AES viene con tres tamaños de clave estándar (128, 192 y 256 bits). Muchas personas ven esto y piensan que si hay tres tamaños distintos en lugar de uno solo, entonces debe haber alguna diferencia, y dado que la versión de 256 bits es un poco más lenta que la versión de 128 bits (en aproximadamente un 40%), debe ser “más seguro”. Entonces van por “el más seguro” y eligen claves de 256 bits.
En realidad, el AES tiene tres tamaños de clave distintos porque ha sido elegido como un algoritmo federal de los EE. UU. Apto para ser utilizado en varias áreas bajo el control del gobierno federal de los EE. UU., Y eso incluye al Ejército de los EE. UU. El Ejército de EE. UU. Tiene una larga tradición de usar criptografía, y esa tradición cristalizó en regulación interna con toda la flexibilidad y sutileza que los ejércitos de todo el mundo demuestran constantemente (solo escucha algo de “música militar” y entenderás lo que quiero decir) . Desafortunadamente, esto sucedió hace bastante tiempo, antes de la invención de la computadora, y en ese momento la mayoría de los sistemas de cifrado podían romperse, y los más robustos también eran muy difíciles y lentos de usar. Entonces, a los finos cerebros militares se les ocurrió la idea de que debería haber tres “niveles de seguridad”, de modo que los secretos más importantes se encriptaran con los métodos pesados que merecían, pero los datos de menor valor táctico podrían encriptarse de manera más práctica, si es más débil, algoritmos.
Por lo tanto, estas regulaciones requieren tres niveles distintos. Sus diseñadores simplemente asumieron que el nivel inferior era necesariamente débil de alguna manera, pero la debilidad no era obligatoria . Entonces, el NIST decidió seguir formalmente las regulaciones (pedir tres tamaños clave) pero también hacer lo inteligente (el nivel más bajo tenía que ser irrompible con tecnología previsible). 128 bits son suficientes para la seguridad (vea esta respuesta para más detalles). Por lo tanto, AES acepta claves de 256 bits debido a la lasitud burocrática: era más fácil exigir algo un poco absurdo (una exageración del tamaño de la clave) que modificar las regulaciones militares.
- Si un país lanza un 'ataque cibernético' en los EE. UU. O Japón, ¿por qué no simplemente los desconectan de la red troncal?
- ¿Debería nuestro gobierno ayudar a proteger las empresas estadounidenses contra los piratas informáticos extranjeros?
- Quiero trabajar en el campo de la seguridad cibernética. ¿Qué debo comenzar a hacer? ¿Qué sería beneficioso?
- ¿Cuáles son los problemas de seguridad en el lenguaje C ++?
- ¿Qué es un troyano y cuántos tipos diferentes de virus y malware existen?
Ahora, para la parte más simplista: eres el eslabón más débil en el cifrado. ¿Por qué? Fácil contraseñas / frases de contraseña para confiar en su computadora en personas en las que no puede confiar al día siguiente (ex esposa, ex novia), hacer clic en un enlace para permitir que se instale spyware (key-logger) o ingresar su contraseña en un Starbucks que tiene cámaras de seguridad, por lo que un investigador experto puede obtener el video y verlo ingresar la contraseña. Entonces, en resumen, ten cuidado. La mayoría de las personas comprometidas no tienen cifrado, pero el usuario falla el cifrado al no utilizar buenas prácticas de seguridad de la información.