Segretissimo... o quasi

Segretissimo... o quasi Segretissimo... o quasi Un perso re il codice delBancomat LUNEDI' 13 luglio '98, in una stanza della Eef (Electronic Frontier Foundation) a San Francisco, sei scatoloni pieni zeppi di chip iniziano ronzando il loro lavoro sotto la direzione inflessibile di un semplice ma testardo personal computer con sistema operativo Linux. Sono attive 35.868 unità costruite apposta, montate su 26 schede; durante una breve pausa, le unità vengono portate a 37.050 con l'aggiunta di un'ulteriore scheda. Dopo 56 ore di calcolo il personal emette un segnale di trionfo: il messaggio cifrato è decodificato! Eccolo: «It's time for those 128-, 192-, and 256-bit keys». Il gruppetto di matematici, informatici e crittologi, che ha lavorato al progetto per poco più di un mese, è travolto dall'entusiasmo. Il significato dell'evento è enorme: il DES (Data Encryption Standard), lo standard Usa di crittografia, è stato rotto con una spesa (inclusi progettazione, chip, software e montaggio) inferiore a 250.000 dollari e con tecniche di pubblico dominio. Il DES è un codice simmetrico che lavora su blocchi di 64 bit di messaggio, cioè 8 byte. Se per esempio utilizziamo l'ordinario codice Ascii, alle lettere A, I, N, O e V corrispondono i numeri decimali 65,73,78, 79 e 86; questi, trasformati in numeri binari sono rispettivamente 01000001, 01001001, 01001110, 01001111 eOlOlOHO. Inoltre lo spazio ha numero decimale 32, in binario 00100000. Segue che il messaggio «Viva noi» viene inviato al DES così: 01010110010010010 1010110010000010010000001 0011100100111101001001. Il DES utilizza una chiave che è anch'essa di 64 bit. Però 8 bit sono usati per il controllo di parità (dopo 7 bit consecutivi ce n'è uno di controllo); quindi la chiave ha una lunghezza effettiva di 56 bit. Data la chiave, l'algoritmo del DES percorre 16 cicli identici nei quali vengono effettuate complesse operazioni sul blocco in ingresso; il risultato dipende unicamente dalla chiave stessa e dal blocco entrato. Il codice è simmetrico in quanto se si fa entrare il risultato (messaggio cifrato) si riottiene, con la medesima chiave e nessun'altra, il testo originale. Poiché una chiave ha 56 bit, le chiavi possibili sono 2 elevato a 56, cioè circa 72 milioni di miliardi. Ogni unità del DES Cracker della EFF esaminava circa 2,5 milioni di chiavi al secondo, per un totale di 90 miliardi di chiavi al secondo. Il tempo di ricerca atteso era di 4,5 giorni. Con un po' di fortuna, il successo è arrivato dopo l'esame di un quarto delle possibilità: 18 milioni di miliardi di chiavi. Tutto questo è stato realizzato come risposta alla sfida DES Challenge II (premio 10.000 dollari), proposta da un gruppo di famosi crittologi con lo scopo di dimostrare al governo Usa l'inutilità delle restrizioni legislative sulla crittografia. Altre gare sono avvenute in precedenza con lo stesso obiettivo: rompere il DES! Nel 1997 il premio è stato vinto dopo 5 mesi di calcolo da parte di migliaia di personal computer in rete controllati da un server centrale. All'inizio del '98 il tempo necessario è stato inferiore alle 6 settimane; la rete di computer ha esaminato 30 miliardi di chiavi al secondo, per un totale di 63 milioni di miliardi prima di trovale quella giusta (il messaggio segreto era Many hands make light work). La prossima gara inizierà il 13 gennaio del 1999; si vinceranno 10.000 dollari se il codice sarà rotto in 14 ore e premi minori per tempi più lunghi. Saranno in rete personal di volontari in tutte le nazioni. Dal novembre di quest'anno il DES a 56 bit non sarà più usato dal governo Usa (che comunque già prima non si serviva del DES per le informazioni top secret). Ma il risultato probabile di questa sequenza di sfide (e relative vittorie) sarà che il vecchio DES potrà essere rotto in poche ore (se non in pochi minuti) da gruppi o singoli opportunamente attrezzati. Milioni di documenti riservati perderanno la loro segretezza e le conseguenze di questa (indesiderata) trasparenza saranno gravissime. L'Associazione dei Banchieri Usa ha già espresso profonda preoccupazione per l'evolversi della situazione. Ogni giorno, in gran parte del mondo, i trasferimenti bancari sono eseguiti in forma crittografata. Lo stesso PIN, il numero di identificazione personale delle nostre carte Bancomat, è cifrato in modo tale che chi casualmente (o non tanto casualmente) si trovi in possesso della nostra carta non possa leggere il numero sulla banda magnetica della stessa. Il DES, divenuto standard crittografico internazionale, è stato introdotto nel 1977 dopo anni di ricerche. Il Nbs (National Bureau of Standard, ora NIST, National Institute of Standard and Technology) scelse un algoritmo inizialmente sviluppato dall'Ibm e certificato dalla Nsa (National Security Agency) come «privo di debolezze statistiche o matematiche». Questa scelta ha suscitato