principal objetivo de este proyecto se centra en el desarrollo de una comparativa entre ambos algoritmos. Para ello se analizarán los algoritmos por separado, estudiando sus principales características para luego enfrentarlas y explicar las distintas soluciones que aportan cada uno de ellos al problema de la seguridad de la información y las ventajas de uno sobre el otro. Esta comparativa no se limitará a una mera enumeración de las características de los algoritmos, sus semejanzas y sus diferencias, sino que se tratará de abordar la comparativa desde un punto de vista didáctico, explicando los efectos que producen las distintas soluciones adoptadas tanto por DES como por Rijndael. Además, en este estudio se tratarán tanto temas acerca del comportamiento de los algoritmos con respecto a los ataques criptoanalísticos como a su comportamiento y adaptabilidad al ámbito de uso y al propio usuario. Este estudio tiene un carácter innovador, ya que no se encuentran estudios tan detallados como el realizado en este proyecto. En el caso del algoritmo DES, los documentos que podemos encontrar acerca de él hacen relación a su estructura pero no se encuentra ningún artículo que lo compare con ningún otro algoritmo. En el caso de Rijndael, debido a la reciente aparición del algoritmo, la documentación que hace referencia a él es bastante escasa y limitada, ya que únicamente se enumeran las características principales del algoritmo, centrándose en el triple tamaño de clave y de bloque, sin explicar la importancia que tiene esta posibilidad de combinar los tres tamaños de clave con los de bloque y únicamente enumerando el resto de las características diferenciadoras del algoritmo. Para finalizar el proyecto, se ha realizado una aplicación mediante una estructura de páginas web y applets Java. La aplicación se divide en dos partes. La primera parte está compuesta por una estructura de páginas web gracias a la cual podemos acceder a toda la documentación de este proyecto de una manera on-line. La segunda parte es un programa de cifrado interactivo. Este programa se ha desarrollado mediante un applet Java

12 e insertado en una interfaz web, que facilita la interacción con el usuario. Mediante este programa, el usuario podrá efectuar un proceso de cifrado sobre unos datos concretos mediante al algoritmo DES o mediante el algoritmo Rijndael, pudiendo comprobar así el desarrollo de los algoritmos y su funcionamiento. El objetivo de esta aplicación es ayudar a la comprensión de este proyecto y facilitar la difusión del mismo. Las personas interesadas podrán acceder a toda la documentación de una forma on-line, sin necesidad de poseer una copia escrita del proyecto. Además, el programa de cifrado ayudará a comprender los distintos pasos de los algoritmos al poder comprobar cómo afectan las transformaciones a unos datos concretos y ver cómo van evolucionando los mismos hasta llegar al cifrado final. 3 ESTADO DEL ARTE El algoritmo DES ha sido, desde su presentación, el algoritmo más estudiado de la criptografía moderna. Esto fue debido a la desconfianza inicial que produjo su elección como estándar por el NIST, ya que se pensaba que contenía algún tipo de puerta secreta o clave maestra de la cual podría servirse el gobierno USA. Gracias a estas dudas, el número de análisis, artículos, críticas y desarrollos sobre este algoritmo es inconmensurable. Existen desde documentos que analizan la estructura del algoritmo desde un punto de vista del diseño [KRIP-02] [RIJM-01], hasta documentos que se centran en los aspectos matemáticos del mismo [COUN-01], conteniendo estadísticas de tiempo esperado de descifrado, número de operaciones y tipo de las mismas. Por supuesto, también se encuentra una amplia bibliografía referente a las dudas y el ocultismo de algunos aspectos del diseño del algoritmo. Debido a la antigüedad del DES, no se encuentran análisis de este estándar de fechas recientes. Ahora bien, tras el anuncio del concurso del NIST para buscar su sucesor, el número de artículos en la red referentes a su inminente cese se multiplicó [KRIP-02] [HISP-02] [KRIP-02] [LASN-01]. Anunciaban la convocatoria del concurso y alababan las virtudes del DES que durante tantos años ha sido de gran relevancia en el ámbito de la criptografía. Sobre este algoritmo podemos afirmar, sin temor a equivocarnos, que ha

