# AES (Advanced Encryption Standard) ### **📋 Índice** 1. Fundamentos do AES 2. Estrutura Matemática 3. Modos de Operação 4. Implementação Prática 5. Ataques e Vulnerabilidades 6. Side-Channel Attacks 7. AES em Diferentes Arquiteturas 8. Ferramentas de Análise 9. Impacto e Consequências 10. Boas Práticas e Hardening 11. Checklists de Segurança *** ### 🔍 **Fundamentos do AES** #### **O que é AES?** **Advanced Encryption Standard (AES)** é um algoritmo de cifragem simétrica adotado pelo governo dos EUA em 2001. Baseado no algoritmo Rijndael, projetado por Joan Daemen e Vincent Rijmen, AES é atualmente o padrão mundial para criptografia simétrica. #### **Características Principais** ```yaml Especificações AES: Tamanho do bloco: 128 bits (16 bytes) Tamanhos de chave: 128, 192, ou 256 bits Rodadas: - AES-128: 10 rodadas - AES-192: 12 rodadas - AES-256: 14 rodadas Estrutura: SPN (Substitution-Permutation Network) Segurança: AES-128: 2^128 (~3.4×10^38) combinações AES-192: 2^192 (~6.2×10^57) combinações AES-256: 2^256 (~1.1×10^77) combinações Performance (software): AES-128: ~300 MB/s (CPU moderno) AES-256: ~250 MB/s (CPU moderno) AES-NI: ~2-3 GB/s (hardware) ``` #### **Evolução Histórica** ```mermaid timeline title Evolução do AES 1997 : NIST anuncia
competição AES 1998 : 15 algoritmos
candidatos 1999 : 5 finalistas
(MARS, RC6, Rijndael,
Serpent, Twofish) 2000 : Rijndael é
selecionado 2001 : FIPS 197 publicado
AES se torna padrão 2002 : AES é aprovado
para dados
classificados (NSA) ``` #### **Comparação com Outros Algoritmos** | Algoritmo | Tamanho Bloco | Tamanho Chave | Rodadas | Velocidade | Segurança | | ------------ | ------------- | ------------- | ------- | ----------- | ------------ | | **AES-128** | 128 bits | 128 bits | 10 | Alta | ✅ Alta | | **AES-192** | 128 bits | 192 bits | 12 | Média | ✅ Alta | | **AES-256** | 128 bits | 256 bits | 14 | Média | ✅ Muito Alta | | **DES** | 64 bits | 56 bits | 16 | Baixa | ❌ Quebrado | | **3DES** | 64 bits | 168 bits | 48 | Muito Baixa | ⚠️ Fraca | | **ChaCha20** | 512 bits | 256 bits | 20 | Muito Alta | ✅ Alta | *** ### 🧮 **Estrutura Matemática** #### **Campos de Galois (GF(2^8))** ```python #!/usr/bin/env python3 # aes_galois.py - Campos de Galois no AES class GaloisField: """Implementação de GF(2^8) usado no AES""" # Polinômio irredutível: x^8 + x^4 + x^3 + x + 1 IRREDUCIBLE = 0x11B # 100011011 em binário @staticmethod def mul(a, b): """Multiplicação em GF(2^8)""" result = 0 for _ in range(8): if b & 1: result ^= a high_bit = a & 0x80 a = (a << 1) & 0xFF if high_bit: a ^= GaloisField.IRREDUCIBLE b >>= 1 return result @staticmethod def inverse(x): """Inverso multiplicativo em GF(2^8)""" # Algoritmo estendido de Euclides if x == 0: return 0 # Tabela pré-calculada para performance inverse_table = [ 0x00, 0x01, 0x8D, 0xF6, 0xCB, 0x52, 0x7B, 0xD1, 0xE8, 0x4F, 0x29, 0xC0, 0xB0, 0xE1, 0xE5, 0xC7, # ... tabela completa ] return inverse_table[x] if x < 256 else 0 @staticmethod def print_table(): """Imprimir tabela de multiplicação""" print("Tabela de multiplicação GF(2^8) (parcial):") for i in range(16): row = [] for j in range(16): row.append(f"{GaloisField.mul(i, j):02x}") print(f" {' '.join(row)}") # Executar print("🔢 Campos de Galois no AES") print("=" * 60) GaloisField.print_table() ``` #### **SubBytes (S-Box)** ```python #!