Il concetto stesso di Encryption solleva molte domande a una persona che non ha mai avuto a che fare con la cybersecurity. Ovviamente, quando si parla di "crittografia di livello militare", la situazione si fa ancora più complessa. Tuttavia, se hai dimestichezza con i servizi crittografati, potresti aver sentito spesso questo termine, soprattutto nel contesto di vari servizi VPN.
Contenuti
Alcuni esperti di cybersecurity potrebbero definire questa espressione una trovata di marketing, mentre altri potrebbero sostenere che esprima concetti difficili in modo semplice e comprensibile. Ma cosa significa davvero "crittografia di livello militare"?
In che cosa consiste una crittografia di livello militare?
La crittografia di livello militare si riferisce all'AES (Advanced Encryption Standard) con chiavi a 256 bit. Nel 2001, il National Institute of Standards and Technology (NIST), un'unità del Dipartimento del commercio degli Stati Uniti, ha adottato l'AES come nuovo standard per la sicurezza delle informazioni.
Tradizionalmente, la crittografia di livello militare utilizza una chiave di dimensioni pari o superiori a 128 bit. Il governo degli Stati Uniti specifica che l'AES-128 viene utilizzato per informazioni segrete (non classificate) e l'AES-256 per informazioni top secret (classificate). Se un'entità gestisce informazioni a entrambi i livelli, di solito adotta lo standard AES-256.
Per una persona non particolarmente esperta di tecnologia, queste lettere e questi numeri non significano molto. Nel tentativo di rendere accessibile la crittografia alle persone comuni, le società di sicurezza hanno iniziato a cercare un termine che descrivesse il più alto livello di sicurezza senza usare troppi tecnicismi. Poiché l'AES è utilizzato dal governo degli Stati Uniti per proteggere le informazioni classificate e dalla NSA per tutelare i dati di sicurezza nazionale, il termine "di livello militare" sembrava appropriato.
L'Advanced Encryption Standard (AES) è mai stato decifrato?
Il cifrario a blocchi AES-256 non è stato ancora decifrato, ma ci sono stati vari tentativi contro le chiavi AES. Il primo attacco di recupero delle chiavi su AES completo è stato realizzato nel 2011 da Andrey Bogdanov, Dmitry Khovratovich e Christian Rechberger. I tre hanno utilizzato l'attacco biclique, che è circa quattro volte più veloce di un attacco di forza bruta. Tuttavia, è stato solo un piccolo successo. La chiave a 126 bit non è molto utilizzata, poiché quella più piccola della crittografia AES contiene 128 bit.
Inoltre, ci vorrebbero ancora miliardi di anni per decifrare la chiave a 126 bit con un attacco di forza bruta. Ecco perché questo tentativo non rappresenta un pericolo per le informazioni crittografate con l'AES. Non è noto alcun attacco pratico che consenta a qualcuno di accedere ai dati crittografati con AES se la crittografia è implementata correttamente.
Quanto resiste l'AES a un attacco?
Secondo il NIST, nessuno può avere la certezza di quanto a lungo l'AES o qualsiasi altro algoritmo crittografico rimarrà sicuro. Tuttavia, il Data Encryption Standard (noto come DES) del NIST è stato utilizzato per circa 20 anni come standard del governo statunitense prima di essere violato. L'AES supporta chiavi di dimensioni notevolmente maggiori rispetto a quelle del DES. Salvo eventuali attacchi più veloci dell'esaurimento delle chiavi e considerando anche i futuri progressi della tecnologia, l'AES ha il potenziale per rimanere sicuro ben oltre i 20 anni.
Hai bisogno di una sicurezza di livello militare?
Molti scettici direbbero che non è necessario perché anche altri algoritmi di crittografia possono funzionare bene. Ciononostante, nessun settore o servizio è immune dagli attacchi. I servizi che memorizzano informazioni sensibili, come password o dati finanziari, non dovrebbero impiegare nessuno strumento di livello inferiore allo standard consigliato.
Quando il NIST ha presentato questo standard al pubblico nel 2001, si aspettava che venisse già adottato su larga scala dal settore privato. Vedeva e vede tuttora un beneficio per milioni di consumatori e aziende che vogliono proteggere le loro informazioni sensibili.
Quindi, se vuoi mostrare di avere a cuore i tuoi utenti e i loro dati personali, devi usare la migliore crittografia esistente.
Di livello militare o AES-256?
È una scelta personale. Se sei una persona esperta di tecnologia, potresti voler utilizzare i termini tecnici appropriati. Tuttavia, può essere difficile tradurre idee tecnologiche complesse nel linguaggio corrente. A volte è necessario utilizzare termini comuni per illustrare il messaggio e renderlo comprensibile per l'utente. Se il termine "di livello militare" aiuta a colmare il divario di comunicazione, non c'è nulla di male nell'utilizzarlo.