La crittografia simmetrica (altrimenti detta crittografia a chiave privata) è una categoria specifica di algoritmi crittografici che consiste nell’utilizzare una sola quantità segreta (la chiave privata, appunto) sia per nascondere un certo testo in chiaro per ottenere un messaggio cifrato, sia per recuperare tale testo in chiaro a partire dal messaggio cifrato.
Se due entità sono in possesso di una identica chiave privata, ognuna di loro può usare tale chiave sia per crittare un proprio messaggio prima di inviarlo in rete, sia per decrittare un cifrato che ha ricevuto dall’altra entità. Tra l’altro, le operazioni di crittazione e decrittazione sono spesso estremamente simili, se non identiche.
Gli algoritmi della crittografia simmetrica (per brevità algoritmi simmetrici) sono a oggi gli algoritmi più facili da implementare, più piccoli di dimensione e più veloci da eseguire per garantire una trasmissione sicura di un messaggio tra due entità.
Visto che l’unico grande problema di far ottenere la chiave privata a due entità distinte viene risolto tramite l’utilizzo dei più lenti algoritmi della crittografia asimmetrica, è naturale immaginare che gli algoritmi simmetrici riscuotono un grande successo nel mondo.
Inoltre, gli algoritmi simmetrici sono largamente utilizzati per proteggere i cosiddetti “dati a riposo”, ovvero le informazioni memorizzate in unità di memorie esterne o nei dischi rigidi di un computer, che esso sia un server o ad uso personale. Infatti, l’alta velocità degli algoritmi simmetrici e la protezione dei dati che essi forniscono contro chi non conosca la chiave privata garantiscono, in pratica, che un attaccante non possa decrittare in un tempo utile dati cifrati trovati in memorie protette da tali algoritmi.
Indice degli argomenti
Crittografia simmetrica: il NIST e la standardizzazione
Dati i grandi vantaggi forniti dagli algoritmi simmetrici, chiaramente esistono alcuni standard internazionali che forniscono un punto di riferimento e svariate linee guida per chi si occupa della loro effettiva implementazione in hardware o software.
Tra i vari standard internazionali, spiccano spesso quelli introdotti dall’istituto statunitense NIST (National Institute of Standards and Technology), che in particolare devono essere seguiti attentamente da qualsiasi ente governativo statunitense che si occupa di trattare dati informatici sensibili.
Negli ultimi anni, il NIST ha aperto delle vere e proprie competizioni pubbliche per istituire, ad esempio, nuovi standard crittografici per dispositivi poco potenti (la cosiddetta “lightweight cryptography”) e per prepararsi con largo anticipo all’avvento di un computer quantistico (la cosiddetta “post-quantum cryptography”). Queste competizioni pubbliche permettono a numerosi studiosi e ricercatori di proporre algoritmi, di scrutinarli a fondo, di escluderli se ritenuti deboli e in caso di raffinarli.
L’utilizzo di queste competizioni pubbliche per la selezione di standard crittografici è visto in maniera estremamente positiva nella comunità crittografica mondiale, perché abbiamo numerosi esempi degli anni passati dove algoritmi prodotti in maniera proprietaria e privata considerati sicuri si sono poi rilevati in pratica scadenti, se non anche inutilizzabili.
Un algoritmo che ricade in questa categoria è il DES.
Il vecchio e oramai deprecato DES
Il DES (Data Encryption Standard) è stato pubblicato come standard nel gennaio del 1977 dentro un documento rilasciato dallo stesso NIST.
È un algoritmo simmetrico che rientra nella categoria dei cifrari di Feistel, che prende il nome dall’omonimo crittologo dell’IBM Horst Feistel.
In parole molto semplici, un messaggio in entrata all’algoritmo viene diviso in numerosi blocchi, e poi ogni blocco viene fatto passare singolarmente attraverso il DES per ottenere un blocco elaborato. Dentro il DES, ogni blocco subisce per un totale di sedici volte le operazioni specificate a seguire.
Il blocco viene diviso a metà, diciamo una metà di sinistra e una di destra. La metà di destra subisce un’operazione complessa che dipende strettamente dalla chiave privata (dopotutto, il DES è un algoritmo simmetrico).