13 sido empleado para todas y cada una de las funciones en las que podamos pensar que necesitamos un algoritmo criptográfico. A nivel civil podemos encontrar el algoritmo DES en todo tipo de cifrados. Tal vez el uso civil más empleado del DES y menos conocido, sea el programa de cifrado más usado del mundo, el PGP (Pretty Good Privacy). Este programa está enfocado a la privacidad en la red, ya que cifra mediante el uso de una clave pública. Aunque existen infinidad de algoritmos de cifrado de clave pública, se ha optado por adaptar el algoritmo DES y complementarlo con un sistema que gestiona las claves públicas y privadas, pero el cifrado final se lleva a cabo mediante el algoritmo DES. Debido a la juventud del algoritmo Rijndael, las publicaciones relacionadas con él son todavía escasas y, de las pocas que hay, gran parte de ellas no aportan datos de gran interés. La mayoría hacen referencia a su elección como nuevo AES (Advanced Encryption Standard) [LASN-01] [MUNC-00] [MUNC-01]. Tratan acerca del desarrollo del concurso y nos remiten a la página oficial del NIST [NIST-01], donde podemos hallar las bases del concurso y leer los motivos por los cuales fue elegido vencedor el Rijndael. Las únicas referencias al diseño, estructura y datos concretos sobre el algoritmo sólo las podemos encontrar en la página oficial de Vincent Rijmen [RIJM-01], que incluye la documentación sobre el algoritmo más reciente, en la que se han realizado correcciones sobre la documentación entregada al NIST. Por tanto, la única fuente fiable de información acerca del algoritmo Rijndael es la propia información de los creadores, que ha pasado el examen por parte de una serie de expertos del NIST para ganar el concurso. Por lo tanto, y en un principio, podemos confiar en que las aseveraciones que se realizan sobre la seguridad del algoritmo son ciertas. Conforme pase el tiempo y la comunidad científica examine con detenimiento el algoritmo, puede que se encuentre algún punto débil, o incluso que se llegue a definir un nuevo ataque específico para Rijndael, pero a día de hoy, todo apunta a que el algoritmo es seguro. Destacar dos artículos disponibles en Internet que hacen referencia a supuestas debilidades de Rijndael, aunque desde un punto de vista teórico y no probadas en la práctica. Estas afirmaciones únicamente teóricas, junto con el hecho de que dichos documentos carecen de una firma de un experto o una organización con un carácter serio y objetivo en criptografía, convierten dichas afirmaciones en meros rumores, por lo que no los hemos incluido en el análisis. En ellos se detallaba una debilidad de Rijndael frente a los ataques por análisis

14 temporal debido a una mala implementación. Para el análisis sólo nos hemos valido de documentos acreditados por expertos y de un carácter objetivo y científico, renegando de todos aquellos de carácter especulativo, sin base científica o firmados por personas anónimas de dudosa formación a este respecto. En este punto hacemos mención a su existencia, ya que, aunque no se ha considerado oportuno incluirlos en este proyecto, sí se ha considerado incluir una mención de su existencia, siendo el lector el que debe juzgar la validez y fiabilidad de los mismos. Con respecto a la comparativa realizada en este proyecto entre el algoritmo Rijndael y el algoritmo DES, no existe ningún precedente de este tipo. Se pueden encontrar documentos y publicaciones de carácter informativo que nos indican las ventajas que presenta Rijndael frente a DES, pero se limitan a una mera enumeración de las mismas [SEGU-01] [CRIP-02] [KRIP-02. No se encuentra ninguna publicación que, además de indicarnos las diferencias entre los dos algoritmos, nos indique las ventajas o inconvenientes que estas diferencias aportan tanto con respecto al cifrado en sí, como con respecto al usuario o al entorno de trabajo. Además, la mayoría de las comparaciones se limitan a tratar una de las principales características de Rijndael, el triple tamaño de clave [LASN-01]. Simplemente se menciona el también triple tamaño de bloque y apenas se hace incidencia en las grandes ventajas que aporta la posibilidad de combinar el tamaño de bloque y el tamaño de clave de nueve maneras posibles. Tampoco se encuentran estudios acerca de la estructura interna de los algoritmos, la representación de los datos, las posibilidades de modificación del código, sus posibles ampliaciones y otros muchos factores como la resistencia frente a los ataques. Referente a la aplicación desarrollada en el presente proyecto, únicamente se ha encontrado un precedente parecido en un proyecto de fin de carrera de la titulación de Ingeniería Técnica en Informática de Gestión de la Facultad de Informática de la Universidade da Coruña [Gonz01] en el cual se llevaba a cabo un cifrado didáctico empleando alguno de los métodos más representativos de cifrado clásico. Con respecto al cifrado interactivo DES, todas las aplicaciones de cifrado que se han encontrado carecen de carácter didáctico, ya que son aplicaciones de cifrado de ficheros y correo electrónico, en las que únicamente interesa el resultado final del cifrado, reali

