AES (Advanced Encryption Standard)

Storia della crittografia - Cifrari a chiave segreta

Il 2 gennaio 1997 l'americano NIST (National Institute of Standards and Technology) lanciò un concorso per un nuovo cifrario simmetrico (a chiave segreta) denominato Advanced Encryption System che potesse prendere il posto del DES e avesse una sicurezza almeno pari al Triplo DES. Dopo aver esaminato molti cifrari proposti da crittologi di tutto il mondo il 2 ottobre 2000 il NIST annunciò di aver scelto il cifrario Rijndael progettato da due crittologi belgi Joan Daemen e Vincent Rijmen; l'AES-Rijndael fu certificato nel 2001 come nuovo standard di cifratura. Il nome Rijndael è una sintesi dei nomi dei suoi inventori.

Blocco da 128 bit
b₀	b₄	b₈	b₁₂
b₁	b₅	b₉	b₁₃
b₂	b₆	b₁₀	b₁₄
b₃	b₇	b₁₁	b₁₅

Chiave da 128 bit
k₀	k₄	k₈	k₁₂
k₁	k₅	k₉	k₁₃
k₂	k₆	k₁₀	k₁₄
k₃	k₇	k₁₁	k₁₅

AES è disponibile con chiavi da 128, 192, 256 bit. Come il DES prevede la ripetizione di numerosi cicli identici, Per l'AES a 128 bit, sono previste 10 ripetizioni del ciclo base. Ogni blocco di 128 bit è diviso in 16 bytes da 8 bit, che dobbiamo immaginare disposti su una matrice 4x4.

Ogni ciclo di Rijndael è una funzione del blocco in ingresso e della chiave, che denoteremo con Round(blocco, chiave) e consiste delle seguenti 4 funzioni:

Round(blocco, chiave) {
- SubBytes(blocco): applica ad ogni byte x del blocco in entrata la trasformazione Ax^-1 + b dove A e b sono una matrice e un vettore prefissati e x^-1 è l'inverso moltiplicativo di x nell'aritmetica finita definita campo di Rijndael; essendo presente x^-1, la funzione SubBytes(_) non è lineare così che non è lineare nemmeno la Round(_,_) cosa importante perché mette al riparo dagli attacchi della crittanalisi differenziale.
- ShiftRows(blocco): applica al blocco in entrata uno scorrimento a sinistra (L-shift) riga per riga: la riga 0 resta invariata, la riga 1 scorre a sinistra di 1 posizione, la riga 2 di 2 posizioni, la riga 3 di 3 posizioni.
- MixColumns(blocco): ogni colonna della matrice in entrata è moltiplicata per una data matrice con lo scopo di diffondere e confondere i bit.
- AddRoundKey(blocco, chiave): effettua una semplice addizione-XOR tra i bit del blocco in ingresso e quelli della chiave.
}
...
FinalRound(blocco, chiave): l'ultimo ciclo è uguale ai precedenti, ma senza la funzione MixColumns.

La sicurezza di AES

Dal 2001 sono stati pubblicati diversi progetti di attacco ad AES basati su metodi esaustivi o nel migliore dei casi su algoritmi 4 volte più veloci degli esaustivi. I tempi richiesti per recuperare la chiave sono comunque elevatissimi; nel 2011 è stato pubblicato Andrey Bogdanov, Dmitry Khovratovich, and Christian Rechberger (2011). Biclique Cryptanalysis of the Full AES che richiede qualcosa come 2^126. operazioni per forzare una chiave AES a 128 bit, 2¹⁹⁰ per AES 192 bit e 2²⁵⁴ per AES a 256 bit.

Il livello di sicurezza di AES sembra quindi molto elevato; per i documenti del governo USA AES 128 bit è considerato sufficiente per i documenti classificati “Secret”, mentre per i “Top secret” occorre AES 192 o meglio ancora 256 bit.

Riferimenti bibliografici

Joan Daemen, Vincent Rijmen, The Design of Rijndael AES. The Advanced Encryption Standard, Springer Verlag, Berlin, New York, 2001 − 2001 → eBook

Advanced Encryption Standard su Wikipedia.