/usr/bin/env python3 # aes_sbox.py - S-Box do AES class AES_SBox: """Implementação da S-Box do AES""" # S-Box (Substitution Box) SBOX = [ 0x63, 0x7c, 0x77, 0x7b, 0xf2, 0x6b, 0x6f, 0xc5, 0x30, 0x01, 0x67, 0x2b, 0xfe, 0xd7, 0xab, 0x76, 0xca, 0x82, 0xc9, 0x7d, 0xfa, 0x59, 0x47, 0xf0, 0xad, 0xd4, 0xa2, 0xaf, 0x9c, 0xa4, 0x72, 0xc0, 0xb7, 0xfd, 0x93, 0x26, 0x36, 0x3f, 0xf7, 0xcc, 0x34, 0xa5, 0xe5, 0xf1, 0x71, 0xd8, 0x31, 0x15, 0x04, 0xc7, 0x23, 0xc3, 0x18, 0x96, 0x05, 0x9a, 0x07, 0x12, 0x80, 0xe2, 0xeb, 0x27, 0xb2, 0x75, 0x09, 0x83, 0x2c, 0x1a, 0x1b, 0x6e, 0x5a, 0xa0, 0x52, 0x3b, 0xd6, 0xb3, 0x29, 0xe3, 0x2f, 0x84, 0x53, 0xd1, 0x00, 0xed, 0x20, 0xfc, 0xb1, 0x5b, 0x6a, 0xcb, 0xbe, 0x39, 0x4a, 0x4c, 0x58, 0xcf, 0xd0, 0xef, 0xaa, 0xfb, 0x43, 0x4d, 0x33, 0x85, 0x45, 0xf9, 0x02, 0x7f, 0x50, 0x3c, 0x9f, 0xa8, 0x51, 0xa3, 0x40, 0x8f, 0x92, 0x9d, 0x38, 0xf5, 0xbc, 0xb6, 0xda, 0x21, 0x10, 0xff, 0xf3, 0xd2, 0xcd, 0x0c, 0x13, 0xec, 0x5f, 0x97, 0x44, 0x17, 0xc4, 0xa7, 0x7e, 0x3d, 0x64, 0x5d, 0x19, 0x73, 0x60, 0x81, 0x4f, 0xdc, 0x22, 0x2a, 0x90, 0x88, 0x46, 0xee, 0xb8, 0x14, 0xde, 0x5e, 0x0b, 0xdb, 0xe0, 0x32, 0x3a, 0x0a, 0x49, 0x06, 0x24, 0x5c, 0xc2, 0xd3, 0xac, 0x62, 0x91, 0x95, 0xe4, 0x79, 0xe7, 0xc8, 0x37, 0x6d, 0x8d, 0xd5, 0x4e, 0xa9, 0x6c, 0x56, 0xf4, 0xea, 0x65, 0x7a, 0xae, 0x08, 0xba, 0x78, 0x25, 0x2e, 0x1c, 0xa6, 0xb4, 0xc6, 0xe8, 0xdd, 0x74, 0x1f, 0x4b, 0xbd, 0x8b, 0x8a, 0x70, 0x3e, 0xb5, 0x66, 0x48, 0x03, 0xf6, 0x0e, 0x61, 0x35, 0x57, 0xb9, 0x86, 0xc1, 0x1d, 0x9e, 0xe1, 0xf8, 0x98, 0x11, 0x69, 0xd9, 0x8e, 0x94, 0x9b, 0x1e, 0x87, 0xe9, 0xce, 0x55, 0x28, 0xdf, 0x8c, 0xa1, 0x89, 0x0d, 0xbf, 0xe6, 0x42, 0x68, 0x41, 0x99, 0x2d, 0x0f, 0xb0, 0x54, 0xbb, 0x16 ] # Inverse S-Box INV_SBOX = [0] * 256 @staticmethod def init_inv_sbox(): """Inicializar inverse S-Box""" for i in range(256): AES_SBox.INV_SBOX[AES_SBox.SBOX[i]] = i @staticmethod def sub_bytes(state): """Aplicar SubBytes a um estado de 16 bytes""" return [AES_SBox.SBOX[b] for b in state] @staticmethod def inv_sub_bytes(state): """Aplicar inverse SubBytes""" return [AES_SBox.INV_SBOX[b] for b in state] @staticmethod def print_sbox(): """Imprimir S-Box""" print("S-Box do AES:") for i in range(16): row = [f"{AES_SBox.SBOX[i*16 + j]:02x}" for j in range(16)] print(f" {' '.join(row)}") # Inicializar AES_SBox.init_inv_sbox() AES_SBox.print_sbox() ``` #### **ShiftRows e MixColumns** ```python #!/usr/bin/env python3 # aes_shift_mix.py - ShiftRows e MixColumns class AES_ShiftMix: """Implementação de ShiftRows e MixColumns""" @staticmethod def shift_rows(state): """ShiftRows - desloca linhas do estado""" # state é uma lista de 16 bytes (matriz 4x4) result = [0] * 16 # Linha 0: sem shift result[0] = state[0] result[4] = state[4] result[8] = state[8] result[12] = state[12] # Linha 1: shift 1 posição result[1] = state[5] result[5] = state[9] result[9] = state[13] result[13] = state[1] # Linha 2: shift 2 posições result[2] = state[10] result[6] = state[14] result[10] = state[2] result[14] = state[6] # Linha 3: shift 3 posições result[3] = state[15] result[7] = state[3] result[11] = state[7] result[15] = state[11] return result @staticmethod def inv_shift_rows(state): """Inverse ShiftRows""" result = [0] * 16 # Linha 0: sem shift result[0] = state[0] result[4] = state[4] result[8] = state[8] result[12] = state[12] # Linha 1: shift -1 posição result[1] = state[13] result[5] = state[1] result[9] = state[5] result[13] = state[9] # Linha 2: shift -2 posições result[2] = state[10] result[6] = state[14] result[10] = state[2] result[14] = state[6] # Linha 3: shift -3 posições result[3] = state[7] result[7] = state[11] result[11] = state[15] result[15] = state[3] return result @staticmethod def xtime(x): """Multiplicação por x em GF(2^8)""" return ((x << 1) ^ (0x1B if (x & 0x80) else 0)) & 0xFF @staticmethod def mix_columns(state): """MixColumns - mistura