Advanced Encryption Standard: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 14:15, 9 lug 2024 modifica Simone Biancolilla (discussione \| contributi) Utenti autoverificati 30 808 modifiche →Descrizione: Aggiunto il template "Immagine multipla" e spostato in esso le immagini relative ai passi dell'algoritmo e le relative descrizioni Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 21:04, 17 ago 2025 modifica annulla InternetArchiveBot (discussione \| contributi) Bot 1 849 883 modifiche Recupero di 2 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5
(10 versioni intermedie di 7 utenti non mostrate)
Riga 15: In [[crittografia]], l{{'}}'''Advanced Encryption Standard''' ('''AES'''), conosciuto anche come '''Rijndael''' ({{IPA\|[ˈrɛindaːl]}}),<ref name="Rijndael">{{Cita web\|url=http://searchsecurity.techtarget.com/definition/Rijndael\|titolo=Rijndael\|accesso=9 marzo 2015\|urlmorto=sì\|urlarchivio=https://web.archive.org/web/20150312013118/http://searchsecurity.techtarget.com/definition/Rijndael\|dataarchivio=12 marzo 2015\|lingua=en}}</ref><ref name="Rijndael-ammended.pdf">{{Cita web \|lingua=en \|url=http://csrc.nist.gov/archive/aes/rijndael/Rijndael-ammended.pdf#page=1 \|titolo=AES Proposal: Rijndael \|cognome1=Daemen \|nome1=Joan \|cognome2=Rijmen \|nome2=Vincent \|data=9 marzo 2003 \|editore=National Institute of Standards and Technology \|p=1 \|accesso=21 febbraio 2013 \|urlmorto=sì \|urlarchivio=https://web.archive.org/web/20130305143117/http://csrc.nist.gov/archive/aes/rijndael/Rijndael-ammended.pdf#page=1 \|dataarchivio=5 marzo 2013 }}</ref> di cui più propriamente è una specifica [[implementazione]],<ref name="Rijndael-ammended.pdf" /> è un [[algoritmo]] di [[cifratura a blocchi]] a [[Crittografia simmetrica\|chiave simmetrica]], utilizzato come [[standard (informatica)\|standard]] dal governo degli [[Stati Uniti d'America]]. Data la sua sicurezza e le sue specifiche pubbliche si presume che in un prossimo futuro venga utilizzato in tutto il mondo come è successo al suo predecessore, il [[Data Encryption Standard]] (DES) che ha perso poi efficacia per vulnerabilità intrinseche. AES è stato adottato dalla [[National Institute of Standards and Technology]] (NIST) e dalla US [[Federal Information Processing Standard\|FIPS]] PUB nel novembre del [[2001]]<ref name="fips-197">{{Cita web\|url=http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf\|titolo=Announcing the ADVANCED ENCRYPTION STANDARD (AES)\|editore=United States National Institute of Standards and Technology (NIST)\|opera=Federal Information Processing Standards Publication 197\|lingua=en\|data=26 novembre 2001\|accesso=2 ottobre 2012\|urlmorto=sì\|urlarchivio=https://web.archive.org/web/20170312045558/http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf\|dataarchivio=12 marzo 2017}}</ref> dopo 5cinque anni di studi, standardizzazioni e selezione finale tra i vari algoritmi proposti. L'algoritmo scelto è stato sviluppato da due crittografi [[Belgio\|belgi]], [[Joan Daemen]] e [[Vincent Rijmen]], che lo hanno presentato al processo di selezione per l'AES con il nome di "Rijndael", derivato dai nomi degli inventori~~. Rijndael, in [[Lingua olandese\|fiammingo]], si pronuncia approssimativamente "rèin-daal"~~. == Descrizione == Rijndael è un'evoluzione del primo algoritmo sviluppato da Daemen e Rijmen, [[Square (cifrario)\|Square]]., ~~Square~~che era stato sviluppato per [[SHARK]]. A differenza del DES, Rijndael è una [[rete a sostituzione e permutazione]], non una [[rete di Feistel]], che implementa comunque il principio crittografico di Shannon di "[[confusione e diffusione]]". AES è veloce sia se sviluppato in [[software]] sia se sviluppato in [[hardware]],<ref>{{Cita web\|lingua=en\|url=https://www.schneier.com/paper-twofish-final.pdf \|titolo=The Twofish Team's Final Comments on AES Selection \|autore=Bruce Schneier \|autore2=John Kelsey \|autore3=Doug Whiting \|autore4=David Wagner \|autore5=Chris Hall \|autore6=Niels Ferguson \|autore7=Tadayoshi Kohno \|autore8=Mike Stay \|data=maggio 2000 \|urlmorto=no \|urlarchivio=https://web.archive.org/web/20100102041117/http://schneier.com/paper-twofish-final.pdf \|dataarchivio=2 gennaio 2010 }}</ref> è relativamente semplice da implementare, richiede poca [[RAM\|memoria]] ede offre un buon livello di protezione~~/sicurezza~~, motivi che complessivamente l'hanno reso il preferito rispetto agli altri algoritmi proposti. Il nuovo standard di cifratura sta sostituendo i precedenti standard e la sua diffusione continua ad aumentare. Formalmente, AES non è equivalente al Rijndael (sebbene nella pratica siano intercambiabili) dato che il Rijndael gestisce differenti [[Dimensione del blocco\|dimensioni di blocchi]] e di [[~~chiave~~Dimensione ~~crittografica~~della chiave\|chiavi]]. Nell'AES il blocco è invece di dimensione fissa ({{M\|128 [[\|ul=bit]]}}) e la chiave può essere di 128, 192 o {{M\|256 \|u=bit}} mentre il Rijndael specifica solo che il blocco e la chiave devono essere un multiplo di [[{{M\|32 \|u=bit]]}} con [[{{M\|128 \|u=bit]]}} come minimo e {{M\|256 \|u=bit}} come massimo. AES opera utilizzando [[Matrice\|matrici]] di ~~4×4~~<math>4 \times 4</math> [[byte]] chiamate stati (''states''). Quando l'algoritmo ha blocchi di {{M\|128 \|u=bit}} in input, la matrice State ha 4 righe e 4 colonne; se il numero di blocchi in [[input]] diventa di {{M\|32 \|u=bit}} più lungo, viene aggiunta una colonna allo State, e così via fino a {{M\|256 \|u=bit}}. In pratica, si divide il numero di bit del blocco in input per 32 e il quoziente specifica il numero di colonne. C'è un passaggio iniziale: # <code>AddRoundKey</code> – Ogni byte della tabella viene combinato con la chiave di sessione, ~~la chiave di sessione~~che viene calcolata dal [[~~gestore~~Rijndael ~~della~~key ~~chiave~~schedule\|gestore delle chiavi]]. Successivamente per cifrare sono previsti diversi round o cicli di processamento: ogni round (fase) dell'AES (eccetto l'ultimo) consiste dei seguenti quattro passaggi fondamentali che vengono denominati LAYERS: # <code>SubBytes</code> – Sostituzione non lineare di tutti i byte che vengono rimpiazzati secondo una specifica tabella. # <code>ShiftRows</code> – Spostamento dei byte di un certo numero di posizioni dipendente dalla riga di appartenenza. # <code>MixColumns</code> – Combinazione dei byte con un'operazione lineare, i byte vengono trattati una colonna per volta. # <code>AddRoundKey</code> – Ogni byte della tabella viene combinato con la chiave di sessione, ~~la chiave di sessione viene~~ calcolata dal gestore delle chiavi. Il numero di round o cicli di processamento/elaborazione crittografica dei quattro passaggi precedenti è 10 con l'ultimo round che salta il passaggio <code>MixColumns</code>. A seguito la descrizione di ogni singolo passaggio. La fase di decifratura non è identica a quella di cifratura dal momento che ~~gli~~i ~~step~~passaggi sono eseguiti in ordine inverso. Tuttavia, si può definire un cifrario inverso equivalente ai passi dell'algoritmo usato per la cifratura, usando la [[funzione inversa]] a ogni step e un differente ~~key~~gestore delle ~~schedule~~chiavi. Funziona siccome il risultato non cambia quando si scambiano la fase di <code>SubBytes</code> con quella di <code>ShiftRows</code>, e quella di <code>MixColumns</code> con una fase aggiuntiva di <code>AddRoundKey</code>. === SubBytes === Riga 55: \|didascalia4 = Nel