No es un estándar.Abierto a revisión.
XAES-512 es la evolución de Protectstar Extended AES, publicado por primera vez en 2007 — un diseño derivado de Rijndael con un bloque de 512 bits, 24 rondas y una envoltura AEAD moderna. Publicado para que pueda ser revisado de forma independiente.
Un borrador de revisión — no un reemplazo de AES aprobado para uso en producción.
XAES-512 no es una implementación AES conforme a FIPS 197 y no es un reemplazo directo de AES-128/192/256. La versión 2.0 rev4.2 se publica como borrador abierto de revisión — para criptoanálisis independiente, revisión de implementación y comentarios de la comunidad, no como algoritmo aprobado para uso en producción.
Cuatro números que describen el diseño.
XAES-512 puede resumirse en unas pocas cifras clave — cada una con un significado técnico claro, sin ninguna afirmación de superioridad.
En qué se diferencian los algoritmos.
AES estándar, tal como se define en FIPS 197, es excelente y sigue siendo la referencia. XAES-512 es un diseño independiente, derivado de Rijndael, con un bloque más grande — no un reemplazo, sino una propuesta publicada abiertamente para revisión.
* En la medición estructural de difusión incluida, los desplazamientos ShiftRows {0,1,4,5} alcanzan difusión completa después de 4 rondas; el patrón ingenuo {0,1,2,3} requiere 6 rondas. En esta medición, AES estándar alcanza difusión completa después de solo 2 rondas en su matriz 4×4 más pequeña. La afirmación sobre la difusión puede reproducirse con diffusion_check.py; los core KATs verifican además la implementación correcta del core cipher.
Un bloque más grande por paso.
Cada celda es un byte. La matriz más grande procesa más datos por bloque — y amplía el estado interno mezclado por cada ronda.
24 rondas.
XAES-512 utiliza 24 rondas sobre una matriz de estado 4×16. Las rondas internas siguen el principio Rijndael de AddRoundKey, SubBytes, ShiftRows y MixColumns; la estructura exacta de las rondas está definida en el PDF de especificación.
Tres propiedades descritas de forma objetiva.
Cifrado autenticado
XAES-512 es una construcción AEAD basada en el principio Encrypt-then-MAC: CTR para confidencialidad, HMAC-SHA-512 para integridad y autenticidad. Los mensajes manipulados se detectan antes del descifrado.
Derivación de claves estandarizada
Las claves se derivan de contraseñas mediante PBKDF2-HMAC-SHA-512 con una sal aleatoria por mensaje, seguido de HKDF-SHA-512 para separación de claves. El perfil 0x02 utiliza 220.000 iteraciones PBKDF2; las contraseñas se codifican en UTF-8 y se normalizan con NFC.
Abierto y reproducible
Sin seguridad por oscuridad. La especificación, la implementación de referencia, las pruebas de respuesta conocida y las herramientas se publican como bundle Apache-2.0 — para que cualquiera pueda reproducir y revisar el diseño.
La especificación de un vistazo.
Construcción, derivación de claves, rondas y difusión. La versión normativa es el PDF de especificación incluido en el bundle.
1 Origen y clasificación Base Rijndael · distinción frente a AES según FIPS 197 ▾
XAES-512 se basa en Protectstar Extended AES, publicado por primera vez en 2007. Utiliza una matriz de estado 4×16 (512 bits) en lugar de la matriz 4×4 (128 bits) usada por AES estándar, y conserva sin cambios AddRoundKey, MixColumns y la S-box SubBytes de Rijndael; se amplían los desplazamientos ShiftRows, el número de rondas y la expansión de clave.
Hoy, el nombre significa “Extended Algorithm, Enhanced Security.” XAES-512 no es AES tal como lo define FIPS 197 y no lo reemplaza.
2 Construcción: cifrado autenticado (AEAD) CTR · HMAC-SHA-512 · Encrypt-then-MAC ▾
XAES-512 proporciona una única construcción autenticada — no varios modos de operación seleccionables libremente. La confidencialidad la proporciona el modo Counter (CTR); la integridad y la autenticidad las proporciona HMAC-SHA-512 siguiendo el esquema Encrypt-then-MAC (composición genérica según Bellare–Namprempre). La etiqueta de autenticación se verifica antes de cada descifrado.
El formato del mensaje se define como Wire Format v1 (perfil 0x02). Los datos asociados (Associated Data) se incluyen en la autenticación.
3 Derivación de claves (KDF) PBKDF2-HMAC-SHA-512 · HKDF · sal por mensaje ▾
Una clave se deriva de la contraseña mediante PBKDF2-HMAC-SHA-512 — con una sal aleatoria para cada mensaje y 220.000 iteraciones (perfil 0x02). Después, HKDF-SHA-512 separa las claves para cifrado y autenticación. Las contraseñas se codifican en UTF-8 y se normalizan con Unicode NFC para que entradas idénticas produzcan la misma clave en todas las plataformas.
