Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks

Transcription

1 A KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK Kasteelpark Arenberg 10, B-3001 Leuven-Heverlee Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks Promotor: Prof. dr. ir. B. Preneel Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Stefaan SEYS mei 2006

2

3 A KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK Kasteelpark Arenberg 10, B-3001 Leuven-Heverlee Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks Jury: Prof. H. Neuckermans, voorzitter Prof. B. Preneel, promotor Prof. C. Mitchell (RHUL) Prof. F. Piessens Prof. J. Vandewalle Prof. I. Verbauwhede Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Stefaan SEYS U.D.C *D46 mei 2006

4 c Katholieke Universiteit Leuven Faculteit Ingenieurswetenschappen Arenbergkasteel, B-3001 Heverlee (Belgium) Alle rechten voorbehouden. Niets uit deze uitgave mag vermenigvuldigd en/of openbaar gemaakt worden door middel van druk, fotocopie, microfilm, elektronisch of op welke andere wijze ook zonder voorafgaande schriftelijke toestemming van de uitgever. All rights reserved. No part of the publication may be reproduced in any form by print, photoprint, microfilm or any other means without written permission from the publisher. D/2006/7515/53 ISBN

5 Acknowledgements There are lots of people I would like to thank for a variety of reasons. First, I want to thank my promotor Prof. Bart Preneel for giving me the opportunity to pursue a Ph.D. at COSIC. Bart is especially thanked for his guidance and advice (quite literally 24/7) during the past years, and for carefully reading and correcting earlier drafts of this thesis. I am also very grateful to Prof. Frank Piessens and Prof. Chris Mitchell for managing to read the whole manuscript so thoroughly in record time and providing helpful suggestions and comments to improve this thesis. I want to thank Prof. Joos Vandewalle and Prof. Ingrid Verbauwhede for kindly accepting to be members of the jury, and Prof. Neuckermans for chairing it. A big thanks goes to all my past and current COSIC fellows for their friendliness and help. In particular, I would like to thank Claudia Díaz for the enjoyable time we spent researching all things anonymous, and Dave Singelée for our joined work on ad hoc network security. Special thanks go to my former colleagues Joris Claessens for setting a great example, and Wim Moreau for making me feel at home in COSIC from day one. I thank my long-time officemates and friends Robert Maier, Thomas Herlea and Dave Singelée for always living up to the hundreds of small and bigger requests I must have made during the past years. I would also like to thank Karel Wouters and Dave for taking care of some of my responsibilities during the busy time of writing this thesis. Péla Noë deserves a big thank you for keeping me from drowning in my ohso dreaded paperwork and other practical matters. I also thank Péla for her friendship and showing interest in life outside COSIC. I would like to thank Elvira Wouters for her patience and valuable help with all sorts of administrative matters. A word of thanks also goes to my long-time friends for showing (or at least feigning) interest in my work and providing an easy escape from my Ph.D life. i

6 ii I would like to thank my family for their continuous encouragements, especially my parents for their unconditional support, and finally my partner Michèle for her love and enthusiasm. I want to acknowledge the K.U.Leuven and the Institute for the Promotion of Innovation by Science and Technology in Flanders (IWT), for funding my research work. Stefaan Seys May 2006

7 Abstract Wireless ad hoc networks are the next evolutionary step in digital communication systems. Supporting security and privacy are essential before these networks can become an everyday reality. Without the necessary measures, wireless communications are easy to intercept and the activities of the users can be traced. Moreover, the specific properties of wireless ad hoc networks, in particular the lack of fixed servers and the limited resources of the network devices, present interesting challenges when designing security and privacy solutions in this environment. This thesis presents solutions for a number of important security problems in wireless ad hoc networks. The thesis starts with an overview of the efficiency of the most important cryptographic primitives, including block ciphers, stream ciphers, hash functions, public key cryptosystems, and digital signature schemes. Efficiency means cycles (or energy) per Byte or operation. The information that is collected here was used in the design of the cryptographic protocols presented in the thesis. One-time signature schemes based on a one-way function are an attractive solution for low-power devices, as they can be efficiently implemented using block ciphers or hash functions. The drawback is that they require large keys that can only be used once. This thesis evaluates the overall performance of several onetime signature schemes and public key authentication mechanisms, and compares them with conventional signature schemes. Cooperation can be useful to share the load of a demanding task in resource constrained environments. This thesis presents a construction to transform a onetime signature scheme into a cooperative threshold one-time signature scheme, which allows multiple users to jointly sign a message. This scheme is used to build a complete authentication mechanism for sensor networks. Key establishment is a difficult task in ad hoc networks due to the absence of fixed servers. The thesis presents a key establishment scheme for dynamic ad hoc iii