Il risultato di questa operazione complessa viene poi mescolato con la metà di sinistra, ottenendo una metà mescolata. A questo punto, la metà mescolata e la metà originale di destra sono scambiate di posizione per ottenere un blocco in uscita.
Il DES, però, è stato selezionato come standard nonostante le chiare critiche sollevate dagli studiosi del tempo. Una di queste critiche riguardava il fatto che non si era ben capito pubblicamente come fosse stata scelta l’operazione complessa dipendente dalla chiave. Ma la critica più importante, che tra l’altro si è dimostrata essere ben fondata, riguardava la lunghezza della chiave.
La chiave del DES, infatti, risulta essere lunga solo 56 bits.
In altre parole, un attaccante che ha accesso a un messaggio cifrato con il DES può risalire al messaggio in chiaro semplicemente tirando a indovinare una catena di zeri e di uni lunga solo 56 elementi fino a individuare la chiave privata utilizzata.
Questo tipo di attacco dove si risale alla chiave privata provando una a una ogni possibile sequenza è chiamato “brute force”, e funziona su ogni algoritmo simmetrico.
Il “brute force” era conosciuto negli anni 70, ma i computer dell’epoca non potevano comunque efficacemente indovinare in un tempo utile una chiave lunga 56 elementi. Sfortunatamente, i computer moderni possono indovinare una chiave privata così corta in una manciata di minuti, e infatti il DES è oggi classificato un algoritmo deprecato, ovvero che al massimo può essere usato solo per recuperare vecchi messaggi cifrati, ma assolutamente da non usare per crittare nuovi messaggi.
Nel 1999, i computer erano già diventati così veloci da rompere in pochi giorni una chiave DES. Per quanto quell’anno, in una revisione dello standard, il NIST abbia caldamente consigliato l’utilizzo del Triple DES al posto del DES (esatto, il Triple DES è sostanzialmente una concatenazione di tre DES, dove ogni DES si basa su una chiave diversa, ed è lento il triplo), era ben chiaro che un algoritmo simmetrico completamente nuovo e privo di attacchi dovesse essere selezionato per un nuovo standard, in grado di resistere meglio all’attacco “brute force” e di durare per molti anni.
Quindi, allo scoccare dell’ultimo millennio e imparando dagli errori passati, il NIST ha aperto una competizione pubblica per rimpiazzare DES. Il vincitore della competizione è stato AES, un algoritmo simmetrico che ancora oggi è considerato tra i più sicuri in circolazione.
Il design di AES: confusione e diffusione
L’AES (Advanced Encryption Standard) è stato pubblicato nel 2001 dentro il documento chiamato FIPS 197 dal NIST stesso.
È un algoritmo simmetrico che rientra nella categoria di rete a sostituzione e permutazione. Questa categoria prende il nome dalle due principali operazioni che avvengono all’interno dell’algoritmo. La prima, la sostituzione, consiste appunto nel sostituire l’informazione che si ha in partenza con qualcos’altro. La seconda, la permutazione, consiste nel mescolare tutti i dati a disposizione. Infatti, AES sfrutta a pieno tali operazioni.
Dato un messaggio in chiaro che si vuole crittare con una chiave privata usando AES, esso è sempre rappresentabile in un computer come una lunga sequenza di zeri e di uni. Questa lunga sequenza viene suddivisa in vari blocchi, ognuno dei quali contiene 128 elementi. AES agisce appunto su un blocco di 128 elementi alla volta, utilizzando una decina di volte una trasformazione che funziona come segue.
Preso un blocco di 128 elementi, esso viene separato in 16 pezzi. Immaginiamo questi 16 pezzi come se fossero 16 carte di un mazzo di briscola. Come prima mossa, ogni carta viene sostituita con un’altra carta del mazzo, secondo una regola precisa. Ad esempio, la regola può dire che un asso di bastoni deve essere sostituito con un tre di spade.
