Gli esperti di sicurezza hanno avvertito gli amministratori che uno dei principali standard di crittografia potrebbe essere violato in futuro.
L'Advanced Encryption Standard (AES) viene utilizzato dalle agenzie di sicurezza per proteggere le comunicazioni segrete e in esperienza dei consumatori nell'online banking, ma la ricerca evidenzia i punti deboli che potrebbero essere sfruttati futuro.
"Non credo che ormai da molto tempo ci sia il pericolo di un attacco concreto contro AES", ha affermato Bruce Schneier, chief security technology officer di BT. in un post sul blog. “Ecco perché la comunità dovrebbe iniziare a pensare alla migrazione adesso”.
A differenza della maggior parte degli attacchi rapidi alle varianti AES, non è necessario assumere le chiavi correlate
Anche se AES rimane sicuro a breve termine, i ricercatori di Microsoft hanno trovato un modo per crackare le chiavi quattro volte più velocemente piuttosto che usare attacchi di forza bruta – e ulteriori ricerche sui loro metodi potrebbero portare a lungo termine a tecniche pratiche di cracking termine.
Mentre gli attacchi precedenti si basavano sulla conoscenza di una chiave simile e sul tentativo di indovinare le chiavi da tali informazioni, il nuovo Il metodo funziona teoricamente con qualsiasi chiave, utilizzando un attacco meet-in-the-middle basato su un concetto matematico chiamato “biclique”.
“Mostriamo come trasferire il concetto di biclique per bloccare la crittoanalisi cifrata e ottenere risultati ancora più significativi, inclusa la il primo metodo di recupero chiave per l'intero AES più veloce della forza bruta", hanno scritto Andrey Bogdanov, Dmitry Khovratovich e Christian Rechberger In Crittoanalisi Biclique dell'AES completo (pdf).
“A differenza della maggior parte degli attacchi rapidi alle varianti AES, non abbiamo bisogno di assumere le chiavi correlate. La maggior parte dei nostri attacchi necessitano solo di una parte molto piccola del codice, hanno requisiti di memoria ridotti e sono praticamente verificati in larga misura”.
Anche se, a tutti gli effetti pratici, la ricerca ha un impatto minimo sulla sicurezza nel breve termine, dato che i supercomputer necessitano ancora di anni per craccarne uno chiave, fornisce ai ricercatori un nuovo vettore di attacco che potrebbe essere sfruttato in futuro se il metodo viene affinato e implementato su piattaforme più potenti computer.