15 zándose el mismo de manera totalmente transparente para el usuario [CRIP-02] [HISP- 02] [TROP 02]. En cuanto al código fuente del algoritmo DES, las implementaciones encontradas tenían el mismo defecto que las aplicaciones; su carente componente didáctica. Estaban enfocadas a un uso práctico, en las que no interesa el desarrollo del cifrado, sino el resultado, por lo que en la mayoría de los casos, únicamente se implementaban las cabeceras que llamaban a unas librerías de Java que realizaban todo el trabajo, por lo que no se podía acceder individualmente a ninguna de las funciones o procedimientos internos del DES. Por tanto, la aplicación de este proyecto viene a suplir una carencia didáctica sobre el algoritmo, ya que aunque el DES haya perdido su condición de invulnerabilidad frente a ataques, sus debilidades no tienen relación alguna con el diseño, por lo que su estudio sigue siendo de alto interés y la aplicación interactiva viene a ser un complemento ideal a su aprendizaje, ya que facilita al interesado la labor de entender los distintos pasos, permutaciones y transposiciones del algoritmo. Con respecto al cifrado interactivo Rijndael, en la página oficial de Vincent Rijmen [RIJM-01] se puede encontrar diversas implementaciones del algoritmo en distintos lenguajes. En este proyecto se ha seleccionado el lenguaje Java ya que era el que más se adaptaba a las necesidades de la aplicación desarrollada. En dicha página se ofrece un código que realiza un cifrado Rijndael, optimizado para un tamaño de bloque de 128 bits, pero en realidad el código precisó de una serie de modificaciones para que aceptase cualquier tamaño de clave y de bloque, tal y como muestran las especificaciones de Rijndael, ya que el código ofrecido únicamente acepta el tamaño de bloque de 128 bits y no se puede llevar a cabo procesos de cifrado con tamaños de bloque de 192 ó 256 bits sin modificarlo; por lo que en este caso, el llamado carácter didáctico significaba incompleto. No se ha encontrado ninguna otra aplicación o implementación de Rijndael, ya que la comunidad científica se está centrando en su análisis antes de proceder a crear aplicaciones basadas en este algoritmo. Para finalizar este apartado, señalar que éste es el primer análisis relacionado con Rijndael publicado en castellano

16 4 METODOLOGÍA DE TRABAJO La sistemática aplicada a la parte analítica de este proyecto ha sido la siguiente. Se dará comienzo al proyecto con una explicación detallada sobre el algoritmo Rijndael, abarcando todos los aspectos relacionados con el mismo dignos de mención. Esta explicación incluirá como principales aspectos: Introducción sobre la historia de este algoritmo, sus creadores, su nombramiento como nuevo AES y la importancia del título que ostenta Descripción detallada de la estructura de Rijndael y de todos y cada uno de los pasos y operaciones que componen el algoritmo, centrándonos en las ventajas que aporta cada una de ellas tanto con respecto a la seguridad del cifrado como con respecto al empleo del algoritmo. Adaptabilidad del algoritmo tanto a software como a hardware, analizando su ámbito de su uso, su capacidad de adaptabilidad al medio, su rendimiento bajo distintas plataformas y procesadores tanto de 8 bits, como los presentes en las Smart Cards como los procesadores de 32 bits, más presentes en las computadoras actuales. Resistencia prevista frente a los ataques contra la confidencialidad más usuales y potentes, entre los que incluiremos el ataque por criptoanálisis lineal, por criptoanálisis diferencial, el ataque por diferencias temporales y el siempre presente ataque por fuerza bruta. A continuación se hará una descripción del algoritmo DES, el antecesor del Rijndael como estándar elegido por el NIST. En esta descripción se incluirán la historia del algoritmo, la estructura y diseño del mismo, sus operaciones internas, las innovaciones que en su época aportó al mundo de la criptografía, sus ámbitos de uso, su presencia actual en la sociedad y, por último, las debilidades que el paso del tiempo han provocado en la calidad de su cifrado, disminuyendo la seguridad del mismo y provocando la convocatoria de un concurso en busca de un nuevo estándar. Para finalizar este apartado se hará una breve descripción del algoritmo Triple DES, algoritmo derivado del DES y que ha