passaggio <code>AddRoundKeys</code> ogni byte della matrice viene combinato con la sua sottochiave tramite un'operazione di [[XOR]]. \|per riga = 2 }}Nel passaggio <code>SubBytes</code> ogni byte della matrice viene modificato tramite la [[S-box]] a {{M\|8 \|u=bit}}. Questa operazione provvede a fornire la [[non linearità]] all'algoritmo. La S-box utilizzata è derivata da una funzione inversa nel [[campo finito]] [[Campo di Galois\|GF]](~~''2~~<~~sup~~math>2^8</~~sup~~math>''), conosciuta per avere delle ottime proprietà di non linearità. Per evitare un potenziale attacco basato sulle proprietà algebriche la S-box è costruita combinando la funzione inversa con una [[trasformazione affine]] [[invertibile]]. La S-box è stata scelta con cura per non possedere né [[punto fisso\|punti fissi]] né punti fissi opposti. Riga 63: Il passaggio <code>ShiftRows</code> provvede a spostare le righe della matrice di un parametro, e dipende dal numero di riga. Nell'AES la prima riga resta invariata, la seconda viene spostata di un posto verso sinistra, la terza di due posti e la quarta di tre. In questo modo l'ultima colonna dei dati in ingresso andrà a formare la ''[[diagonale]]'' della matrice in uscita (Rijndael utilizza invece un disegno leggermente diverso per via delle matrici di lunghezza non fissa). ~~(Rijndael utilizza un disegno leggermente diverso per via delle matrici di lunghezza non fissa.)~~ Tutte le operazioni sono effettuate utilizzando l'indice della colonna “[[~~aritmetica~~Operazione ~~modulare~~modulo\|modulo]]” il numero di colonne. === MixColumns === Il passaggio <code>MixColumns</code> prende i quattro byte di ogni colonna e li combina utilizzando una [[trasformazione lineare]] invertibile. Utilizzati in congiunzione, <code>ShiftRows</code> e <code>MixColumns</code> provvedono a far rispettare il criterio di [[confusione e diffusione]] nell'algoritmo (~~[[Confusione e diffusione\|~~teoria di Shannon]]). Ogni colonna è trattata come un [[polinomio]] in ~~[[Campo di Galois\|~~GF(2<sup>8</sup>)]] e viene moltiplicata modulo <math>x^4+1</math> per un polinomio fisso <math>c(x)=3x^3+x^2+x+2</math>. === AddRoundKey === Il passaggio <code>AddRoundKey</code> combina con uno [[XOR]] la [[chiave di sessione]] con la matrice ottenuta dai passaggi precedenti (State). Una chiave di sessione viene ricavata dalla [[chiave primaria]] ad ogni round (con dei passaggi più o meno semplici, adper esempio uno [[shift]] di posizione dei bit) grazie al [[~~Rijndael~~gestore ~~key~~della ~~schedule\|Key Scheduler~~chiave]]. == Sicurezza == {{NN\|informatica\|settembre 2012}} La [[National Security Agency]] (NSA) segnalava che tutti i finalisti del processo di standardizzazione erano dotati di una sicurezza sufficiente per diventare l'AES, ma che fu scelto il Rijndael per via della sua flessibilità nel trattare chiavi di lunghezza diversa, per la sua ~~semplice~~semplicità di implementazione in [[hardware]] e in [[software]] e per le sue basse richieste di memoria, che ne consentono un'implementazione anche in dispositivi con scarse risorse come le [[smart card]]. L'AES può essere utilizzato per proteggere le [[informazioni ~~secretate.