Come seconda mossa, le sedici carte sono mescolate tra di loro, sempre secondo una regola precisa. È come prendere in mano tutte e 16 le carte e, per esempio, spostare 8 carte dal fondo del mazzo alla cima. Dopo essere stati sostituiti e mescolati, le sedici carte-pezzi subiscono una modifica che dipende strettamente dalla chiave utilizzata, e l’intera trasformazione termina concatenando i 16 pezzi.
Chiaramente, le effettive operazioni compiute da AES non sono tanto semplici quanto mescolare un mazzo di carte, ma ad alto livello funzionano come appena detto. Infatti, il design di AES risponde a due specifiche qualità, che in gergo sono dette confusione e diffusione.
A furia di sostituire una carta-pezzo con un’altra, AES crea confusione, cioè è impossibile associare banalmente una carta in entrata con una specifica carta in uscita, specie se non si è a conoscenza della chiave privata.
Analogamente, a furia di mescolare le carte-pezzi tra di loro, AES crea diffusione, ovvero risulta sostanzialmente impossibile tracciare il percorso compiuto dalle carte-pezzi a partire da quando entrano rispetto a quando escono nel messaggio cifrato finale.
Proprietà vantaggiose offerte da AES
Confusione e diffusione sono solo due delle numerose proprietà fornite da AES, ma ve ne sono anche molte altre.
Un’altra ottima proprietà di cui gode AES è il cosiddetto effetto valanga. Praticamente, le trasformazioni ripetute una decina di volte all’interno dell’algoritmo crittografico sono state costruite in maniera tale che un semplice cambio da zero in uno (o viceversa da uno in zero) nel blocco di 128 elementi in entrata causa una variazione in almeno metà del risultato in uscita.
Questa proprietà va a confermare il fatto che risulta particolarmente ostico per un attaccante provare a indovinare a priori quale messaggio in chiaro abbia prodotto un certo messaggio cifrato, visto che la correlazione tra valori che cambiano in uscita rispetto a quelli che cambiano in entrata è estremamente complessa.
Tra l’altro, per il punto di vista di un attaccante, questo lavoro di provare a indovinare a priori quale messaggio in entrata produca un certo messaggio in uscita viene ulteriormente complicato dal fatto che i blocchi elaborati da AES sono composti da 128 elementi (contro i miseri 64 elementi che si trovavano nei blocchi del DES).
Addirittura, la lunghezza di questi blocchi risulta estremamente comoda per complicare fino al limite della impraticabilità un attacco di questo tipo, anche su computer comprabili oggi.
Inoltre, le sostituzioni e le permutazioni che avvengono all’interno dell’algoritmo sono state costruite per design per essere particolarmente resistenti ad attacchi devastanti conosciuti e famosi, quali la crittoanalisi lineare e quella differenziale.
Vale anche la pena di spendere alcune parole riguardo alle chiavi private utilizzate da AES. Ricordando che DES utilizzava chiavi aventi solamente 56 elementi e che questa proprietà è stata sostanzialmente un tallone di Achille di quel vecchio algoritmo simmetrico, AES è stato costruito per considerare chiavi composte da una sequenza più lunga. Parecchio più lunga, in effetti.
Addirittura, esistono tre varianti di AES, una per ogni possibile lunghezza di chiave che l’algoritmo supporta: AES-128, AES-192, AES-256. E sì, il numero che si trova nel nome della variante indica appunto la lunghezza della sequenza di zeri e uni che compone la chiave privata supportata dall’algoritmo stesso, rispettivamente di 128, 192 e 256 elementi.
Le varianti offrono anche una particolarità in più: infatti, ognuna di esse fornisce una categoria di sicurezza maggiore rispetto alla variante precedente.
Intuitivamente, più una chiave è lunga, più essa può essere mescolata opportunamente con le carte-pezzi durante le trasformazioni di AES, più risulta improponibile per un attaccante senza la chiave privata riuscire a estrarre informazioni utili dai messaggi crittati.
Questo sta anche a significare che, anche se per qualche motivo venisse scoperto un attacco in grado di indovinare rapidamente una chiave privata di AES-128, comunque dovrebbe rimanere ancora sostanzialmente improbabile attaccare una delle varianti con una chiave più lunga.