8 iv networks that does not rely on fixed servers or public key cryptography. This key establishment scheme is integrated with an existing routing scheme for ad hoc networks. The security and efficiency of the resulting scheme are analyzed. Finally, the thesis deals with privacy in ad hoc networks. The state of the art of anonymous routing schemes for ad hoc networks is presented and analyzed. Following this analysis, the thesis presents a novel anonymous routing scheme for wireless ad hoc networks that protects the anonymity of the users against a stronger adversary, while being more efficient than previous works. The security and efficiency of this scheme are analyzed.

9 Samenvatting Draadloze ad-hoc netwerken zijn de volgende evolutionaire stap in digitale communicatiesystemen. Vooraleer deze netwerken op grote schaal ingezet kunnen worden, zal men de nodige maatregelen moeten ondernemen om de beveiliging en privacy van de gebruikers en hun gegevens te kunnen garanderen. Zonder extra maatregelen is het eenvoudig om draadloze communicatie te onderscheppen en de activiteiten van de gebruikers te volgen. Het ontwerp van deze maatregelen wordt bemoeilijkt door de specifieke eigenschappen van ad-hoc netwerken, in het bijzonder de afwezigheid van vaste servers en de beperkte rekenkracht, geheugen, bandbreedte en energievoorraad van de mobiele toestellen. Dit resulteert dan ook in een boeiend en uitdagend onderzoeksdomein. Deze thesis is gericht op het oplossen van een aantal belangrijke beveiligingsproblemen. De thesis begint met een overzicht van de efficiëntie van de belangrijkste cryptografische primitieven: blok- en stroomcijfers, hashfuncties, publieke-sleutelvercijferingsalgoritmen en digitale handtekeningen. Efficiëntie betekent hier het aantal processorcycli (of energieverbruik) per Byte of per operatie. De informatie die hier verzameld is, werd gebruikt in het ontwerp van de protocollen die in deze thesis gepresenteerd worden. Eénmalige-handtekeningschema s, die gebaseerd zijn op een éénwegsfunctie, zijn interessant voor toestellen met beperkte capaciteiten, aangezien zij efficiënt geimplementeerd kunnen worden op basis van blokcijfers of hashfuncties. Het nadeel van deze schema s is echter dat ze erg grote sleutels nodig hebben die slechts éénmaal gebruikt kunnen worden. Deze thesis evalueert de globale performantie van verschillende éénmalige-handtekeningschema s en authentiseringsmechanismen voor publieke sleutels; en vergelijkt deze met conventionele schema s. Deze thesis stelt een constructie voor om éénmalige-handtekeningschema s om te zetten naar een drempelschema. In dit schema kunnen een aantal knopen samenwerken om een handtekening te plaatsen. Deze vorm van samenwerking kan bruikbaar zijn daar zij toelaat een zware taak te verdelen over verschillende v

10 vi Abstract in Dutch toestellen. Dit schema wordt vervolgens gebruikt om een volledig authentiseringsmechanisme voor sensornetwerken te ontwerpen. Het afspreken van geheime sleutels is niet eenvoudig in ad-hoc netwerken door de afwezigheid van vaste servers. Deze thesis stelt een mechanisme voor om geheime sleutels af te spreken in een dynamisch ad-hoc netwerk. Om het systeem zo efficiënt mogelijk te houden, maken we geen gebruik van publieke-sleutelcryptografie. Het schema werkt autonoom, zonder hulp van vaste knopen die dienst doen als sleutelverdelingscentra. Dit schema wordt vervolgens geïntegreerd met een routeringsprotocol voor ad-hoc netwerken. De veiligheid en de efficiëntie van het protocol worden geanalyseerd. Ten slotte handelt deze thesis ook over privacy in ad-hoc netwerken. De thesis geeft een volledig overzicht en analyse van de state-of-the-art van anonieme routeringsprotocollen voor ad-hoc netwerken. Na deze analyse volgt de beschrijving van een nieuw anoniem routeringsprotocol dat bestaande protocollen tracht te verbeteren op twee gebieden: efficiëntie en anonimiteit. De veiligheid en efficiëntie van het schema worden geanalyseerd.