~~classificate]]: Per il livello SECRET è sufficiente una chiave a {{M\|128 \|u=bit}}, mentre per il livello ~~[[Top~~TOP ~~secret]]~~SECRET si consigliano chiavi a 192 o {{M\|256 \|u=bit}}. Questo significa che per la prima volta il pubblico ha accesso ada una tecnologia crittografica che la NSA ritiene adeguata per proteggere i documenti TOP SECRET. Si è discusso sulla necessità di utilizzare chiavi lunghe (192 o {{M\|256 \|u=bit}}) per i documenti TOP SECRET. Alcuni ritengono che questo indichi che l'NSA ha individuato un potenziale attacco che potrebbe forzare una chiave relativamente corta ({{M\|128 \|u=bit}}), mentre la maggior parte degli esperti ritiene che le raccomandazioni ~~della~~ dell'NSA siano basate principalmente sul volersi garantire un elevato margine di sicurezza per i prossimi decenni contro un potenziale attacco esaustivo. La maggior parte degli algoritmi crittografici viene forzata riducendo il numero di round. L'AES effettua 10dieci round per la chiave a {{M\|128 \|u=bit}}, 12dodici round per la chiave a {{M\|192 \|u=bit}} e 14quattordici round per la chiave a {{M\|256 \|u=bit}}. Al 2006, i migliori attacchi sono riusciti a forzare l'AES con 7sette round e chiave di {{M\|128 \|u=bit}}, 8otto round e chiave di {{M\|192 \|u=bit}} e 9nove round e chiave di {{M\|256 \|u=bit}}.<ref name="improved">[[John Kelsey (cryptanalyst)\|John Kelsey]], [[Stefan Lucks]], [[Bruce Schneier]], [[Mike Stay]], [[David A. Wagner\|David Wagner]], e [[Doug Whiting]], ''Improved Cryptanalysis of Rijndael'', [[Fast Software Encryption]], 2000 pp. 213–230 {{Cita web\|url=https://www.schneier.com/paper-rijndael.html\|titolo=Archived copy\|accesso=6 marzo 2007\|urlarchivio=https://web.archive.org/web/20070223215007/http://www.schneier.com/paper-rijndael.html\|dataarchivio=23 febbraio 2007\|urlmorto=no}}</ref> Alcuni crittografi hanno fatto notare che la differenza tra i round effettuati dall'AES e quelli massimi prima che l'algoritmo non sia più forzabile è ridotta (specialmente con chiavi corte). Questi temono che miglioramenti nelle tecniche di analisi possano permettere di forzare l'algoritmo senza verificare tutte le chiavi. Attualmente una [[ricerca esaustiva]] è impraticabile: la chiave a {{M\|128 \|u=bit}} produce {{M\|3,4\|e=38}} [[combinazioni]] diverse. Uno dei migliori attacchi a forza bruta è stato svolto dal progetto [[distributed.net]] su una chiave a [[{{M\|64 \|u=bit]]}} per l'algoritmo [[RC5]]; l'attacco ha impiegato quasi 5cinque anni, utilizzando il tempo libero di migliaia di [[CPU]] di volontari. Anche considerando che la potenza dei [[computer]] aumenta nel tempo, servirà ancora molto tempo prima che una chiave da {{M\|128 \|u=bit}} sia attaccabile con il [[metodo forza bruta]]. Molte banche mettono a disposizione per l'[[home banking]] dei propri clienti chiavi a {{M\|256 \|u=bit}}, con il risultato che si ottiene una cifratura ben <math>2^{128}</math> volte più sicura di quella a {{M\|128 \|u=bit}}, sebbene quest'ultima possa considerarsi altamente sicura ede invalicabile dai moderni PC. Un altro dubbio riguardante l'AES deriva dalla sua struttura matematica. A differenza della maggior parte degli algoritmi a blocchi, per l'AES esiste un'approfondita descrizione matematica <ref>[{{Cita web \|url=http://www.isg.rhul.ac.uk/~sean/ \|titolo=Sean Murphy<!-- Titolo generato automaticamente -->] \|accesso=5 gennaio 2005 \|dataarchivio=31 gennaio 2009 \|urlarchivio=https://web.archive.org/web/20090131145521/http://www.isg.rhul.ac.uk/~sean/ \|urlmorto=sì }}</ref>. Sebbene non sia mai stata utilizzata per condurre un attacco su misura, questo non esclude che in futuro questa descrizione non venga utilizzata per condurre un attacco basato sulle sue proprietà matematiche. Nel [[2002]] l'attacco teorico chiamato ''[[attacco XSL]],'' annunciato da [[Nicolas Courtois]] e [[Josef Pieprzyk]], ha mostrato un potenziale punto debole dell'AES (e di altri cifrari). Sebbene l'attacco sia matematicamente corretto, è impraticabile nella realtà per via dell'enorme tempo macchina richiesto per metterlo in pratica. Miglioramenti nell'attacco hanno ridotto il tempo macchina richiesto e quindi, in un futuro, questo attacco potrebbe diventare attuabile. Riga 99 ⟶ 98: Sembra che abbiano