Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L'AES-128 è un algoritmo di crittografia robusto che protegge i dati online. Nonostante la minaccia dei computer quantistici, la sua sicurezza non sarà compromessa grazie alle limitazioni dell'algoritmo di Grover.
AES-128 è uno dei meccanismi di crittografia di base che protegge i dati online e all’interno dei servizi. Quando un browser apre un sito web tramite HTTPS, quando un programma di messaggistica crittografa i messaggi o quando un sistema memorizza password e token, questo algoritmo è spesso quello sottostante.
Prende i dati e li cripta utilizzando una chiave a 128 bit. Senza questa chiave, il testo originale non può essere recuperato: l’unica opzione è provare tutte le combinazioni possibili, che sono 2^128, ovvero un numero con 38 zeri. Anche con un’enorme potenza di calcolo, una ricerca di questo tipo richiederebbe un tempo astronomico.
Nel contesto delle discussioni sui computer quantistici , una formula semplificata si è radicata attorno all’algoritmo AES-128: una volta sviluppati computer quantistici sufficientemente potenti, la sicurezza si dimezzerà, diventando paragonabile a quella di un sistema a 64 bit. Ciò porta alla conclusione ovvia che l’algoritmo diventerà pressoché inutile. Il crittografo Filippo Valsorda esamina questa tesi e mostra esattamente dove la logica fallisce.
Alla base di questa paura c’è l’algoritmo di Grover. Esso velocizza le ricerche su dataset non strutturati e, teoricamente, riduce il numero di passaggi necessari per provare le chiavi.
Nelle ricostruzioni, l’unica cosa che spesso rimane è che, invece di 2^128 operazioni, ne servono circa 2^64. Ma questo ricalcolo ignora il funzionamento di un attacco reale e le limitazioni che si presentano quando si tenta di implementarlo nella pratica.
Una tipica ricerca esaustiva su computer classici può essere facilmente suddivisa in parti. Se un’attività richiede di verificare miliardi di varianti, può essere distribuita tra migliaia di macchine, ognuna delle quali svolge la propria parte. Maggiore è il numero di risorse, più rapido sarà il tempo complessivo di elaborazione. L’algoritmo di Grover si comporta in modo diverso. Richiede un lungo calcolo sequenziale, in cui i passaggi dipendono l’uno dall’altro. Cercare di suddividere e parallelizzare l’attività riduce drasticamente il vantaggio derivante dall’accelerazione quantistica.
Valsorda spiega la differenza usando un semplice esempio di una serratura a 256 combinazioni. Un attacco classico prova tutte le 256 combinazioni. Se si uniscono altre tre persone, ognuna ne proverà 64 e l’operazione si concluderà più velocemente. Con l’algoritmo di Grover, un singolo attacco richiederebbe teoricamente 16 passaggi consecutivi. Ma se gli stessi quattro partecipanti provassero a dividersi il lavoro, ognuno dovrebbe eseguire otto passaggi e il volume totale di calcolo aumenterebbe a 32. In definitiva, l’aiuto aumenta il carico di lavoro complessivo invece di ridurlo.
La stessa logica si applica a stime più rigorose. La cifra comunemente usata di 2^64 si basa sul presupposto che l’intero algoritmo AES possa essere eseguito come una singola operazione quantistica. In realtà, il modello è molto più complesso. Tenendo conto dei limiti del calcolo parallelo e della struttura stessa dell’attacco, il costo finale sale a circa 2^104 operazioni. Questo livello è ben oltre ciò che sarà possibile anche con le future macchine quantistiche.
L’ingegnere di Google Sophie Schmig descrive una situazione simile. In una tipica ricerca a forza bruta, fermarsi a metà offre circa il 50% di probabilità di indovinare la chiave, rendendo il compito facilmente suddivisibile tra più macchine. In una versione quantistica, con lo stesso punto di arresto, il tasso di successo scende a circa il 25%. Per mantenere l’efficienza, è necessario aumentare il numero di dispositivi e il carico di lavoro complessivo cresce nuovamente. Se la parallelizzazione viene spinta al limite, sono necessarie 2^128 macchine quantistiche, il che significa che il vantaggio scompare.
Questa discussione non significa che il passaggio a chiavi più lunghe sia in linea di principio superfluo. AES-256 viene utilizzato laddove è necessaria una maggiore sicurezza, ad esempio per ridurre il rischio di collisioni di chiavi. Tuttavia, l’obbligo di utilizzare 256 bit in diversi standard non è nato come risposta urgente alla minaccia quantistica, bensì come tentativo di uniformare il livello di protezione ed evitare di suddividere i sistemi in categorie.
La conclusione principale di Valsorda riguarda le priorità. I computer quantistici rappresentano una sfida per la crittografia, ma soprattutto per gli algoritmi asimmetrici, che sono alla base dello scambio di chiavi e delle firme digitali.
L’algoritmo di Shor è in grado di decifrarli con una velocità di gran lunga superiore a quella dei metodi classici. Pertanto, la maggior parte del lavoro attuale si concentra sulla sostituzione di questi meccanismi con equivalenti post-quantistici. La crittografia simmetrica, che include l’AES, rimane robusta sotto questo aspetto e non richiede una riprogettazione urgente.