colunas do estado""" result = [0] * 16 for c in range(4): # Para cada coluna col = c * 4 s0, s1, s2, s3 = state[col:col+4] result[col] = AES_ShiftMix.xtime(s0) ^ AES_ShiftMix.xtime(s1) ^ s1 ^ s2 ^ s3 result[col+1] = s0 ^ AES_ShiftMix.xtime(s1) ^ AES_ShiftMix.xtime(s2) ^ s2 ^ s3 result[col+2] = s0 ^ s1 ^ AES_ShiftMix.xtime(s2) ^ AES_ShiftMix.xtime(s3) ^ s3 result[col+3] = AES_ShiftMix.xtime(s0) ^ s0 ^ s1 ^ s2 ^ AES_ShiftMix.xtime(s3) return result @staticmethod def inv_mix_columns(state): """Inverse MixColumns""" result = [0] * 16 for c in range(4): col = c * 4 s0, s1, s2, s3 = state[col:col+4] result[col] = AES_ShiftMix.xtime(AES_ShiftMix.xtime(AES_ShiftMix.xtime(s0) ^ AES_ShiftMix.xtime(s1) ^ s2 ^ s3) ^ AES_ShiftMix.xtime(s0) ^ s0 ^ s1) ^ AES_ShiftMix.xtime(AES_ShiftMix.xtime(AES_ShiftMix.xtime(s0) ^ AES_ShiftMix.xtime(s1) ^ s2 ^ s3) ^ AES_ShiftMix.xtime(s0) ^ s0 ^ s1) # ... implementação completa omitida para brevidade return result # Demonstração state = list(range(16)) print("Estado original:", [f"{x:02x}" for x in state]) shifted = AES_ShiftMix.shift_rows(state) print("Após ShiftRows:", [f"{x:02x}" for x in shifted]) ``` *** ### 🔄 **Modos de Operação** #### **Comparação dos Modos** ```python #!/usr/bin/env python3 # aes_modes.py - Modos de operação AES import os from Crypto.Cipher import AES class AESModes: """Implementação e análise dos modos de operação""" @staticmethod def ecb_mode(key, plaintext): """ECB - Electronic Codebook (inseguro)""" cipher = AES.new(key, AES.MODE_ECB) ciphertext = cipher.encrypt(plaintext) return ciphertext @staticmethod def cbc_mode(key, plaintext, iv): """CBC - Cipher Block Chaining""" cipher = AES.new(key, AES.MODE_CBC, iv) ciphertext = cipher.encrypt(plaintext) return ciphertext @staticmethod def ctr_mode(key, plaintext, nonce): """CTR - Counter (modo stream)""" cipher = AES.new(key, AES.MODE_CTR, nonce=nonce) ciphertext = cipher.encrypt(plaintext) return ciphertext @staticmethod def gcm_mode(key, plaintext, iv): """GCM - Galois/Counter Mode (autenticado)""" cipher = AES.new(key, AES.MODE_GCM, nonce=iv) ciphertext, tag = cipher.encrypt_and_digest(plaintext) return ciphertext, tag # Demonstração key = os.urandom(32) # AES-256 iv = os.urandom(16) plaintext = b"Secret message" * 10 print("Modos de Operação AES") print("=" * 60) print(f"Chave: {key.hex()[:16]}...") print(f"IV/Nonce: {iv.hex()}") print(f"Plaintext: {plaintext[:32]}...") ``` #### **Vantagens e Desvantagens** ```yaml ECB (Electronic Codebook): ✅ Simples, paralelizável ❌ Padrões visíveis em blocos iguais ❌ Inseguro para dados com repetição CBC (Cipher Block Chaining): ✅ Mais seguro que ECB ✅ Paralelizável apenas na decriptação ❌ Requer IV aleatório e imprevisível CTR (Counter): ✅ Modo stream (não precisa padding) ✅ Paralelizável ❌ Não autenticado GCM (Galois/Counter Mode): ✅ Autenticado (AEAD) ✅ Paralelizável ✅ Recomendado para TLS 1.3 ❌ Mais complexo CCM (Counter with CBC-MAC): ✅ Autenticado ✅ Combina CTR + CBC-MAC ❌ Menos eficiente que GCM ``` *** ### 💻 **Implementação Prática** #### **AES Completo em Python** ```python #!