Per consentire alle chiavi più lunghe di essere fortemente correlate al messaggio in uscita, le tre varianti di AES si differenziano l’una dall’altra anche per il numero di volte che viene eseguita la trasformazione “sostituisci-mescola-considera la chiave”.
Per AES-128, questo numero di ripetizioni corrisponde a dieci; per AES-192, a dodici; per AES-256, a 14.
È importante sottolineare che, ad oggi, AES ha una delle migliori tecniche di aggiornamento del messaggio elaborato in base alla chiave privata, tanto che le operazioni di questo algoritmo sono estremamente dipendenti dalla chiave privata che viene fornita.
Infatti, crittare uno specifico blocco con AES utilizzando prima una chiave e poi una seconda chiave distinta dalla prima solo per un elemento causa il blocco in uscita ad essere diverso per almeno la metà dei suoi elementi.
Il diverso livello di sicurezza fornito dalle tre versioni di AES lascia anche un minimo di flessibilità nella scelta di quale algoritmo sia più opportuno sfruttare in una determinata applicazione reale. Ad esempio, se si vuole garantire un ottimo livello di sicurezza ma si preferisce sia utilizzare meno spazio per conservare in maniera sicura le chiavi private, sia avere massima velocità di esecuzione, allora AES-128 è la scelta perfetta. Al contrario, se la unica assoluta priorità consiste nel garantire la massima segretezza di un certo messaggio cifrato, allora AES-256 è giustamente tirato in ballo.
A dir la verità, il miglior modo per vedere effettivamente quanto sia flessibile in pratica questo algoritmo simmetrico AES consiste nel parlare delle sue modalità di funzionamento.
Le modalità di funzionamento di AES
Visto il design estremamente robusto di AES, è ovvio che tale algoritmo sia diventato un blocco di base a partire dal quale numerose funzionalità sono state costruite. Le modalità di operazioni di AES rappresentano proprio questo: tecniche furbe di utilizzo dell’algoritmo o per contesti che potrebbero apparire lontani dal motivo originale che ha portato alla sua creazione, o per raffinarlo in certi specifici ambienti.
Per esempio, immaginiamo questo ambiente specifico. Supponiamo di voler crittare una certa immagine salvata sul nostro computer tramite AES prima di inviarla in rete.
Chiaramente, saremmo tentati di utilizzare AES così com’è, sarebbe a dire, data una chiave, suddividiamo l’immagine in blocchi, poi facciamo passare ogni blocco dentro AES per ottenere un blocco cifrato, e infine inviamo in rete in ordine i blocchi cifrati ottenuti in uscita (questa modalità di operazione di AES “immediata” viene chiamata ECB, Electronic CodeBook).
Eppure, per costruzione di AES stesso, esso è un algoritmo deterministico, il che significa che a parità di blocco in entrata otteniamo il medesimo blocco in uscita sotto la medesima chiave.
Questo determinismo ha uno sfortunato effetto indesiderato sulla nostra immagine. Se un attaccante fosse in grado di recuperare tutti i blocchi cifrati e se egli fosse a conoscenza delle dimensioni dell’immagine originale, allora potrebbe provare a ricostruire un’immagine accostando opportunamente i vari blocchi cifrati.
Certo, un’immagine costruita direttamente da blocchi cifrati avrà sicuramente colori completamente sballati rispetto all’originale formata dai blocchi in chiaro, ma un’immagine contiene tipicamente talmente tante informazioni che la correlazione deterministica tra blocchi in partenza e blocchi in arrivo causa un buffo effetto di possibile riconoscimento dei contorni della figura.
È famosa un’immagine del pinguino simbolo di Linux crittata con la modalità ECB in cui, incredibilmente, la figura dell’animale rimane alquanto distinguibile anche dopo l’operazione di crittazione.
In contesti in cui è di fondamentale importanza crittare una grossa quantità di dati e in cui ci si aspetta numerose ripetizioni di blocchi in entrata, è possibile utilizzare, per esempio, la modalità di funzionamento CBC (Cipher Block Chaining). Essa sfrutta il blocco in uscita di un’operazione precedente per confondere il successivo blocco in entrata, riuscendo completamente a far sparire traccia del contorno del pinguino dell’esempio scritto in precedenza.