17 sido empleado como solución temporal con el fin de suplir las debilidades de DES y garantizar la confidencialidad de los datos mientras que no se encontraba un nuevo algoritmo que se pudiera delegar completamente la función que estaba llevando a cabo DES. Para finalizar, se llevará a cabo una comparativa entre los dos algoritmos analizados, haciendo hincapié en las principales características diferenciadoras de ambos, tanto a nivel de diseño, como de estructura y con respecto al usuario y ámbito de uso. En el apartado referente a la relación con el usuario y con los ámbitos de uso, nos centraremos en las características que presentan los algoritmos para adaptarse a los diferentes usos que el usuario pueda hacer de él, destacando las características del algoritmo que faciliten o dificulten dicha integración. Este apartado es de suma importancia debido a que el fin de estos algoritmos no es ser empleados para un fin concreto, sino, por así decirlo, de proveer de una base de cifrado que nos permita emplear el mismo algoritmo en una gran variedad de operaciones en las que sea necesario una privacidad de la información. Por ejemplo, viendo casos concretos, el abanico de operaciones que emplean procesos de cifrado abarca desde el simple cifrado de un correo electrónico hasta el envío de paquetes de datos a través de una red o incluso funciones hash. Otro aspecto fundamental que no puede faltar en una comparativa de este estilo es el referente a la clave principal de cifrado. El tamaño de la clave es un factor imprescindible a tener en cuenta cuando hablemos de seguridad y privacidad. El uso de claves de mayor tamaño aportará mucha más seguridad al sistema, a la vez que ralentizará el mismo debido a la mayor cantidad de información que debe procesar. En este punto podremos apreciar las dos características principales de un buen cifrador: velocidad y seguridad, pero que son mutuamente excluyentes. Analizaremos la clave de tres valores posibles de Rijndael frente a la clave única de DES. Analizaremos los aspectos relacionados con el tamaño de bloque, ya que es un factor determinante de la velocidad del cifrado. Veremos las ventajas del sistema de los tres tamaños de bloque de Rijndael frente al tamaño de bloque único de DES; cómo influye el tamaño de bloque en las variaciones de velocidad y en la carga de trabajo

18 Una vez revisados los aspectos anteriores, pasaremos a la estructura interna de los algoritmos. En los apartados anteriores se han tratado los algoritmos tomando los mismos como cajas negras y examinando cómo intervienen sus principales características en la relación con el mundo o medio exterior. A continuación nos centraremos en las características internas de los algoritmos, centrándonos en los siguientes puntos: Representación de la información; en este apartado veremos cómo es tratada la información que recibe el algoritmo, que representación interna se emplea y que unidades de información se emplean internamente. Permutaciones; en este apartado analizaremos el uso que hacen los algoritmos de este recurso matemático tan empleado por la criptografía y cómo afectan la mismas al desarrollo del proceso de cifrado. Estructura de red; se realizará una comparativa entre la siempre conocida red Feistel del algoritmo DES y que ha se ha convertido en un pilar de la criptografía, frente al nuevo diseño de red de la estructura Rijndael. Veremos las ventajas e inconvenientes que aporta cada modelo estructural con respecto del otro. Para finalizar esta comparativa nos centraremos en la resistencia de los algoritmos frente a los principales ataques que hoy en día se han mostrado más efectivos y son potencialmente más peligrosos para la confidencialidad de la información: el criptoanálisis diferencial, el criptoanálisis lineal y el ataque por diferencias temporales. Además haremos un análisis sobre la presencia de claves débiles en el algoritmo DES que pueden provocar que el secreto de la información quede en entredicho. Para finalizar la comparativa y como comentario final, haremos mención a una nueva forma de criptoanálisis, descubierto por la sección de crímenes informáticos de la Guardia Civil a principios de año, que, mediante el uso de Internet y un reclamo económico, ha conseguido romper muchos de los cifrados más seguros

19 5 ALGORITMO RIJNDAEL 5.1 Breve historia de Rijndael El algoritmo de cifrado Rijndael ha sido desarrollado por el Dr. Joan Daemen y el Dr. Vincent Rijmen. El Dr. Joan Daemen nació en 1965 en Bélgica. Se graduó en Ingeniería Civil Electro Mecánica y se doctoró en Criptografía como miembro del COSIC (Computer Security and Industrial Cryptography). El Dr. Vincent Rijmen nació en 1970 en Bruselas. Se licenció en ingeniería electrónica en la Universidad Católica de Leuven. Después comenzó sus estudios de doctorado en los laboratorios ESAT/COSIC de su universidad que finalizó en 1997 con su tesis titulada Criptoanálisis y diseño de cifrados de bloque iterativos. En 1993 consideran la necesidad de desarrollar un nuevo sistema de cifrado más robusto ante la llegada de un nuevo milenio y con él, el incremento de la capacidad de procesamiento de las computadoras, por lo que la integridad de los algoritmos contemporáneos de cifrado se vería, en un relativamente breve periodo de tiempo, seriamente comprometida. El actual AES elegido por el NIST era el algoritmo DES. Dicho algoritmo se estaba quedando obsoleto, y no por una debilidad teórica sino por el problema expresado: la potencia de las computadoras de la fecha permitían romper el cifrado mediante un ataque por fuerza bruta simplemente probando todas y cada una de las claves posibles. Se hace patente la necesidad de encontrar un nuevo AES. El Dr. Daemen y el Dr. Rijmen inician el desarrollo de un algoritmo al que denominan Square. Su principal característica diferenciadora con respecto a los algoritmos existentes es que trabaja con claves de 128 bits y con bloques de cifrado de igual tamaño. En 1996 finalizan su primer diseño y en la primavera de 1997 lo hacen público