molte controversie negli Usa. Il progetto iniziale dell'Ibm prevedeva chiavi lunghe più di un centinaio di bit; lun: ghezza che è stata ridotta a 56 bit nel DES. Alcuni critici dissero che questa dimensione - ridotta ma non troppo - era stata imposta dalla Nsa affinché fosse impossibile (o comunque troppo dispendioso) rompere il codice a chiunque non possedesse i super computer dei servizi di sicurezza statunitensi. Altri espressero il sospetto dell'esistenza di una sorta di «porta eli servizio» nascosta nel codice: un punto debole introdotto apposta per rendere possibile la decifrazione a chi lo conosca, anche senza la chiave. Cercare le presunte debolezze del DES - volute o meno dalla Nsa - divenne il passatempo preferito di molti crittoanalisti. Si pensò, per esempio, che l'insieme delle chiavi fosse «chiuso». Questo significa che se si prende un blocco B e lo si codifica con una chiave J ottenendo il blocco (cifrato) B', e quindi si co¬ difica B' con una seconda chiave K ottenendo il blocco (cifrato due volte) B", esiste sempre una terza chiave L, tale che cifrando B con essa si ottiene direttamente B". La chiusura dello spazio delle chiavi di un codice fa si che esso sia sensibile a particolari attacchi crittoanalitici di tipo algebrico. Però nel 1993 venne dimostrato che l'insieme delle chiavi del DES non è chiuso. La provata non-chiusura dello spazio del DES ha reso sensata l'introduzione del Triple DES, algoritmo eguale al DES, a parte il fatto che il messaggio è cifrato tre volte di seguito, usando 3 chiavi; ovviamente se l'insieme delle chiavi fosse chiuso questo I non porterebbe a nulla di diver- so dalla utilizzazione di una sola chiave. Il Nist non si è però pronunciato su una effettiva maggiore robustezza del Triple DES, che è già usato da molte istituzioni e sostituirà del tutto il DES a partire da novembre, in attesa che si metta a punto il nuovo standard (potrebbe essere l'EES, cioè Escrowed Encryption Standard). I ripetuti e poderosi attacchi a cui il DES è stato sottoposto eliminano comunque ogni sospetto di superficialità o di intenti fraudolenti nei progettisti del DES. Infatti il DES ha superato persino le aspettative e si è dimostrato forte anche contro potenti algoritmi basati su teorie matematiche che nel 1977 non erano immaginabili. La debolezza del DES risiede unicamente nel fatto che lo spazio di ricerca delle chiavi è relativamente piccolo. Questo è dovuto a due dati di fatto. In primo luogo la ricerca delle chiavi è un problema computabile in parallelo: mille processori che esplorino un milione di chiavi al secondo cercano complessivamente un miliardo di chiavi al secondo. Naturalmente aumenta nella stessa misura il costo, ma se ci sono forti interessi, economici o di altro genere, i fondi si trovano. In secondo luogo, il progresso tecnologico produce, a parità di costo, processori sempre più veloci, che facilitano un attacco al DES. Tuttavia le proiezioni dogli esperti dicono che con una chiave di 128 bit il sistema sarebbe al sicuro da ogni attacco basato sulla sola forza biuta della potenza di calcolo per almeno 35 anni. II DES Cracker della Eef usa vecchie tecnologie, semplice progettazione hardware, software non molto interessante, e nessuna teoria crittoanalitica. Non ò una meraviglia dell'ingegneria; la sola cosa interessante è quanto realmente la sua costruzione non presenti difficoltà. La vera notizia è che un piccolo gruppo di civili, organizzatisi in modo autonomo, abbia potuto costruire qualcosa che l'amministrazione pubblica ha sempre negato fosse possibile fare. La funzione principale di queste disfide è dimostrativa; esse rappresentano anche prese di posizione contro una certa ipocrisia nell'atteggiamento del"e organizzazioni governative e nella legislazione che negli Usa regola l'esportazione di algoritmi crittografici. I sei-vizi segreti Usa vivono nel terrore che possano circolare notizie per loro indecifrabili, che esista qualcosa che non possano conoscere e quindi cercare di controllare. La legge Usa attribuisce principalmente all'Itar (International Traffic in Arms Regulationsl la funzione eh evitare che solidi codici crittografici - trattati al pari di dispositivi bellici - cadano nelle mani di persone, enti o stati non autorizzati. Ma, in generale, questo non funziona. Un risultato curioso dell'azione dell'Itar è che esistono in Europa ditte che vendono software crittografico sviluppato in Usa, che però le società americane non possono esportare. Gianpietro Allasia Umberto Cerruti Università di Torino In pochi giorni e con mezzi alla portata di tutti forzato il sistema crittografico più usato al mondo Da novembre gli Usa adotteranno un altro standard ma c'è ugualmente un poco di imbarazzo scngczacscdcmdfDpmtmezndcdc

Persone citate: Escrowed Encryption Standard, Gianpietro Allasia Umberto Cerruti

Luoghi citati: Europa, San Francisco, Torino, Usa