11 List of Tables 2.1 Performance of ASIC implementations of 128-bit AES and MUGI Power consumptions of SHA-1, AES, RSA, DSA and ECDSA on a 32-bit Intel StrongARM 206MHz Performance of 128-bit AES on several platforms Software performance of cryptographic primitives Elliptic curve, symmetric primitives, RSA and discrete log in F q key length comparison Software performance of public key primitives Cost of the LDW for different group sizes g Authentication paths for a Merkle tree with 8 leaves Efficiency of one-time signature schemes Summary of digital signature costs for message hash size s = Expected number of turns before a node is no longer isolated Efficiency of the EHBT scheme Maximum supported compromised link keys for several configurations Comparison of different anonymous routing schemes Average privacy and privacy/cost ratio of two probability distributions for TTL value selection Average privacy and privacy/cost ratio of two probability distributions for padding length selection vii

12

13 List of Figures 2.1 Schematic model of an encryption scheme Schematic model of a digital signature scheme Security level offered by the HORS scheme Evolution of the number of public keys when using the HORS signature scheme Example Merkle hash tree with 8 leaves Public key chains Signing efficiency of one-time signature schemes Verification efficiency of one-time signature schemes Communication efficiency of one-time signature schemes Energy consumption of signer (communications and computations) Energy consumption of verifier (communications and computations) Overall energy consumption of one-time signature schemes Preparation phase of the cooperative threshold one-time signature scheme Example sensor network with three cells Evolution of node W s neighborhood as it travels through the network Multiple routes that can be used to establish link keys Network model. Nodes move on the grid of the torus Probability of having at least one node in the overlap between two consecutive neighborhoods Probability that a node does not share a key with any of the nodes in its neighborhood ix

14 x List of Figures 6.1 Intercepting and blocking of messages DSR route discovery process Trapdoor Boomerang Onion used in ANODR ANODR Route Request and Reply messages transmitted by node N i, and elements stored in its routing table ASR Route Request and Reply messages, and elements stored in the routing table by node N i MASK Route Request and Reply messages, and elements stored in the routing table by node N i SDAR Route Request and Reply messages, and elements stored in the routing table by node N i Hidden route from source S to destination D Evolution of padding and TTL values of a message Privacy and cost of an exponential probability distribution for TTL value selection Privacy and cost of an exponential probability distribution for padding length selection

15 List of Acronyms ADSL AES AODV APES AP BS CA CBC CCM CFB DES DHIES DSN DSR DoS DSA DSS ECB ECC ECDSA ECIES ECPM EHBT FIPS Asymmetric Digital Subscriber Line Advanced Encryption Standard Ad hoc On-demand Distance Vector (Routing) Anonymity and Privacy in Electronic Services (IWT/STWW Project) Access Point Base Station Certification Authority Cipher Block Chaining Counter with CBC-MAC Cipher Feedback Data Encryption Standard Diffie-Hellman Integrated Encryption Scheme Distributed Sensor Network Dynamic Source Routing Denial of Service Digital Signature Algorithm Digital Signature Standard Electronic Codebook Error-Correcting Code Elliptic Curve Digital Signature Algorithm Elliptic Curve Integrated Encryption Scheme Elliptic Curve Point Multiplication Efficient Hierarchical Binary Tree (protocol) Federal Information Processing Standards xi

16 xii List of Acronyms FPGA GPS GSM IOI IP ISP KDC LAN LDM LDW LFSR MAC MANET MCSP NAT NIST NSA OEAP OFB OCB OSI OTS OWF PET PGP PKI PSS PSEC RFID RREQ RREP SIM Field-Programmable Gate Array Global Positioning Systems Global System for Mobile Communications Item of Interest Internet Protocol Internet Service Provider Key Distribution Center Local Area Network Lamport-Diffie one-time signature scheme with Merkle improvement Lamport-Diffie one-time signature scheme with Winternitz improvement Linear Feedback Shift Register Message Authentication Code Mobile Ad hoc Network Mobile Communication Service Provider Network Address Translation National Institute for Standards and Technology National Security Agency Optimal Asymmetric Encryption Padding Output Feedback Offset Codebook Mode Open Systems Interconnection One-Time Signature (scheme) One-Way Function Privacy Enhancing Technique Pretty Good Privacy Public Key Infrastructure Probabilistic Signature Scheme Provably Secure Elliptic Curve (cryptosystem) Radio Frequency Identification Route Request Route Reply Subscriber Identity Module

