Il concetto stesso di crittografia solleva molti interrogativi per una persona che non ha mai avuto molto a che fare con la sicurezza informatica (detta anche cybersecurity). Ovviamente, quando si parla di "crittografia di livello militare", la situazione si fa ancora più complessa. Ma se hai familiarità con i servizi crittografati, potresti aver sentito spesso questo termine, soprattutto nel contesto di vari servizi VPN.
Contenuti:
Alcuni esperti di sicurezza informatica possono chiamare questa locuzione un espediente commerciale. Altri possono sostenere che spiega concetti difficili in un modo facile da capire. Ma cosa significa davvero "crittografia di livello militare"?
In che cosa consiste una crittografia di livello militare?
La crittografia di livello militare si riferisce all'AES (Advanced Encryption Standard) con chiavi a 256 bit. Nel 2001 l'AES è stato annunciato come nuovo standard per la sicurezza informatica dal National Institute of Standards and Technology (NIST), una divisione del Dipartimento del Commercio degli Stati Uniti.
Tradizionalmente, la crittografia di livello militare utilizza una chiave di dimensioni pari o superiori a 128 bit. Il governo degli Stati Uniti specifica che l'AES-128 è utilizzato per informazioni segrete (non classificate) e l'AES-256 per informazioni top secret (classificate). Se un'entità gestisce informazioni a entrambi i livelli, di solito adotta lo standard AES-256.
Per una persona non particolarmente esperta di tecnologia, queste lettere e questi numeri non significano molto. Nel tentativo di rendere accessibile la crittografia alle persone comuni, le società di sicurezza hanno iniziato a cercare un termine che descrivesse il più alto livello di sicurezza senza usare troppi tecnicismi. Poiché l'AES è utilizzato dal governo degli Stati Uniti per proteggere le informazioni classificate e dalla NSA per tutelare i dati di sicurezza nazionale, il termine "di livello militare" sembrava appropriato.
L'Advanced Encryption Standard (AES) è mai stato decifrato?
Il cifrario a blocchi AES-256 non è stato ancora decifrato, ma ci sono stati vari tentativi contro le chiavi AES. Il primo attacco di key-recovery su AES completo è stato pubblicato nel 2011 effettuato da Andrey Bogdanov, Dmitry Khovratovich, e Christian Rechberger. I tre hanno utilizzato l'attacco biclique, che è circa quattro volte più veloce di un attacco di forza bruta. Tuttavia, è stato solo un piccolo successo. La chiave a 126 bit non è molto utilizzata, poiché quella più piccola della crittografia AES contiene 128 bit.
Inoltre, ci vorrebbero ancora miliardi di anni per decifrare la chiave a 126 bit con un attacco di forza bruta. Ecco perché questo tentativo non rappresenta un pericolo per le informazioni crittografate con l'AES. Non è noto alcun attacco pratico che consenta a qualcuno di accedere ai dati crittografati con AES se la crittografia è implementata correttamente.
Quanto resiste l'AES a un attacco?
Secondo il NIST, nessuno può sapere per certo per quanto tempo l'AES o qualsiasi altro algoritmo crittografico rimarrà sicuro. Tuttavia, il Data Encryption Standard (noto come DES) del NIST è stato utilizzato per circa 20 anni come standard del governo statunitense prima di essere violato. L'AES supporta chiavi di dimensioni notevolmente maggiori rispetto a quelle del DES. Salvo eventuali attacchi più veloci dell'esaurimento delle chiavi e considerando anche i futuri progressi della tecnologia, l'AES ha il potenziale per rimanere sicuro ben oltre i 20 anni.
Hai bisogno di una sicurezza di livello militare?
Molti scettici direbbero che non è necessario perché anche altri algoritmi di crittografia possono funzionare bene. Ciononostante, nessun settore o servizio è immune dagli attacchi. I servizi che memorizzano informazioni sensibili, come password o dati finanziari, non dovrebbero impiegare nessuno strumento di livello inferiore allo standard consigliato.
Quando il NIST ha presentato questo standard al pubblico nel 2001, si aspettava che venisse già adottato su larga scala dal settore privato. Vedeva e vede tuttora un beneficio per milioni di consumatori e aziende che vogliono proteggere le loro informazioni sensibili.
Quindi, se vuoi mostrare che ci tieni ai tuoi utenti e ai loro dati personali, è necessario utilizzare la migliore crittografia disponibile.
Di livello militare o AES-256?
È una scelta personale. Se sei una persona esperta di tecnologia, potresti voler utilizzare i termini tecnici appropriati. Tuttavia, può essere difficile tradurre idee tecnologiche complesse nel linguaggio corrente. A volte è necessario utilizzare termini comuni per illustrare il messaggio e renderlo comprensibile per l'utente. Se il termine "di livello militare" aiuta a colmare il divario di comunicazione, non c'è nulla di male nell'utilizzarlo.