commesso degli errori teorici e che, in realtà, le loro stime siano ottimistiche. Allo stato attuale, la reale pericolosità dell'attacco XSL è un punto interrogativo. Comunque, attualmente, l'AES è considerato un algoritmo veloce, e sicuro e gli attacchi, fino ada ora presentati, si sono rivelati degli interessanti studi teorici, ma di scarsa utilità nella pratica. In data 1º luglio [[2009]] è stato pubblicato<ref>https://www.cryptolux.org/images/1/1a/Aes-192-256.pdf</ref> un [[attacco correlato alla chiave]] migliore del [[metodo forza bruta]] su tutti i round di AES-256 e AES-192. L'attacco in questione risulta comunque, per stessa ammissione degli autori (come chiarito nelle conclusioni dello studio), essere ancora solo teoricamente realizzabile e non dovrebbe influire in alcun modo sulla sicurezza delle odierne applicazioni che fanno uso di questo [[cifrario]]. ~~Secondo~~A luglio del 2009, [[Bruce Schneier]]~~<ref>[https://www.schneier.com/blog/archives/2009/07/new_attack_on_a.html~~ ~~Schneier~~affermò, oncon ~~Security:~~un ~~New~~articolo ~~Attack~~sul onsuo ~~AES<!--~~blog, ~~Titolo generato automaticamente -->]</ref> comunque~~che questa scoperta ~~potrebbe~~avrebbe potuto influire negativamente sulla scelta di AES come blocco costitutivo ~~del nuovo~~ dell'[[funzione di hash\|algoritmo di hash]] ~~in fase di definizione~~ [[Secure Hash Algorithm\|SHA-3]], al tempo ancora in fase di definizione<ref>{{Cita web\|url=https://www.schneier.com/blog/archives/2009/07/new_attack_on_a.html\|titolo=New Attack on AES - Schneier on Security\|autore=Bruce Schneier\|wkautore=Bruce Schneier\|sito=www.schneier.com\|lingua=en\|accesso=2024-07-09}}</ref>. == Note == Riga 107 ⟶ 106: == Bibliografia == * {{Cita libro\|autore=Nicolas T. Courtois\|autore2=Josef Pieprzyk\|titolo=Cryptanalysis of Block Ciphers with Overdefined Systems of Equations\|url=http://dx.doi.org/10.1007/3-540-36178-2_17\|data=2002\|editore=Springer Berlin Heidelberg\|pp=~~267–287~~267-287\|ISBN=978-3-540-00171-3}} * {{Cita libro\|autore=Joan Daemen\|autore2=Vincent Rijmen\|titolo=The design of Rijndael: AES - the advanced encryption standard ; with 17 tables\|anno=2002\|url=https://archive.org/details/designofrijndael0000daem\|collana=Information security and cryptography\|data=2002\|editore=Springer\|ISBN=978-3-540-42580-9}} * {{Cita libro\|autore=Niels Ferguson\|autore2=John Kelsey\|autore3=Stefan Lucks\|titolo=Improved Cryptanalysis of Rijndael\|url=http://dx.doi.org/10.1007/3-540-44706-7_15data=2001\|editore=Springer Berlin Heidelberg\|pp=~~213–230~~213-230\|ISBN=978-3-540-41728-6}} == Voci correlate == Riga 125 ⟶ 124: * {{cita web\|1=http://csrc.nist.gov/encryption/aes/\|2=Archivio del vecchio sito AES\|lingua=en\|accesso=5 gennaio 2005\|urlarchivio=https://web.archive.org/web/20021204193838/http://csrc.nist.gov/encryption/aes/#\|dataarchivio=4 dicembre 2002\|urlmorto=sì}} * {{en}} [https://web.archive.org/web/20150407153905/http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf FIPS PUB 197: Documento con le specifiche ufficiali dell'AES] ([[Portable Document Format\|PDF]] file) * {{cita web\|lingua=en\|url=http://csrc.nist.gov/groups/ST/toolkit/documents/aes/CNSS15FS.pdf\|formato=pdf\|autore=Lynn Hathaway\|data=giugno 2003\|titolo=National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information\|accesso=10 marzo 2011\|dataarchivio=6 novembre 2010\|urlarchivio=https://web.archive.org/web/20101106122007/http://csrc.nist.gov/groups/ST/toolkit/documents/aes/CNSS15FS.pdf\|urlmorto=sì}} Il C.N.S.S. annuncia l'utilizzo dell'AES per i dati classificati * {{en}} [http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf Animazione di Rijndael] ([[Shockwave Flash\|SWF]] file)