Quando si parla di algoritmi crittografici “reali”, è bene ricordare che nessuno può essere immune da attacchi. Un aggressore, impegnandosi sufficientemente, può essere in grado di violare qualsiasi sistema crittografico.
Nel momento in cui egli tenta di attaccare una funzione di codifica, valutare una singola codifica di un messaggio utilizzando una certa chiave può essere considerata come “una operazione”. Il significato di “operazione” può variare: dal punto di vista informatico, un’operazione può essere effettuata in un solo ciclo di clock oppure in milioni di cicli.
Nel 1995, il tempo medio per violare un cifrario servendosi di una macchina “ad hoc” del valore di 1 milione di dollari dell’epoca, era pari a 0,2 secondi con l’uso di chiavi a 40 bit; a 3,6 ore con chiavi a 56 bit; a 38 giorni con chiavi a 64 bit; 7.000 anni con chiavi ad 80 bit; 1013 anni con chiavi a 112 bit; 1018 anni con chiavi a 128 bit. Come termine di paragone, basti pensare che l’età del nostro sistema solare è pari a 1010 anni.
Bisogna altresì assumere che gli attacchi diventino effettuabili dieci volte più rapidamente e dieci volte più economicamente nel giro di 5 anni. Un sistema progettato oggi, supponendo che continui a restare operativo – grazie al successo ottenuto – per 30 anni, dovrà fornire un livello di confidenzialità adeguato, per i dati trattati, almeno per un periodo di venti anni.
Si tratta, questa, di una stima del livello di sicurezza di un algoritmo crittografico solamente approssimativa perché si limita a valutare il lavoro necessario ad un aggressore per violare il cifrario. E’ comunque un’approssimazione buona: rendendo più complesso il modello utilizzato non si farà altro che rendere più difficoltoso il lavoro dell’aggressore.
Uno studio condotto in questi giorni da “Electric Alchemy”, società attiva nel campo della sicurezza informatica, ha mostrato quanto si siano ridotte le tempistiche necessarie per violare archivi crittografati grazie all’impiego di tecniche “in-the-cloud”.
Gli esperti di “Electric Alchemy” hanno infatti provato a violare un archivio PGP zip intentando un attacco “brute force” distribuito. Allo scopo, si è fatto ricorso al servizio web EC2 di Amazon mentre il software impiegato per forzare l’archivio è stato EDPR (“Distributed Password Recovery“) della russa ElecomSoft.
Su di un sistema dual core basato su Windows 7, l’individuazione della password usata a protezione dell’archivio crittografato avrebbe richiesto 2.100 giorni di lavoro. Con dieci sistemi virtuali sui quali è stato avviato EDPR, il tempo necessario è stato ridotto a 122 giorni. Il servizio EC2 costa 30 centesimi di dollaro per ogni ora di lavoro e per ogni singola istanza: l’individuazione della password sarebbe quindi costata circa 9.000 dollari.
Dal momento che, secondo “Electric Alchemy”, EDPR può arrivare a gestire contemporaneamente anche 100 istanze, l’obiettivo avrebbe potuto essere raggiunto addirittura in appena 12 giorni.
Come ricordano gli esperti della società, l’individuazione di parole chiave particolarmente lunghe e complesse resta comunque un’attività troppo costosa. Per l’utenti domestici o business resta quindi sempre valida la solita regola: scegliere password lunghe contenenti sia caratteri alfanumerici che simboli: in questo modo si tenderà a rendere pressoché impraticabile – perché troppo costosa od esageratamente lunga – l’operazione di recupero della parola chiave.
“Electric Alchemy” ha calcolato che l’individuazione di una chiave di 9 caratteri che utilizzi l’intero set ASCII costerebbe 10 milioni di dollari, sino a 8 miliardi di dollari per una password di 12 caratteri. Purtuttavia, nel caso in cui la password utilizzi esclusivamente lettere e numeri e sia lunga 9 caratteri, essa potrebbe essere trovata con un esborso economico inferiore ai 2.000 dollari.