高级安全标准(Advanced Encryption Standard,AES)最近看起来好像被网络硬件和软件供应商广泛采用。这给网络管理员带来了一个有趣的难题,特别是那些对VPN设备和软件感兴趣的管理员。
在这个技巧文章中,我们将考察你应该关心的AES的特征,如果你正在考虑实施依靠这个标准的项目时,这将是非常重要的。
对于加密算法来说,安全和性能是最受人关注的两个主要方面。在第一个场合,我们有诞生于二十世纪七十年代的DES加密算法。在安全领域,一个协议能够生存这么长时间,一般说来是一件好事。不过对DES来说并不如此,它的弱点已经被展示了一次又一次,但它的后继者却长时间推迟。这些缺点包括对类型攻击的基础弱点,以及它过短的密钥长度,即使使用暴力攻击,也能够在很短的时间内取得效果。
通过许多途径,AES算法解决了这些问题,实际上,算法本身已经解决了DES加密算法遭受攻击出现的漏洞,至少现在来说,AES算法还没有为人所知的漏洞。并且使用真正的128-bit加密(与进行3倍56-bit加密,像3DES相对)甚至256-bit加密,使得向通过暴力攻击来破解加密(理论上)成为一个很大的问题。
但AES也有不利的方面,它也只是一个相对的新协议,同样,还没有安全研究人员花费他们所有的时间来破解此几面算法。我们应该能够在任何时候发现它所存在的弱点,并且能够找到新的攻击手段,至少理论上是这样。
当你考虑性能上要求时,AES同样在理论上具有优势,这种算法具有更高的效率,尤其是和3DES对比时。但是,与这些生存时间较长的加密算法相比,它在价值上还是处于劣势,因为硬件对AES加密算法的支持没有对老的3DES算法那么成熟。因此,你可能会发现在一些平台上,3DES的速度比AES-256更快(按照吞吐量),而另一些平台上,AES-256的速度却超过了3DES。你也许会怀疑,采用AES-128算法的设备通常情况下是快速的,并且总比采用AES-256算法的快。在对市场中不同的设备供应商所销售的设备进行一次快速检测后,我们发现吞吐量的区别通常在10%到30%。
因此总的来说,是到采用新的加密标准的时候了,它势必将在各种机构中大力推行。为额外的安全带来的表现花费是值得的,你将为新的支持AES加密算法的硬件设备准备好预算。记住,升级还能够带来性能上提升。总之,在挑选产品之前,一定要做好家庭作业,以对产品有个总体认识,这样才能够指导你的工作。
关于作者:Tom Lancaster,CCIE# 8829 CNX# 1105,是一个在网络产业方面具有15年工作经验的顾问,也是几本有关网络的书籍的作者之一,最近的是由Sybex出版的《CCSPTM: Secure PIX and Secure VPN Study Guide》。