17 xiii SSH SSL STS TBO TCP TTL TORA URL WEP WLAN Secure Shell Secure Socket Layer Station-to-Station (protocol) Trapdoor Boomerang Onion Transmission Control Protocol Time-to-Live Temporally Ordered Routing Algorithm Universal Resource Locator Wired Equivalent Privacy Wireless Local Area Network

18

19 List of Notations x R S Element x is selected uniformly random from the set S. QR n The set of quadratic residues modulo integer n. {0, 1} n Bit-string of length n, i.e., any piece of digital data ({0, 1} indicates arbitrary length). {0, 1} n R A uniform random selected bit-string of length n ({0, 1} R indicates arbitrary length, i.e., a source of random bits). Int(x) The value of the bit-string x interpreted as an integer (with little or big endian). x The largest integer less than or equal to x. x The smallest integer larger than or equal to x. a b, a b Integer a divides b, integer a does not divide b. x Bit-length of x. i = a b For all integers i ranging from a to b, starting from a. Proc(x) Indicates a procedure or algorithm using input x. Proc(x) Indicates the output of the algorithm Proc(x). xv

20 xvi List of Notations a, b E k [m] MAC k [m] Pub D (m) Sign D (m) The concatenation of bit-strings a and b. This notation is only used if using a, b is confusing. The encryption with a symmetric cipher of message m using secret key k. The Message Authentication Code of message m using secret key k. The encryption with an asymmetric cipher of message m using the public key of user D (if we need to specify a specific public key, we will use Pub pk (m)). A digital signature on message m using the private key of user D (if we need to specify a specific private key, we will use Sign sk (m)). E k [a], MAC k [ ] Shorthand for E k [a], MAC k [a]. This notation can also be used with other operators, e.g., E k [a], Sign D ( ). E k [a, MAC k [ ]] Shorthand for E k [a, MAC k [a]]. This notation can also be used with other operators, e.g., E k [a, Sign D ( )]. SignRSA D (m) RSA signature on message m using the private key of user D. SignOT D (m) One-time signature on message m using D s private key. Here, we assume that the one-time signature scheme does not include padding and hashing of the message. S D : m Sender S transmits message m to destination D. S : m Sender S broadcasts message m.

21 Contents Acknowledgements Abstract Abstract in Dutch List of Tables List of Figures List of Acronyms List of Notations Contents Summary in Dutch i iii v vii ix xi xv xvii xxi 1 Introduction Motivation This thesis and related work Outline and main contributions Efficiency of Cryptographic Primitives Symmetric primitives Symmetric encryption Efficiency of symmetric techniques Public key cryptography xvii

22 xviii Contents Introduction Public key certificates The RSA, Rabin and DSA public-key encryption and signature schemes Elliptic curve cryptography Efficiency of public key cryptography Conclusions and future work Efficiency of One-Time Signature Schemes Lamport-Diffie one-time signatures Lamport-Diffie scheme with Merkle improvement Lamport-Diffie scheme with Winternitz improvement The HORS one-time signature scheme On the security of HORS Efficiency of one-time signature schemes Efficiency of the LDM Efficiency of the LDW Efficiency of the HORS scheme One-time public key authentication Merkle trees One-way chains Efficiency of one-time signature schemes with public key authentication Efficiency of Merkle tree authentication Efficiency of one-way chain authentication Comparison Conclusions and future work Efficient Cooperative Signatures Threshold signatures Threshold Lamport-Diffie signatures Multi-signer LDW signatures Cooperative threshold one-time signatures Signature generation Signature verification Informal Security proof of our scheme