El campo de iteraciones transmitido en el encabezado está limitado superiormente (límite de implementación), de modo que un mensaje no pueda forzar un cómputo excesivo antes de la verificación de la etiqueta.
4 Número total de rondas Derivación de las 24 rondas ▾
El número de rondas sigue la derivación basada en Rijndael descrita en el documento: es decisivo el mayor número de palabras entre tamaño de bloque y tamaño de clave. Para un bloque de 512 bits, son 16 palabras → 22 rondas; el perfil 0x02 añade dos rondas adicionales en relación con la estructura ShiftRows extendida, lo que da 24 rondas en total.
5 Expansión de clave Proceso KeyExpansion extendido ▾
Proceso KeyExpansion extendido basado en la especificación Rijndael:
KeyExpansion(byte Key[4*Nk], word W[Nb*(Nr+1)])
{
for (i = 0; i < Nk; i++)
W[i] = (Key[4*i], Key[4*i+1], Key[4*i+2], Key[4*i+3]);
for (i = Nk; i < Nb*(Nr+1); i++) {
temp = W[i-1];
if (i % Nk == 0 || (i % Nk == 4 && Nk > 6))
temp = SubByte(RotByte(temp)) ^ Rcon[i / Nk];
else if ((i % Nk == 8 || i % Nk == 12) && Nk > 6)
temp = SubByte(temp);
W[i] = W[i-Nk] ^ temp;
}
} 6 ShiftRows y difusión Desplazamientos {0,1,4,5} · diffusion_check.py ▾
Con los desplazamientos estándar {0,1,2,3}, la variante de 512 bits alcanza difusión completa en la medición estructural de difusión incluida solo después de 6 rondas. Los desplazamientos seleccionados {0,1,4,5} la alcanzan en esta medición después de 4 rondas.
La afirmación sobre la difusión puede reproducirse usando la herramienta diffusion_check.py del bundle. El archivo core-kats.json contiene pruebas de respuesta conocida adicionales para el core cipher.
Referencias. FIPS 197 (AES) · FIPS 180-4 (SHA) · FIPS 198-1 / RFC 2104 (HMAC) · RFC 8018 (PBKDF2) · RFC 5869 (HKDF) · NIST SP 800-38A (modos de operación) · Bellare–Namprempre 2000 (cifrado autenticado) · Daemen–Rijmen, “AES Proposal: Rijndael” · OWASP Password Storage Cheat Sheet. El PDF de especificación contiene las referencias completas.
Qué no es XAES-512 — al menos todavía.
Una clasificación honesta de un borrador de revisión pública incluye declarar claramente sus limitaciones.
- Experimental y en revisión pública. Aún está pendiente un criptoanálisis independiente completo del core cipher. La publicación tiene precisamente el propósito de permitir esa revisión.
- No es AES según FIPS 197. XAES-512 no está estandarizado en FIPS 197, no ha sido validado por CAVP/FIPS y no es interoperable con AES-128/192/256.
- Implementación de referencia informativa. Actualmente hay disponible una implementación de referencia en Java; se planifica una segunda implementación independiente, incluida una en Rust.
- No reforzado contra ataques de canal lateral. La implementación de referencia en Java es un artefacto de referencia trazable, no una implementación constant-time para producción.
- Formato congelado. Wire Format v1 / perfil 0x02 es fijo; los perfiles futuros, por ejemplo con Argon2id, se planifican por separado.
- No es un reemplazo de producción durante la revisión. Los algoritmos establecidos y estandarizados siguen siendo la opción correcta para sistemas de producción mientras la revisión continúa.
El bundle completo de revisión pública.
El bundle ZIP es el artefacto autoritativo: especificación, implementación de referencia, pruebas de respuesta conocida, herramientas y documentos de gobernanza en un solo paquete. Los PDF son descargas prácticas adicionales.
Bundle de revisión pública XAES-512
Protectstar-XAES-512-spec-v2.0-rev4.2-2026-06-03.pdf PDF Implementación de referencia (informativa)
Protectstar-XAES-512-reference-implementation-v2.0-rev4.2-2026-06-03.pdf TXT Build Manifest & SHA-256
BUILD-MANIFEST-rev4.2.txt
Los documentos técnicos están en inglés. Después de la descarga, verifica el paquete con sha256sum comparándolo con el valor mostrado arriba; dentro del bundle extraído, SHA256SUMS cubre cada archivo individual. La versión histórica 1.0 de 2007 sigue disponible como versión archivada.


