Entendiendo AES
El Estandar de Cifrado Avanzado (AES) fue establecido por el Instituto Nacional de Estandares y Tecnología (NIST) de EE.UU. en 2001 tras un proceso de selección de cinco años. Reemplazo al envejecido Estandar de Cifrado de Datos (DES) y se basa en el cifrado Rijndael diseñado por los criptografos belgas Joan Daemen y Vincent Rijmen. AES opera en bloques fijos de 128 bits y soporta longitudes de clave de 128, 192 y 256 bits.
Modos de operación de cifrado por bloques
AES por si solo solo cifra un único bloque de 128 bits. Para manejar mensajes de longitud arbitraria, se necesita un modo de operación. CBC (Encadenamiento de Bloques de Cifrado) aplica XOR a cada bloque de texto plano con el bloque de texto cifrado anterior antes del cifrado, creando una cadena. GCM (Modo Galois/Contador) usa cifrado basado en contador con una multiplicación de campo de Galois para autenticación, proporcionando confidencialidad e integridad sin necesidad de un paso HMAC separado.
Mejores prácticas de gestión de claves
La seguridad de AES depende enteramente de mantener la clave en secreto y usarla correctamente. Nunca reutilices un IV con la misma clave; para AES-GCM esto es catastrofico ya que puede filtrar la clave de autenticación. Genera claves usando un generador de números aleatorios criptograficamente seguro. Almacena las claves separadamente de los datos cifrados, idealmente en un módulo de seguridad de hardware (HSM) o un servicio dedicado de gestión de claves.
AES en aplicaciones modernas
AES es omnipresente en la informática moderna. TLS/SSL usa AES-GCM como su suite de cifrado preferida para conexiones HTTPS. Las herramientas de cifrado de disco completó como BitLocker y FileVault se basan en AES-XTS. Los gestores de contraseñas usan AES-256 para proteger almacenes de credenciales. Los servicios de almacenamiento en la nube cifran datos en reposo con AES. Las redes Wi-Fi protegidas con WPA2 y WPA3 usan AES-CCMP para el cifrado de tramas.