/usr/bin/env python3 # aes_implementation.py - Implementação completa do AES import os from typing import List class AES: """Implementação completa do AES-128/192/256""" # S-Box e Rcon SBOX = [...] # (tabela completa) RCON = [0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36] def __init__(self, key: bytes): self.key = key self.Nk = len(key) // 4 # Número de palavras na chave self.Nr = {128: 10, 192: 12, 256: 14}[len(key) * 8] # Número de rodadas self._key_expansion() def _key_expansion(self): """Expansão da chave (Key Schedule)""" self.w = [0] * (4 * (self.Nr + 1)) for i in range(self.Nk): self.w[i] = self._bytes_to_word(self.key[4*i:4*(i+1)]) for i in range(self.Nk, 4 * (self.Nr + 1)): temp = self.w[i-1] if i % self.Nk == 0: temp = self._sub_word(self._rot_word(temp)) ^ self.RCON[i//self.Nk - 1] elif self.Nk > 6 and i % self.Nk == 4: temp = self._sub_word(temp) self.w[i] = self.w[i - self.Nk] ^ temp def _sub_word(self, word: int) -> int: """Substituição de palavra via S-Box""" result = 0 for i in range(4): byte = (word >> (24 - 8*i)) & 0xFF result = (result << 8) | self.SBOX[byte] return result def _rot_word(self, word: int) -> int: """Rotação de palavra""" return ((word << 8) | (word >> 24)) & 0xFFFFFFFF def _bytes_to_word(self, bytes_arr: bytes) -> int: """Converter 4 bytes em palavra""" return (bytes_arr[0] << 24) | (bytes_arr[1] << 16) | (bytes_arr[2] << 8) | bytes_arr[3] def encrypt_block(self, plaintext: bytes) -> bytes: """Cifrar um bloco de 16 bytes""" if len(plaintext) != 16: raise ValueError("Plaintext must be 16 bytes") state = list(plaintext) # Rodada inicial state = self._add_round_key(state, 0) # Rodadas intermediárias for round in range(1, self.Nr): state = self._sub_bytes(state) state = self._shift_rows(state) state = self._mix_columns(state) state = self._add_round_key(state, round) # Rodada final state = self._sub_bytes(state) state = self._shift_rows(state) state = self._add_round_key(state, self.Nr) return bytes(state) def decrypt_block(self, ciphertext: bytes) -> bytes: """Decifrar um bloco de 16 bytes""" if len(ciphertext) != 16: raise ValueError("Ciphertext must be 16 bytes") state = list(ciphertext) # Rodada inicial state = self._add_round_key(state, self.Nr) # Rodadas intermediárias for round in range(self.Nr - 1, 0, -1): state = self._inv_shift_rows(state) state = self._inv_sub_bytes(state) state = self._add_round_key(state, round) state = self._inv_mix_columns(state) # Rodada final state = self._inv_shift_rows(state) state = self._inv_sub_bytes(state) state = self._add_round_key(state, 0) return bytes(state) def _add_round_key(self, state: List[int], round: int) -> List[int]: """AddRoundKey - XOR com chave da rodada""" for i in range(16): key_byte = (self.w[round * 4 + i // 4] >> (24 - 8 * (i % 4))) & 0xFF state[i] ^= key_byte return state def _sub_bytes(self, state: List[int]) -> List[int]: """SubBytes""" return [self.SBOX[b] for b in state] def _inv_sub_bytes(self, state: List[int]) -> List[int]: """Inverse SubBytes""" inv_sbox = [0] * 256 for i, val in enumerate(self.SBOX): inv_sbox[val] = i return [inv_sbox[b] for b in state] def _shift_rows(self, state: List[int]) -> List[int]: """ShiftRows""" result = [0] * 16 result[0] = state[0] result[4] = state[4] result[8] = state[8] result[12] = state[12] result[1] = state[5] result[5] = state[9] result[9] = state[13] result[13] = state[1] result[2] = state[10] result[6] = state[14] result[10] = state[2] result[14] = state[6] result[3] = state[15] result[7] = state[3] result[11] = state[7] result[15] = state[11] return result def _inv_shift_rows(self, state: List[int]) -> List[int]: """Inverse ShiftRows""" result = [0] * 16 result[0] = state[0] result[4] = state[4] result[8] = state[8] result[12] = state[12] result[1] = state[13] result[5] = state[1] result[9] = state[5] result[13] = state[9] result[2] = state[10] result[6] = state[14] result[10] = state[2] result[14] = state[6] result[3] = state[7] result[7] = state[11] result[11] = state[15] result[15] = state[3] return result def _mix_columns(self, state: List[int]) -> List[int]: """MixColumns""" result = [0] * 16 for c in range(4): idx = c * 4 s0, s1, s2, s3 = state[idx:idx+4] result[idx] = self._gf_mul(0x02, s0) ^ self._gf_mul(0x03, s1) ^ s2 ^ s3 result[idx+1] = s0 ^ self._gf_mul(0x02, s1) ^ self._gf_mul(0x03, s2) ^ s3 result[idx+2] = s0 ^ s1 ^ self._gf_mul(0x02, s2) ^ self._gf_mul(0x03, s3) result[idx+3] = self._gf_mul(0x03, s0) ^ s1 ^ s2 ^ self._gf_mul(0x02, s3) return result def _inv_mix_columns(self, state: List[int]) -> List[int]: """Inverse MixColumns""" result = [0] * 16 for c in range(4): idx = c * 4 s0, s1, s2, s3 = state[idx:idx+4] result[idx] = self._gf_mul(0x0E, s0) ^ self._gf_mul(0x0B, s1) ^ self._gf_mul(0x0D, s2) ^ self._gf_mul(0x09, s3) result[idx+1] = self._gf_mul(0x09, s0) ^ self._gf_mul(0x0E, s1) ^ self._gf_mul(0x0B, s2) ^ self._gf_mul(0x0D, s3) result[idx+2] = self._gf_mul(0x0D, s0) ^ self._gf_mul(0x09, s1) ^ self._gf_mul(0x0E, s2) ^ self._gf_mul(0x0B, s3) result[idx+3] = self._gf_mul(0x0B, s0) ^ self._gf_mul(0x0D, s1) ^ self._gf_mul(0x09, s2) ^ self._gf_mul(0x0E, s3) return result @staticmethod def _gf_mul(a: int, b: int) -> int: """Multiplicação em GF(2^8)""" result = 0 for _ in range(8): if b & 1: result ^= a high_bit = a & 0x80 a = (a << 1) & 0xFF if high_bit: a ^= 0x1B b >>= 1 return result # Teste key = os.urandom(32) # AES-256 plaintext = b"Hello, World!12" aes = AES(key) ciphertext = aes.encrypt_block(plaintext) decrypted = aes.decrypt_block(ciphertext) print("AES Implementation Test") print("=" * 60) print(f"Key: {key.hex()}") print(f"Plaintext: {plaintext}") print(f"Ciphertext: {ciphertext.hex()}") print(f"Decrypted: {decrypted}") print(f"Success: {plaintext == decrypted}") ``` *** ### ⚔️ **Ataques e Vulnerabilidades** #### **Ataques Conhecidos ao AES** ```yaml Ataques Criptoanalíticos: 🔴 Side-Channel Attacks: - Timing attacks - Cache attacks (Prime+Probe, Flush+Reload) - Power analysis (SPA, DPA) - Electromagnetic analysis 🟠 Algebraic Attacks: - XSL attack (não prático) - Biclique attack (redução marginal) - Meet-in-the-middle 🟡 Key Recovery: - Brute force (inviável para AES-128+) - Related-key attacks (apenas para implementações fracas) 🟢 Practical Attacks: - Padding oracle (CBC mode) - IV reuse (CTR/GCM) - Key extraction via memory disclosure (Heartbleed-style) ``` #### **Padding Oracle Attack (CBC)** ```python #!/usr/bin/env python3 # padding_oracle.py - Ataque Padding Oracle (CBC) import os from Crypto.Cipher import AES class PaddingOracleAttack: """Demonstração do ataque Padding Oracle""" @staticmethod def vulnerable_decrypt(ciphertext, key, iv): """Implementação vulnerável com padding oracle""" cipher = AES.new(key, AES.MODE_CBC, iv) try: plaintext = cipher.decrypt(ciphertext) # Verifica padding PKCS#7 padding_len = plaintext[-1] if padding_len <= 16 and all(b == padding_len for b in plaintext[-padding_len:]): return True # Padding válido return False # Padding inválido except: return False @staticmethod def exploit_padding_oracle(ciphertext, key, iv): """Explorar padding oracle para decifrar""" print("[*] Padding Oracle Attack (demonstração)") # Em um ataque real, o atacante manipula bytes # e observa a resposta do padding oracle block_size = 16 blocks = [ciphertext[i:i+block_size] for i in range(0, len(ciphertext), block_size)] print(f" Blocos: {len(blocks)}") print(" O atacante pode decifrar um byte por vez") print(" Modificando o ciphertext e observando o padding oracle") return None # Demonstração key = os.urandom(16) iv = os.urandom(16) plaintext = b"Secret message!!" # 16 bytes cipher = AES.new(key, AES.MODE_CBC, iv) ciphertext = cipher.encrypt(plaintext) print("Padding