23 Contents xix 4.5 Application of our scheme in sensor networks Network operation Strong authentication between query nodes and cells One-time secret key updates Conclusions Dynamic Key Establishment Secure Neighborhood Discovery protocol Neighborhood Bootstrapping the system: key pre-distribution Dynamic Neighborhood Discovery Establishing link keys Normal operation Exceptional operation Implementation based on DSR Performance evaluation Analytic model and simulations Efficiency of the scheme Security analysis Informal analysis of the Secure Neighborhood Discovery Informal analysis of AuthDSR Evolution of compromised link keys Conclusions Privacy in Ad Hoc Networks Introduction Privacy in a digitized world Anonymity at different layers Anonymity: definitions and requirements Definitions Adversary model Goals Anonymous connections in wired networks Overview of existing technologies Anonymous connections in mobile ad hoc networks On demand routing protocols

24 xx Contents A generic anonymous on demand routing protocol Evaluation of state of the art Comparison and evaluation ARM: efficient anonymous routing for mobile ad hoc networks Trapdoor identifier Route discovery Route reply Data forwarding Padding and time-to-live schemes Variations Analysis of the padding and time-to-live schemes Privacy offered by random TTL selection Privacy offered by random padding selection Analysis of our protocol Conclusions Conclusions and Future Research Conclusions Future work References 153 Index 169 List of Publications 171

25 Algoritmen en protocollen voor beveiliging en privacy in draadloze ad-hoc netwerken Nederlandse samenvatting Hoofdstuk 1: Inleiding Door de steeds verdergaande miniaturisatie van computersystemen is het tegenwoordig mogelijk om toestellen te ontwikkelen die een relatief krachtige processor, opslagcapaciteit en communicatiemogelijkheden bundelen in een draagbare verpakking. Typische voorbeelden zijn PDA s en mobiele telefoons. Momenteel worden meestal rechtstreekse punt-tot-punt-verbindingen gebruikt, zoals bijvoorbeeld een mobiele telefoon naar een basisstation of een PDA naar een WiFi toegangspunt. Een andere mogelijkheid, die momenteel sterk in ontwikkeling is, zijn draadloze ad-hoc netwerken of Mobile Ad hoc Networks (MANET s). In een ad-hoc netwerk vormen knopen automatisch en autonoom een netwerk van zodra ze in elkaars bereik komen. Wanneer een knoop wil communiceren met een andere knoop die buiten zijn bereik is, dan wordt het bericht doorgestuurd van knoop naar knoop tot de eindbestemming bereikt wordt. MANET s kunnen bijvoorbeeld ingezet worden om snel en goedkoop een communicatienetwerk op te zetten in gebieden waar er geen bestaande infrastructuur is, of waar deze vernietigd werd, zoals in ramp- en oorlogsgebieden. Een ander voorbeeld van ad-hoc netwerken zijn sensornetwerken. Sensornetwerken bestaan uit duizenden xxi

