Rijndael: unica scelta ?

[Marco Aldegheri]

A mio parere non è la prima volta che questo tipo di interventi
sfiora il nazionalismo (o meglio l'EUROnazionalismo).
Se il sorgente è di pubblico dominio dovrebbe essere l'Europa a
valutarne la robustezza, se non è robusto lo si dovrebbe
dimostrare e penso che anche gli USA eviterebbero di adottarlo.
Forse il problema piu' che continentale è sociale: la
crittografia che useremo per scambiarci informazioni tra normali
cittadini sarà free e robusta (in tutti i continenti)?
Gli standard, come l'HTTP, offrono in fondo numerosi vantaggi.

Marco Aldegheri

[Claudio Telmon]

Sono sostanzialmente d'accordo. E' vero che la scelta dell'algoritmo non
e' stata basata solo su criteri di sicurezza, ma certo la cosa non e'
stata fatta per fare un dispetto all'Europa, dato che i primi a
utilizzarlo saranno gli USA. E' anche vero che e' preferibile avere piu'
algoritmi (di qualita') implementati. Si tratta infatti comunque di
algoritmi nuovi, e quindi la possibilita' che vengano trovate delle
vulnerabilita' non e' remota. In quel caso, avere un'alternativa
immediata e' fondamentale. Per inciso, Rijndael non sembra uno dei piu'
tranquilli sotto questo aspetto, almeno secondo quanto e' stato
pubblicato e nei limiti in cui io riesco ad apprezzare le discussioni di
crittografia. Comunque, sostanzialmente tutti i protocolli permettono di
contrattare/indicare l'algoritmo utilizzato, e implementarne piu' di uno
non e' un grosso sforzo.
Per inciso, il sito del NIST parla comunque ancora di "Proposed
Standard", o sbaglio?

ciao

- Claudio

--
Claudio Telmon
cla...@telmon.org
http://www.telmon.org

[Sandro Fontana]

-----BEGIN PGP SIGNED MESSAGE-----

Salve a tutti,

ebbene si, il 2 ottobre u.s. il NIST (e l'NSA) hanno
stabilito il vincitore dell'AES, nominando Rijndael.

Pacche sulle spalle al vincitore, in attesa che il
governo americano lo implementi nella sua infrastruttura
di sicurezza.

Ed il resto del mondo seguira' la stessa strada ?

Personalmente spero di no ed e' questa la ragione
per cui sto scrivendo.

Il lungo programma varato dal NIST nel 1997 e' stato
sicuramente basato su una delle cose piu' importanti
quando si parla di sicurezza: la totale trasparenza
rispetto alle architetture e codici di quanto
proposto.

Il risultato piu' importante in questi due anni abbondanti
di lavoro e' quindi per me rappresentato, non tanto dagli
algoritmi sviluppati, quanto dagli studi di criptoanalisi
effettuati dai migliori esperti di crittografia di tutto
il mondo messi per di piu' in competizione tra loro.

Studi, sia ben chiaro, dei quali personalmente posso capirne
solo contesto e conclusioni e qualche "briciola" dei dettagli.

Ora, a fronte di questi studi pubblici, quello che si evince
e che Rijndael non e' l'algoritmo piu' sicuro, ed a parita'
di robustezza [Rijndael ha una struttura "a sicurezza variabile"]
neanche il piu' efficiente.

Non e' questo il posto dove discutere il perche' della scelta
da parte del NIST.

Quello che mi preme e' che da parte di chi lavora in ambito
sicurezza, ci sia una posizione forte verso i vendors.

E' probabile infatti che tutti i produttori (quelli coinvolti in
prodotti relativi alla sicurezza, naturalmente), in ossequio alle
regole commerciali ed alla necessita' di rispondere ai
vincoli imposti nelle forniture al governo americano,
implementeranno al piu' presto Rijndael nei loro prodotti.

Quello che mi piacerebbe vedere, da parte degli "addetti ai lavori",
e' un atteggiamento attivo nel richiedere ai fornitori che
implementino o comunque diano la possibilita' di scegliere oltre
all'Rijndael, altri algoritmi di crittografia, magari scelti tra
quelli presentati per l'AES.

Tanto per non fare nomi, mi piacerebbe vedere almeno Serpent e
Twofish come algoritmi alternativi a Rijndael.

I gruppi di lavoro alle spalle di questi due algoritmi, credo
si siano meritati la piu' completa credibilita' a fronte di
anni di lavori, articoli, esperienze che hanno condiviso senza
riserve, per quanto possibile, con tutto il mondo tramite Internet
e le riviste specializzate.