Oracle Attack") print("=" * 60) PaddingOracleAttack.exploit_padding_oracle(ciphertext, key, iv) ``` *** ### 🔬 **Side-Channel Attacks** #### **Cache Timing Attack** ```c // cache_timing_attack.c - Ataque de tempo via cache #include #include #include #include // Tabela de lookup para S-Box (vulnerável a cache timing) uint8_t sbox[256] = { // S-Box do AES... }; // Função vulnerável (lookup table) uint8_t vulnerable_lookup(uint8_t byte) { return sbox[byte]; // Acesso à memória baseado no byte secreto } // Função de medição de tempo uint64_t measure_access_time(volatile uint8_t *addr) { uint64_t start = __rdtsc(); *addr; uint64_t end = __rdtsc(); return end - start; } // Flush+Reload attack void flush_reload_attack() { printf("Flush+Reload Attack:\n"); printf(" 1. Flush da cache line da S-Box\n"); printf(" 2. Aguardar vítima acessar S-Box\n"); printf(" 3. Medir tempo de reload\n"); printf(" 4. Inferir qual entrada foi acessada\n"); printf(" 5. Recuperar o byte secreto\n"); } int main() { printf("Cache Timing Attack on AES\n"); printf("=" * 60); flush_reload_attack(); return 0; } ``` #### **Power Analysis Attack** ```python #!/usr/bin/env python3 # power_analysis.py - Análise de consumo de energia import numpy as np import matplotlib.pyplot as plt class PowerAnalysis: """Simulação de ataque de análise de potência""" @staticmethod def simulate_power_trace(plaintext, key_guess): """Simular traço de potência para uma chave candidata""" # Modelo de potência baseado em Hamming weight sbox_output = AES_SBox.SBOX[plaintext ^ key_guess] power = bin(sbox_output).count('1') # Hamming weight # Adicionar ruído noise = np.random.normal(0, 0.5) return power + noise @staticmethod def differential_power_analysis(traces, plaintexts): """DPA - Differential Power Analysis""" print("[*] Differential Power Analysis (simulação)") key_guesses = range(256) correlations = [] for guess in key_guesses: # Calcular correlação entre traços e modelo power_model = [] for pt in plaintexts: sbox_out = AES_SBox.SBOX[pt ^ guess] power_model.append(bin(sbox_out).count('1')) # Correlação de Pearson correlation = np.corrcoef(power_model, traces)[0,1] correlations.append(correlation) best_guess = np.argmax(correlations) print(f" Melhor chave candidata: 0x{best_guess:02x}") print(f" Correlação: {max(correlations):.3f}") return best_guess # Simulação plaintexts = [0x41] * 1000 traces = [PowerAnalysis.simulate_power_trace(0x41, 0x42) for _ in range(1000)] PowerAnalysis.differential_power_analysis(traces, plaintexts) ``` *** ### 🖥️ **AES em Diferentes Arquiteturas** #### **AES-NI (Intel/AMD)** ```assembly ; aes_ni_example.asm - AES usando instruções AES-NI section .text global aes_encrypt_ni ; void aes_encrypt_ni(const uint8_t* plaintext, const uint8_t* key, uint8_t* ciphertext) aes_encrypt_ni: ; Carregar chave movdqu xmm1, [rsi] ; Carregar chave para xmm1 ; Carregar plaintext movdqu xmm0, [rdi] ; Carregar plaintext para xmm0 ; AES encryption aesenc xmm0, xmm1 ; Última rodada (AESENC) aesenclast xmm0, xmm1 ; Rodada final (AESENCLAST) ; Salvar ciphertext movdqu [rdx], xmm0 ; Salvar resultado ret ; Comparação de performance ; AES-NI: ~3 GB/s ; Software: ~300 MB/s ``` #### **ARM Crypto Extensions** ```c // arm_crypto.c - AES usando ARMv8 Crypto Extensions #include #include // AES-128 usando instruções ARM uint8x16_t aes_encrypt_arm(uint8x16_t plaintext, uint8x16_t key) { // AESE (encryption) e AESMC (mix columns) uint8x16_t state = vaeseq_u8(plaintext, key); state = vaesmcq_u8(state); state = vaeseq_u8(state, key); state = vaesmcq_u8(state); // ... rodadas adicionais state = vaeseq_u8(state, key); state = veorq_u8(state, key); // Rodada final return state; } // Performance: ~2 GB/s em Cortex-A76 ``` *** ### 🛠️ **Ferramentas de Análise** #### **Ferramentas para Análise de AES** ```bash #!