26 xxii Summary in Dutch miniatuursensors die draadloos met elkaar communiceren over een ad-hoc netwerk. Mogelijke toepassingen van sensornetwerken zijn het opmeten van bodemen weercondities op akkers, detecteren van barsten in grote bouwwerken zoals bruggen, enz. Omdat het relatief eenvoudig is om draadloze communicatie ongedetecteerd te onderscheppen, speelt de beveiliging van deze netwerken een cruciale rol in de ontwikkeling ervan. De beveiliging van ad-hoc netwerken is niet vanzelfsprekend door verschillende redenen. Ten eerste zijn de knopen beperkt in rekencapaciteit, geheugen, bandbreedte en energievoorraad. Dit betekent dat de beveiligingsmechanismen zo efficiënt mogelijk moeten zijn. Ten tweede zijn er niet altijd vaste knopen ( servers ) in het netwerk die kunnen aangesproken worden om een bepaalde dienst te leveren. Hierdoor zijn de meeste traditionele beveiligingsmechanismen (bijvoorbeeld voor het afspreken van sleutels) niet van toepassing in ad-hoc netwerken. Ten slotte wordt de beveiliging bemoeilijkt door de multi-hop routering en het feit dat de knopen zich vrij kunnen bewegen door het netwerk. Naast beveiliging is ook de privacy van de gebruiker van belang. Door gebruik te maken van draadloze communicatie laat de gebruiker immers automatisch sporen na van zijn activiteiten. Privacy zal zeker een belangrijke rol spelen in ad-hoc netwerken, daar iedere gebruiker mogelijk berichten zal doorsturen van andere gebruikers. Ad-hoc netwerken zorgen dus voor nieuwe uitdagingen inzake beveiliging en privacy. Deze thesis levert een bijdrage tot mogelijke oplossingen voor een deel van deze uitdagingen. Deze thesis bestudeert niet één bepaald onderdeel tot in de kleinste details, maar behandelt meerdere uiteenlopende aspecten. Hoofdstuk 2 geeft een overzicht van de state-of-the-art van cryptografische primitieven en geeft een analyse van de efficiëntie van deze algoritmen. De ontwerpen in de volgende hoofdstukken zijn gebaseerd op de resultaten die in dit hoofdstuk verzameld werden. Hoofdstuk 3 geeft een gedetailleerde analyse van de efficiëntie van éénmalige digitale handtekeningen die gebaseerd zijn op een éénwegsfunctie. Deze analyse houdt rekening met alle aspecten van het gebruik van digitale handtekeningen in een draadloze omgeving: genereren van sleutels, berekenen van een handtekening, verifiëren van een handtekening, doorsturen van een handtekening en verificatie van een éénmalige publieke sleutels. In hoofdstuk 4 stellen we een constructie voor om éénmalige-handtekeningschema s om te vormen tot coöperatieve éénmalige-handtekeningschema s. Met dit schema kunnen verschillende gebruikers samen een handtekening zetten op een bepaald bericht. In een tweede deel van dit hoofdstuk tonen we hoe dit schema kan ingezet worden in een complete oplossing voor de authentisering van berichten in sensornetwerken. Hoofdstuk 5 handelt over een sleutelverdelingssysteem voor dynamische ad-hoc netwerken. Via dit systeem kunnen knopen sleutels afspreken met andere knopen in hun

27 xxiii steeds veranderende buurt. We tonen ook aan dat hetzelfde systeem kan gebruikt worden om een sleutel af te spreken met knopen die verder (meer dan één hop) verwijderd zijn. Ten slotte bespreken we hoe het systeem kan geïntegreerd worden in een bestaand routeringsprotocol voor ad-hoc netwerken. Hoofdstuk 6 handelt over de privacy in ad-hoc netwerken. Het hoofdstuk begint met een inleiding tot het onderzoeksdomein en stelt de state-of-the-art voor van anonieme routeringsprotocollen voor ad-hoc netwerken. Daarna stellen we een nieuw anoniem routeringsprotocol voor dat ontworpen werd om efficiënter te zijn en meer anonimiteit te bieden dan bestaande voorstellen. Hoofdstuk 7 sluit de thesis af en formuleert nieuwe uitdagingen voor de toekomst. Hoofdstuk 2: Efficiëntie van cryptografische primitieven Bijna alle protocollen voor de beveiliging van netwerken en computersystemen maken in meer of mindere mate gebruik van cryptografische primitieven. Zoals in de inleiding vermeld werd, hebben we bij het ontwerp van de protocollen die we voorstellen in hoofdstukken 3 tot en met 6, getracht om een zo efficiënt mogelijke oplossing te bieden. Dit hoofdstuk is dan ook gericht op de efficiëntie van de belangrijkste klassen van cryptografische primitieven: symmetrische bloken stroomcijfers, hashfuncties, asymmetrische vercijferingsschema s en digitale handtekeningschema s. Efficiëntie van symmetrische primitieven Symmetrische vercijferingssystemen maken gebruik van een geheime sleutel die gekend is door twee partijen: de partij die een boodschap vercijfert en de partij die de boodschap zal ontcijferen. Blokcijfers transformeren een klaartekstblok van vaste lengte naar een cijfertekstblok van vaste lengte. Er zijn verschillende manieren ( modes of operation ) om klaarteksten die langer zijn dan de bloklengte te vercijferen. In 2000 werd Rijndael verkozen als de nieuwe Advanced Encryption Standard (AES) voor de Verenigde Staten. Rijndael won de wedstrijd die uitgeschreven werd door de National Institute for Standards and Technology (NIST) in 1997 om de bestaande Data Encryption Standard (DES) te vervangen. Als opvolger van de DES, zal de AES de de facto cryptografische standaard worden voor de vercijfering in het bankwezen, administraties en de industrie. Een belangrijk criterium bij het ontwerp van de AES was veelzijdigheid. Dit betekent dat het algoritme efficiënt moet