Questo e' tutto quanto avevo da dire, con solo un'ultimo pensiero:
la liberta' di decidere cosa utilizzare e la diversita' nel
rispetto degli standard e dell'interoperablita' e' quanto ha
fatto utile, potente e fruibile la tecnologia attuale.

Evitiamo, almeno noi che proviamo ad occuparci di sicurezza, di
farci incantare dalla promessa che un mondo basato su un solo
"standard" sara' la cosa piu' comoda, facile e sicura.

S.
- ---------------------------------------------------------------
Sandro Fontana 0335/7618130 0335/8125031
Responsabile Strategie ed Innovazioni Tecnologiche
Intesis SpA - Gruppo Finmatica
PGP Key fingerprint = 6B63 0636 FA73 7C6A B41F E544 8CB9 1941
-----BEGIN PGP SIGNATURE-----
Comment: signer s.fo...@computer.org

iQEVAwUBOeDYgAHom8+ZUegxAQGPlQgAkWTcroLuHYkp1fe4W5LPDJFGXcKBzhYm
k2EAtKtBw+B1TpNPnYqZ+p3TBIxsGXSbhFUH5SL//u6S8fpc2dVFML0vMjWybMBx
GQwv7RzrpSDcu7kHXoJGDRZCvMGxbU+98yu9ImWm0eC8xPCI6xUnuyAqcRQPLi+b
BOWvGFc9g06Vmzp3wkSFBkxsmNQkjLTyOe32qMq5wPo1WTzbIvgNVkeRGsxoCfyK
5iN8yLbDVv0WC27A8RXwCsMvioDiyJOV0lbcm5nHR8hKR0/QUkpVpn0fIMnYj3ZC
upwws2nKt4D+PjCLrJkEnuHZlerMRe5DY3CkIfmtnGX1fPIJAwcl1A==
=PyDP
-----END PGP SIGNATURE-----

[Alfonso De Gregorio]

On Thu, 19 Oct 2000, Claudio Telmon wrote:

Ciao a tutti,

seppure con un po' di ritardo, vorrei intervenire in questa
discussione per tentare di precisare alcuni aspetti.
Vi preannuncio, tuttavia, che non vorrei passare per una voce
a favore di AES.

- Robustezza di Rijndael -
Riallacciandomi a quanto detto da Claudio. Si, si tratta di un
algoritmo relativamente nuovo ed e` del tutto verosimile che nei
prossimi anni qualcuno possa riscontrare delle sue vulnerabilita'
(aspetto volentieri un paper).
Tuttavia vanno aggiunte due cose:

- la crittanalisi in ambito accademico non coincide con
quella che e` attuabile quotidianamente. Prima che sia
giustificato temere per la riservatezza di alcuni dati,
la crittoanalisi di un algoritmo non dev'essere solamente
ipotizzabile, ma praticabile in tempi di calcolo dimensionati
alla longevita' dei dati cifrati.
(Questo non suona di certo nuovo a nessuno e trova d'accordo
lo stesso Schneier, autore di uno dei contendenti di Rijndael
- trovate un suo parere sull'ultimo numero di CRYPTO-GRAM -)

- le risorse (sopratutto umane e poi anche di calcolo) applicate
oggi per l'analisi della sicurezza di un algortimo crittografico
(sopratutto se proposto come FIPS) sono maggiori di quelle
che si avevano a disposizione alcuni decenni fa; gli studi gia'
compiuti su Rijndael non lo rendono sicuro gia' da ora
(non sara' riconosciuto mai tale) ma forniscono un parere
interessante.

- La questione `made in USA' -
Beh. Come qualcuno ha gia' fatto notare Rijndael e` il frutto di una
ricerca condotta in Europa. I suoi autori, Joan Daemen e Vincent Rijmen,
sono entrambi di nazionalita' belga. :-)
Tanto e` vero che in ambiente crittologico alcuni hanno apprezzato
il "coraggio" del NIST a proporre come standard federale un lavoro non
fatto in casa.

> Per inciso, il sito del NIST parla comunque ancora di "Proposed
> Standard", o sbaglio?

Nono, non sbagli. NIST ha semplicemente proposto Rijndael come AES.
Questo fara' si che sara' incluso in un draft FIPS e ci saranno circa
tre mesi per revisionarlo; passati i quali il Ministro del Commercio
potra' firmare il FIPS.