/bin/bash # aes_tools.sh - Ferramentas para análise de AES # 1. OpenSSL para testes echo "=== OpenSSL AES Tests ===" # Encriptar openssl enc -aes-256-cbc -in plain.txt -out encrypted.bin -pass pass:123456 # Decriptar openssl enc -d -aes-256-cbc -in encrypted.bin -out decrypted.txt -pass pass:123456 # 2. GnuTLS utils echo "\n=== GnuTLS Utilities ===" gnutls-cli --benchmark-tls # 3. Crypto++ benchmarks echo "\n=== Crypto++ Benchmarks ===" cryptest b # 4. Python cryptography echo "\n=== Python Cryptography ===" python3 -c "from cryptography.hazmat.primitives.ciphers import Cipher; print('OK')" # 5. Timing analysis echo "\n=== Timing Analysis ===" # Compilar com diferentes otimizações gcc -O0 -o aes_slow aes_test.c gcc -O3 -o aes_fast aes_test.c # Medir tempo time ./aes_slow time ./aes_fast # 6. Cache analysis echo "\n=== Cache Analysis ===" perf stat -e cache-misses,cache-references ./aes_test ``` #### **Script de Benchmark** ```python #!/usr/bin/env python3 # aes_benchmark.py - Benchmark de implementações AES import time import os from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes from cryptography.hazmat.backends import default_backend class AESBenchmark: """Benchmark de diferentes implementações AES""" @staticmethod def benchmark_cryptography(size_mb=100): """Benchmark da biblioteca cryptography""" print(f"[*] Benchmark cryptography ({size_mb} MB)") key = os.urandom(32) iv = os.urandom(16) data = os.urandom(size_mb * 1024 * 1024) cipher = Cipher(algorithms.AES(key), modes.CTR(iv), backend=default_backend()) encryptor = cipher.encryptor() start = time.perf_counter() ciphertext = encryptor.update(data) + encryptor.finalize() end = time.perf_counter() elapsed = end - start speed = size_mb / elapsed print(f" Tempo: {elapsed:.2f}s") print(f" Velocidade: {speed:.2f} MB/s") return speed @staticmethod def benchmark_pycrypto(size_mb=100): """Benchmark de PyCryptodome""" print(f"[*] Benchmark PyCryptodome ({size_mb} MB)") try: from Crypto.Cipher import AES key = os.urandom(32) iv = os.urandom(16) data = os.urandom(size_mb * 1024 * 1024) cipher = AES.new(key, AES.MODE_CTR, nonce=iv) start = time.perf_counter() ciphertext = cipher.encrypt(data) end = time.perf_counter() elapsed = end - start speed = size_mb / elapsed print(f" Tempo: {elapsed:.2f}s") print(f" Velocidade: {speed:.2f} MB/s") return speed except ImportError: print(" PyCryptodome não instalado") return 0 @staticmethod def run_benchmarks(): """Executar todos os benchmarks""" print("AES Performance Benchmark") print("=" * 60) results = {} # cryptography results['cryptography'] = AESBenchmark.benchmark_cryptography(50) # PyCryptodome results['pycrypto'] = AESBenchmark.benchmark_pycrypto(50) print("\n📊 Resumo:") for name, speed in results.items(): if speed > 0: print(f" {name}: {speed:.2f} MB/s") # Executar AESBenchmark.run_benchmarks() ``` *** ### 📋 **Boas Práticas e Hardening** #### **Recomendações de Segurança** ```yaml Boas Práticas AES: ✅ Escolha da Chave: - AES-256 para dados sensíveis - AES-128 para performance - Nunca usar AES-192 (inseguro) ✅ Modos de Operação: - Usar GCM ou CCM (autenticado) - Evitar ECB - Usar CTR para streaming ✅ IV/Nonce: - Sempre aleatório e imprevisível - Nunca reutilizar IV/Nonce - Tamanho: 12 bytes para GCM ✅ Implementação: - Usar bibliotecas auditadas - Evitar implementações caseiras - AES-NI/ARM Crypto quando disponível ✅ Key Management: - Armazenar chaves em HSMs - Rotacionar chaves periodicamente - Usar KDF para derivar chaves ``` #### **Implementação Segura** ```python #!