20 Coincidiendo con esta fecha, el NIST anuncia el concurso para la selección del próximo AES, título que regentaba el algoritmo DES desde la década de los 70. Como medida temporal mientras no se haya seleccionado el nuevo AES el NIST recomienda el uso del Triple DES para garantizar la privacidad de los documentos. Anteriormente este mismo organismo había intentado sin éxito imponer un algoritmo secreto, pero ante el temor de que ese algoritmo contuviese puertas traseras que facilitasen el descifrado de la información, el proyecto no tuvo aceptación, por lo que se tomó la decisión de sacar la propuesta a concurso público. En el verano del año 1997 sale a la luz los requisitos que deben tener los algoritmos que se quieran presentar a dicho concurso. Uno de ellos es que los algoritmos deben trabajar con longitudes de clave de 128, 192 y 256 bits y longitudes de bloque de al menos 128 bits. Se desestima imponer obligatoriamente el uso de valores de tamaño de bloque de 192 y 256 bits por considerarlos inviables. Los doctores Rijndael y Daemen inician la modificación del algoritmo Square para adaptarlo a las condiciones del concurso y en junio de 1998 remiten al NIST un nuevo algoritmo, descendiente del anterior Square y al que llaman Rijndael (Rijmen & Daemen). En agosto de 1998 finaliza el plazo de presentación de algoritmos. Se han presentado un total de 15 participantes, de los cuales tres de ellos (Rijndael, Crypton y Twofish) están basados en la estructura del Square. Los algoritmos son analizados por un grupo de expertos designados por el NIST que valoran aspectos tales como su robustez, su estructura, su capacidad de ser implementado tanto en software como en hardware y muchos más aspectos como el trabajo intelectual efectuado en el desarrollo. Se crea también un foro público, de carácter informal, para que toda aquella persona que lo desee pueda acceder a la documentación de los candidatos y así dar su propia opinión sobre ellos. Tras una selección inicial se publican los cinco finalistas en agosto de 1999: Twofish, Mars, Serpent, RC6 y Rijndael. Rijndael se destaca frente a sus competidores ya que, tanto su tamaño de clave como su tamaño de bloque de cifrado puede ser de 128, 192 o 256 bits y, lo que es más importante, pueden ser combinados arbitrariamente entre ellos, por lo que disponemos de nueve posibilidades de asociación clave-bloque, todas ellas posibles. Los otros dos algoritmos basados en Square (Crypton y Twofish) pueden operar con los tres tamaños de clave, pero no de manera arbitraria. Además Rijndael es el único de los finalistas que puede operar con distintos tamaños de bloque de cifrado

21 Por fin el 2 de octubre de 2000 se proclama al Rijndael como ganador del concurso y nuevo AES. Sobre las razones por las que se eligió Rijndael frente a los otros candidatos, el NIST dice: "Tomando todo en consideración, la combinación de seguridad, rendimiento, eficiencia, facilidad de implementación y flexibilidad lo hacían la elección adecuada para el AES. Específicamente, Rijndael consistentemente obtiene muy buen rendimiento tanto en hardware como en software en una amplia variedad de entornos de computación tanto usado en modos feedback como no feedback. Su preparación de claves es excelente y la agilidad de las claves buena. Rijndael requiere muy poca memoria lo que lo hace excelente para entornos con espacio restringido demostrando aquí también su excelente rendimiento. Las operaciones de Rijndael están entre las más sencillas de defender contra ataques por análisis temporal (timing attack) y criptoanálisis diferencial de potencia (power attack). Por otro lado parece que se puede proporcionar defensa contra los ataques citados sin afectar significativamente al rendimiento de Rijndael. El algoritmo se ha diseñado con algo de flexibilidad en términos de los tamaños de bloque y de clave y puede acomodarse a alteraciones en los números de rondas aunque estas modificaciones necesitarían estudio adicional y no se toman en cuenta en este momento. Finalmente la estructura interna de las rondas de Rijndael parece tener un buen potencial para beneficiarse del procesado en paralelo" El NIST apunta también que en términos de seguridad los cinco finalistas son adecuados, pero Rijndael era el que mejor combinaba el resto de características deseables