Tra le modalità che aggiungono ulteriori pretesti per utilizzare AES, anche al di fuori di un semplice algoritmo per invio sicuro di dati, spiccano GCM e XTS-AES.
GCM (Galois/Counter Mode) è una modalità di funzionamento che garantisceconfidenzialità, autenticità e integrità del messaggio tramite l’utilizzo di AES.
Infatti, prendendo in entrata una certa chiave privata, un messaggio da crittare e certi dati aggiuntivi, GCM fornisce innanzitutto confidenzialità crittando il messaggio richiesto con la chiave privata.
Ma in particolare, tramite opportune operazioni che riguardano le informazioni in ingresso, GCM può assicurare sia il fatto che il messaggio crittato non sia stato manipolato durante la trasmissione in rete (integrità) sia il fatto che un determinato messaggio proviene dall’entità che ha la nostra stessa chiave privata (autenticità).
La modalità di funzionamento XTS-AES, invece, è stata appositamente progettata per permettere ad AES di assicurare confidenzialità dei dati archiviati.
Infatti, tirando in ballo in maniera creativa il numero che indica una certa sezione di memoria in cui verrà salvato il dato crittato e il numero che indica quale blocco di 128 elementi stiamo trattando in una data sezione di memoria, questa modalità permette di crittare in modo ottimale tutti i dati che, ad esempio, ci troviamo sul nostro computer.
Famosi casi di utilizzo di AES
Data la robustezza di AES e l’incedibile flessibilità fornita dalle sue modalità di funzionamento, non bisogna sorprendersi che questo algoritmo abbia riscosso enorme successo. Probabilmente, non basterebbe nemmeno un articolo come questo per elencare ogni applicazione e implementazione in cui compare, sia essa di un’entità pubblica o privata.
Basta pensare che AES è stato implementato in una manciata di librerie crittografiche software per famosi linguaggi di programmazione come Python, Java, Rust e Go.
Processori prodotti da IBM, Intel e ARM includono in hardware AES.
7zip (un famoso programma per archiviare, comprimere e decomprimere dati) offre la possibilità di crittare dati usando AES-256.
AES è anche utilizzato da Windows BitLocker e da Dropbox per proteggere dati archiviati.
Conclusioni
La grande fiducia riposta in AES e il suo ampio utilizzo sono ben motivati. Ancora oggi, 22 anni dopo che questo algoritmo simmetrico è stato eletto come standard, non esistono attacchi efficaci molto più veloci di un “brute force”, ovvero, il tentare di indovinare una sequenza di almeno 128 elementi di zeri e uni per ricostruire una chiave privata.
Intorno al 2010, con tecniche molto avanzate, alcuni studiosi sono riusciti a trovare un attacco su una versione di AES che usa 8 trasformazioni (per fortuna, AES-128 usa 10 trasformazioni, e le altre varianti usano ancora più trasformazioni, come scritto prima), mentre altri studiosi sono riusciti a dimostrare che due elementi di ogni chiave di AES posso essere dedotti, lasciando “solo” 126, 190 e 254 elementi da indovinare per AES-128, AES-192 e AES-256 rispettivamente.
Nessun problema: indovinare 126 elementi richiede comunque miliardi di anni su computer moderni utilizzando “brute force”.
Il NIST, dopo le lezioni apprese grazie al DES, è riuscito a istituire un algoritmo simmetrico come standard con un design talmente resistente e con una flessibilità talmente grande che AES sta resistendo perfettamente alla prova del tempo.
A patto di mitigare possibili attacchi che consistono nel controllare la corrente che scorre in un computer mentre l’algoritmo viene eseguito, e a patto di implementarlo correttamente, AES rimane pressappoco indistruttibile.
Talmente tanto che l’avvento dei computer Post-Quantum fa semplicemente scalare il livello di sicurezza di AES-256 a quello di AES-128.
Questo problema di abbassamento di sicurezza può essere facilmente aggirato, per esempio, grazie a un piccolo aggiornamento dello standard dove vengono definite nuove varianti che hanno la chiave privata lunga il doppio.