/usr/bin/env python3 # aes_secure.py - Implementação segura de AES import os from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2 from cryptography.hazmat.primitives import hashes from cryptography.hazmat.backends import default_backend class SecureAES: """Implementação segura de AES com GCM""" def __init__(self, password: bytes, salt: bytes = None): if salt is None: salt = os.urandom(16) # Derivação de chave (PBKDF2) kdf = PBKDF2( algorithm=hashes.SHA256(), length=32, # AES-256 salt=salt, iterations=100000, backend=default_backend() ) self.key = kdf.derive(password) self.salt = salt def encrypt(self, plaintext: bytes) -> bytes: """Cifrar com autenticação (AES-256-GCM)""" iv = os.urandom(12) # Nonce de 12 bytes para GCM cipher = Cipher( algorithms.AES(self.key), modes.GCM(iv), backend=default_backend() ) encryptor = cipher.encryptor() ciphertext = encryptor.update(plaintext) + encryptor.finalize() tag = encryptor.tag # Formato: salt (16) + iv (12) + tag (16) + ciphertext return self.salt + iv + tag + ciphertext def decrypt(self, ciphertext: bytes) -> bytes: """Decifrar com verificação de autenticação""" # Extrair componentes salt = ciphertext[:16] iv = ciphertext[16:28] tag = ciphertext[28:44] encrypted = ciphertext[44:] # Derivar chave novamente kdf = PBKDF2( algorithm=hashes.SHA256(), length=32, salt=salt, iterations=100000, backend=default_backend() ) key = kdf.derive(self.key) # Nota: precisa da senha original cipher = Cipher( algorithms.AES(key), modes.GCM(iv, tag), backend=default_backend() ) decryptor = cipher.decryptor() plaintext = decryptor.update(encrypted) + decryptor.finalize() return plaintext # Demonstração password = b"my_secure_password" plaintext = b"This is a secret message" aes = SecureAES(password) ciphertext = aes.encrypt(plaintext) decrypted = aes.decrypt(ciphertext) print("Secure AES Implementation") print("=" * 60) print(f"Plaintext: {plaintext}") print(f"Ciphertext: {ciphertext.hex()[:32]}...") print(f"Decrypted: {decrypted}") print(f"Success: {plaintext == decrypted}") ``` *** ### 📋 **Checklists de Segurança** #### **Checklist para Desenvolvedores** * [ ] Usar AES-256 em vez de AES-128 para dados sensíveis * [ ] Sempre usar modo autenticado (GCM/CCM) * [ ] Gerar IV/Nonce aleatório e único * [ ] Nunca reutilizar IV/Nonce * [ ] Usar KDF robusto (PBKDF2, bcrypt, Argon2) * [ ] Proteger chaves em memória (zero após uso) * [ ] Implementar rotação de chaves * [ ] Usar bibliotecas auditadas (OpenSSL, Crypto++, cryptography) #### **Checklist para Auditores** * [ ] Verificar modo de operação (evitar ECB) * [ ] Analisar geração de IV/Nonce * [ ] Testar reutilização de IV * [ ] Verificar implementação de padding (CBC) * [ ] Testar side-channel vulnerabilities * [ ] Auditar key management * [ ] Verificar uso de constant-time comparisons *** ### 📊 **Conclusão** ```yaml AES (Advanced Encryption Standard): ✅ Pontos Fortes: - Segurança comprovada (20+ anos) - Performance excelente - Suporte em hardware (AES-NI) - Padrão global ⚠️ Pontos Fracos: - Vulnerável a side-channel attacks - Modos inseguros (ECB, CBC sem autenticação) - Key management complexo 🎯 Recomendações: - Usar AES-256-GCM - Implementações constant-time - Key rotation regular - Proteção de chaves em memória ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/criptografia/simetrica/aes-advanced-encryption-standard.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.