22 Las claves utilizadas por Rijndael de 128,192 o 256 bits proporcionan un ingente número de posibilidades. Comparándolo con el DES (56 bits) el AES con 128 bits tendría del orden de claves más. Por tanto si se intentara romper por fuerza bruta una clave de 128 bits con una máquina que identificase una clave DES en 1 segundo de promedio (es decir 2 55 claves por segundo) se necesitarían del orden de años. Confiando en estas claves y contando incluso con los previsibles avances tecnológicos el NIST espera tener AES para más de 20 años. 5.2 Preliminares matemáticos La seguridad del cifrado Rijndael se basa en el desorden provocado en el contenido del texto en claro al aplicarle una serie de permutaciones y otras operaciones matemáticas. Algunas de estas operaciones se realizan a nivel de byte, representado mediante el campo llamado GF(2 8 ) y otras a nivel de palabras de cuatro bytes. Para la comprensión del algoritmo es necesario conocer cada una de estas operaciones, para lo cual se deberá introducir una serie de conceptos matemáticos antes de iniciar el estudio del algoritmo propiamente dicho REPRESENTACIÓN DE UN BYTE EN EL CAMPO GF(2 8 ) El campo GF(2 8 ) se trata de un campo finito en el que los elementos (en nuestro caso bytes) serán representados como polinomios de grado 7 y con coeficientes binarios, esto es, en {0,1}. Un byte b se compone de 8 bits que representamos como b 7, b 6, b 5, b 4, b 3, b 2, b 1, b 0 donde b 7 representa el bit de mayor peso y b 0 al de menor. Así podemos representar el byte como un polinomio cuyos coeficientes son los b j con j=0..7. y donde estos b j pueden tomar los valores 0 ó

23 b 7 x 7 + b 6 x 6 + b 5 x 5 + b 4 x 4 + b 3 x 3 + b 2 x 2 + b 1 x 1 + b 0 Por ejemplo, un byte que represente el valor hexadecimal 57 (en binario ) se corresponde con el polinomio: 0x 7 + 1x 6 + 0x 5 + 1x 4 + 0x 3 + 1x 2 + 1x = x 6 + x 4 + x 2 + x + 1 Un byte que represente el valor hexadecimal 83 (en binario ) se corresponde con el polinomio: 1x 7 + 0x 6 + 0x 5 + 0x 4 + 0x 3 + 0x 2 + 1x = x 7 + x Suma La suma de dos elementos del campo GF(2 8 ) es la suma de dos polinomios, por lo que el resultado será otro polinomio. La suma de los coeficientes se corresponde con una suma modulo 2 término a término. Se puede comprobar que esta suma se corresponde con una operación EXOR (denotada por ) entre los coeficientes de los polinomios. Por ejemplo, se puede efectuar la suma de los elementos del apartado anterior: ( ) = (x 6 + x 4 + x 2 + x + 1) + (x 7 + x + 1) = x7 + x 6 + x 4 + x 2 Podemos comprobar que el conjunto de los polinomios de grado menor o igual que 7 y con coeficientes pertenecientes a Z 2 forman un grupo conmutativo con la suma, es decir, es una operación interna, que cumple la propiedad asociativa, conmutativa, tiene elemento neutro y tiene simétrico. Debido a la existencia de simétrico podemos referirnos a la operación resta, ya que se puede definir la resta de a y b, donde a y b son polinomios, como la suma de a con el simétrico de b

24 Multiplicación Al referirnos a la multiplicación empleada en el algoritmo Rijndael nos estaremos refiriendo realmente a la multiplicación de dos elementos del conjunto GF(2 8 ), es decir polinomios de grado menor o igual que 7 y con coeficientes en Z 2 pero cuyo resultado se expresa modulo m(x) donde m(x) = x 8 + x 4 + x 3 + x + 1. Nótese que m(x) se puede representar en hexadecimal con el valor 11B y se puede comprobar que es un polinomio irreducible. El propósito de realizar la multiplicación módulo m(x) es con el fin de que el resultado obtenido en la operación siga siendo un polinomio de grado menor que 8, por lo que la operación seguiría siendo a nivel de byte. Por ejemplo, la operación multiplicación de los valores hexadecimales 57 y 83 sería: (x 6 + x 4 + x 2 + x +1) (x 7 + x + 1) = (x 6 + x 4 + x 2 + x + 1) + (x 7 + x 5 + x 3 + x 2 + x) + (x 13 + x 11 + x 9 + x 8 + x 7 ) = x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x Como se puede apreciar este polinomio es de grado mayor que 8 por lo que no pertenece a GF(2 8 ) y así la operación no se realiza a nivel de byte. Para remediar esto y conseguir que la multiplicación siga siendo una operación interna en GF(2 8 ) expresamos el resultado obtenido modulo m(x) (x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 + 1) mod m(x) = x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x mod (x 8 + x 4 + x 3 + x + 1) = x 7 + x Un caso destacado en cuanto a la multiplicación de polinomios en GF(2 8 ) es cuando nos surge la multiplicación de un polinomio b(x) de grado 7 por el polinomio c(x)= x a(x) b(x) = x (b 7 x 7 + b 6 x 6 + b 5 x 5 + b 4 x 4 + b 3 x 3 + b 2 x 2 + b 1 x 1 + b 0 ) = b 7 x 8 + b 6 x 7 + b 5 x 6 + b 4 x 5 + b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x