Questo non significa che si debba accettare AES in tutti gli ambiti.
Se verra' accettato come FIPS, questo' potra' comportare un doversi
adeguare da parte di certi applicativi/protocolli, che potrebbero
doverlo supportare in alcuni ambiti.
Per il resto, se si ha la possibilita' di utilizzare un altro algoritmo
(che casomai, come Rijndael, e` liberamente utilizzabile), che lo si
faccia tranquillamente :-)
Non dimenticate che con AES verra' utilizzato dagli stessi USA per
cifrare in ambito federale dati NON sensibili. Per i dati piu' vitali
continueranno ad utilizzare altri sistemi.
E cosi' siamo tornati al discorso iniziale: ogni sistema crittografico
dev'essere prima di tutto adeguato alle propie esigenze.

ciao
alfonso

[Roberto Santilli]

Claudio Telmon wrote:
...

> Comunque, sostanzialmente tutti i protocolli permettono di
> contrattare/indicare l'algoritmo utilizzato, e implementarne piu' di uno
> non e' un grosso sforzo.

> Per inciso, il sito del NIST parla comunque ancora di "Proposed
> Standard", o sbaglio?
>

> ciao
>
> - Claudio
>

Una volta che i principali produttori si sono orientati verso uno standard,
questo tende comunque a dominare il mercato per un peridodo di tempo più o
meno lungo (si veda ad es. il DES prima e il 3-DES poi). Ciò avviene anche
perché i nuovi prodotti devono comunque garantire la compatibilità con le
applicazioni precedenti.
L'effetto risulta amplificato, poi, quando lo standard assurge al ruolo di
standard de jure e viene inserito all'interno di provvedimenti di legge (in
questo periodo succede).
E' meglio accorgersi di una svista, di un bug, di una backdoor o di una
"S-Box" piuttosto strana prima che la diffusione dell'algoritmo entri a
regime, piuttosto che trovarsi tra qualche anno ad utilizzare o, peggio
ancora, a vendere dei programmi sulla cui sicurezza si nutrono dei forti
dubbi.Un saluto.

P.S. Speriamo che Rijndael contribuisca a rinvigorire le discussioni sul
newsgroup

Roberto Santilli
Security Engineer - Area PKI

[Claudio Telmon]

Roberto Santilli wrote:
>
> Una volta che i principali produttori si sono orientati verso uno standard,
> questo tende comunque a dominare il mercato per un peridodo di tempo più o
> meno lungo (si veda ad es. il DES prima e il 3-DES poi). Ciò avviene anche
> perché i nuovi prodotti devono comunque garantire la compatibilità con le
> applicazioni precedenti.
> L'effetto risulta amplificato, poi, quando lo standard assurge al ruolo di
> standard de jure e viene inserito all'interno di provvedimenti di legge (in
> questo periodo succede).

Quasi concordo. Credo che pero' RC4, nonostante tutto, abbia dominato
decisamente piu' di 3-DES, proprio in quanto standard di fatto.
Hai dimanticato un altro meccanismo, e cioe' l'introduzione di algoritmi
come "requisito minimo" di compatibilita' in standard come ipsec, che ha
un effetto molto piu' ampio. Le leggi vengono di conseguenza. Rijndael
viene gia' incluso adesso nelle nuove versioni di vari prodotti.

> E' meglio accorgersi di una svista, di un bug, di una backdoor o di una
> "S-Box" piuttosto strana prima che la diffusione dell'algoritmo entri a
> regime, piuttosto che trovarsi tra qualche anno ad utilizzare o, peggio
> ancora, a vendere dei programmi sulla cui sicurezza si nutrono dei forti
> dubbi.Un saluto.

Gia'. Credo che ci siamo persi il problema principale: perche' e' stato
scelto uno degli algoritmi che sembrano dare meno garanzie di durare nel
tempo senza vulnerabilita'?
Ogni volta che penso a DES mi stupisco del fatto che tuttora l'attacco
piu' praticabile nei suoi confronti sia quello di forza bruta... un
algoritmo di trent'anni fa, mentre di algoritmi recenti vengono trovati
difetti e vulnerabilita'. E' vero che, come dice Shneier, e' facile fare
un algoritmo lento e sicuro, o veloce e insicuro, ma trent'anni fa DES
non aveva i concorrenti di adesso. Quindi una scelta sicuramente ottima,
mentre adesso viene scelto un algoritmo che e' sospetto dall'inizio,
mentre altri concorrenti sembrano dare piu' garanzie. E poi, addirittura
un algoritmo "straniero"... sembra piu' un'alternativa al key escrow che
al DES ;)