25 Como se puede apreciar, este polinomio no pertenece a GF(2 8 ) ya que su grado es 8. Para que la operación sea interna en GF(2 8 ) dividimos entre m(x) = x 8 + x 4 + x 3 + x + 1 como hemos visto anteriormente. Si el coeficiente b 7 de b(x) tiene valor 0, la operación será simplemente una función identidad de a(x) b(x) ya que, como el grado de este polinomio es menor que el grado de m(x) el resto de la división entre m(x) será el propio polinomio a(x) b(x). (b 7 x 8 + b 6 x 7 + b 5 x 6 + b 4 x 5 + b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x) mod (x 8 + x 4 + x 3 + x + 1) = b 7 x 8 + b 6 x 7 + b 5 x 6 + b 4 x 5 + b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x Si el coeficiente b 7 de b(x) tiene valor 1, la división de a(x) b(x) entre m(x) será en realidad una resta, ya que ambos polinomios tienen el mismo grado. (b 7 x 8 + b 6 x 7 + b 5 x 6 + b 4 x 5 + b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x) mod (x 8 + x 4 + x 3 + x + 1) = (b 7 x 8 + b 6 x 7 + b 5 x 6 + b 4 x 5 + b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x) (x 8 + x 4 + x 3 + x + 1) = b 6 x 7 + b 5 x 6 + b 4 x 5 + (b3 1)x4 + (b 2 1)x 3 + b 1 x 2 + (b 0 1)x 1 = b 6 x 7 + b 5 x 6 + b 4 x 5 + (b 3 +1)x4 + (b 2 +1)x 3 + b 1 x 2 + (b 0 +1)x + 1 Se puede apreciar que estas dos operaciones se pueden implementar con 4 funciones EXOR: 3 sobre los bits b 3, b 2, b 1 para la resta con los respectivos coeficientes de m(x), y una cuarta función EXOR que compruebe el valor del bit b 7 de b(x) para saber la operación a realizar, es decir, la función resta o la función identidad. A esta operación se le denota b = xtime(a). Si se aplica esta operación reiterativamente encontraremos una manera sencilla y fácil de implementar el producto de un polinomio por una potencia de x. b(x) x = xtime(b(x)) b(x) x 2 = (b(x) x) x = xtime(b(x)) x = xtime(xtime(b(x))) b(x) x 3 = (b(x) x 2 ) x = (xtime(xtime(b(x)))) x = xtime(xtime(xtime(b(x))))

26 5.2.2 REPRESENTACIÓN DE PALABRAS EN EL CAMPO GF(2 8 ) Recordemos que denotamos como palabra a un conjunto de bytes. En este sentido una palabra formada por cuatro bytes se puede representar como un polinomio de grado menor o igual que tres. a(x) = a 3 x 3 + a 2 x 2 + a 1 x + a 0 b(x) = b 3 x 3 + b 2 x 2 + b 1 x + b 0 La operación suma de polinomios se realiza mediante unas operaciones EXOR byte a byte, al igual que se hacía anteriormente al representar un byte mediante un polinomio de grado menor que 7. Esta operación es interna en GF(2 8 ) ya que la suma de dos polinomios de grado menor que 4 nos dará como resultado otro polinomio de grado menor que 4. En cuanto a la operación multiplicación, nos encontramos de nuevo con el problema del apartado anterior. La multiplicación puede no ser una operación interna en GF(2 8 ), por lo que el producto de dos palabras de 4 bytes puede no ser representable por una palabra de 4 bytes, es decir, mediante un polinomio de grado menor que 4. a(x) = a 3 x 3 + a 2 x 2 + a 1 x + a 0 b(x) = b 3 x 3 + b 2 x 2 + b 1 x + b 0 a(x) b(x) = c(x) = c 6 x 6 + c 5 x 5 + c 4 + c 3 x 3 + c 2 x 2 + c 1 x + c 0 donde c 0 = a 0 b 0 c 1 = a 1 b 0 a 0 b

27 c 2 = a 2 b 0 a 1 b 1 a 0 b 2 c 3 = a 3 b 0 a 2 b 1 a 1 b 2 a 0 b 3 c 4 = a 3 b 1 a 2 b 2 a 1 b 3 c 5 = a 3 b 2 a 2 b 3 c 6 = a 3 b 3 Para solucionar este contratiempo se ha propuesto una solución semejante a la del apartado anterior: el resultado de la operación multiplicación se expresa módulo un polinomio de grado 4. Los autores del algoritmo Rijndael han elegido el polinomio M(x) = x para tal fin. En este caso M(x) no es un polinomio irreducible como se le había exigido al anterior m(x). Esto va a provocar que algunas de las multiplicaciones que realicemos puedan dar un resultado que no tenga inverso. En el caso del algoritmo Rijndael este caso no se va a presentar nunca ya que siempre se multiplica por polinomios que poseen inverso. (a(x) b(x)) mod (x 4 + 1)= d(x) donde d(x) = d 3 x 3 + d 2 x 2 + d 1 x + d 0 Para hallar d 3, d 2, d 1, d 0 aplicamos una sencilla regla: x j mod (x4+1) = x j mod 4 Así obtenemos los siguientes valores: d 0 = a 0 b 0 a 3 b 1 a 2 b 2 a 1 b 3 d 1 = a 1 b 0 a 0 b 1 a 3 b 2 a 2 b 3 d 2 = a 2 b 0 a 1 b 1 a 0 b 2 a 3 b 3 d 3 = a 3 b 0 a 2 b 1 a 1 b 2 a 0 b 3 Otra forma de expresar esta operación es mediante el uso de matrices

28 Un caso especial de la multiplicación de polinomios es la multiplicación de un polinomio b(x) por el polinomio x b(x) = b 3 x 3 + b 2 x 2 + b 1 x + b 0 d(x) = x b(x) = b 3 x 4 + b 2 x 3 + b 1 x 2 + b 0 x Dividimos d(x) entre M(x)= x para obtener un polinomio de grado menor que cuatro c(x) = d(x) mod (x4 + 1) = b 2 x 3 + b 1 x 2 + b 0 x + b 3 Esta multiplicación también se puede expresar como el producto de dos matrices, de la misma forma que la matriz anterior pero cuyos elementos son sustituidos todos 00, a excepto los a 1,que se sustituyen por el valor 01 Al igual que en el caso de los polinomios de grado menor que siete, que representaban a los bits de un byte, si aplicamos reiterativamente esta multiplicación obtenemos una manera rápida y sencilla de multiplicar un polinomio por cualquier potencia de x. 5.3 Fundamentos del diseño de Rijndael = b b b b c c c c = b b b b a a a a a a a a a a a a a a a a d d d d

29 Los creadores del algoritmo se han basado en tres criterios fundamentales: Resistencia contra la totalidad de los ataques conocidos Velocidad, código compacto y operativo en un gran número de plataformas distintas Simplicidad de diseño Una de las diferencias más notables de Rijndael con respecto al resto de los algoritmos de cifrado existentes radica en que Rijndael no recurre a una estructura interna tipo Feistel. En una estructura tipo Feistel propiamente dicha, en cada una de las operaciones de cada vuelta los bits sufren una permutación pero la mayoría de estos bits permutan su lugar pero sin variar su valor, es decir, llegan a su nueva posición sin ninguna modificación de valor. En Rijndael, las transformaciones de cada vuelta se componen a su vez de otras tres transformaciones inversibles y distintas entre sí que reciben el nombre de layers (capas). Estas transformaciones están basadas en el principio de diseño llamado Wide Trail que otorga resistencia al algoritmo frente a ataques de tipo lineal y diferencial. Cada layer tiene su propia función específica dentro de esta estrategia: Layer mezcla lineal: garantiza una alta difusión sobre múltiples vueltas Layer no lineal: permite la aplicación paralela de S-Box para conseguir unas óptimas propiedades no lineales del peor caso Layer para la adicción de la clave: Es una función EXOR entre los bits del estado intermedio y la subclave correspondiente a ese estado. Antes de que se proceda a la primera vuelta del algoritmo, se aplica el layer para la adicción de la clave. Cualquier layer que apliquemos tras la última adicción de clave o antes de la primera en los ataques basados en textos en claro conocidos, puede ser descubierta sin conocer la clave y esto sería un fallo en la propia seguridad del algoritmo, como se puede apreciar en la permutación inicial y final del algoritmo DES. Este modo de actuación no es algo nuevo, ya que se aplica en algoritmo tales como IDEA o Blowfish