Il 17 luglio 1998 la Electronic Frontier Foundation annunciò di aver forzato un messaggio protetto con il cifrario DES in 56 ore, usando un calcolatore specializzato costruito con circa 250.000 dollari.
Cosa successe il 17 luglio 1998?
La EFF rese pubblica la vittoria della sua macchina nel concorso DES Challenge II-2 organizzato da RSA Laboratories. Il sistema aveva individuato la chiave corretta provando sistematicamente le combinazioni possibili, un metodo chiamato attacco a forza bruta.
Il calcolatore, conosciuto come EFF DES Cracker o Deep Crack, era costato meno di 250.000 dollari e poteva esaminare oltre 90 miliardi di chiavi al secondo. Il precedente record per la stessa operazione era di 39 giorni; la macchina della EFF impiegò meno di tre giorni.
Il progetto fu sostenuto dal cofondatore della EFF John Gilmore e sviluppato con il contributo di Cryptography Research e Advanced Wireless Technologies. Schemi, codice e dettagli tecnici furono pubblicati nel libro Cracking DES, rendendo il risultato verificabile.
Perché la sconfitta del DES fu così importante?
La dimostrazione provò che una chiave DES a 56 bit era ormai troppo corta per proteggere informazioni sensibili. Un attacco che fino ad allora poteva sembrare riservato a grandi apparati statali era diventato economicamente accessibile a un’organizzazione non profit.
Il Data Encryption Standard era stato adottato nel 1977 dal governo degli Stati Uniti e si era diffuso anche nel settore privato, compresi i servizi finanziari. Negli anni Novanta era inoltre al centro delle restrizioni statunitensi sull’esportazione della crittografia più robusta.
Fondata nel 1990, la Electronic Frontier Foundation difende privacy, libertà di espressione e innovazione digitale. Con Deep Crack trasformò una disputa politica sulla sicurezza in un fatto tecnico misurabile e riproducibile.
Cosa è cambiato dal 1998 a oggi?
Il successore del DES fu l’Advanced Encryption Standard. Il NIST pubblicò lo standard AES nel 2001, prevedendo chiavi da 128, 192 o 256 bit; nel 2005 ritirò ufficialmente il DES perché non offriva più la sicurezza necessaria.
La crittografia moderna protegge oggi informazioni scambiate da siti web, servizi finanziari, chat cifrate e sistemi di autenticazione. La lezione del 1998 resta intatta: la sicurezza dipende anche dalla lunghezza delle chiavi, dall’implementazione e dalla capacità di sostituire gli algoritmi prima che diventino vulnerabili.
Il ciclo è già ripartito. Il 13 agosto 2024 il NIST ha finalizzato i primi tre standard crittografici post-quantistici, FIPS 203, FIPS 204 e FIPS 205, invitando gli amministratori a iniziare subito la migrazione in vista di futuri computer quantistici capaci di minacciare parte della crittografia a chiave pubblica.
Cosa sarebbe successo se la EFF non avesse spezzato il DES?
Il finanziamento per Deep Crack si interrompe all’inizio del 1998 e il 17 luglio la EFF può presentare soltanto simulazioni. Nelle sale delle conferenze, i sostenitori del DES indicano l’assenza di una prova concreta e ottengono qualche anno di tregua.
Banche, amministrazioni e produttori continuano a installare sistemi basati su chiavi corte. Sui primi portali commerciali compare il simbolo del lucchetto e milioni di utenti lo associano a una protezione definitiva, mentre nei centri di calcolo l’aumento della potenza rende ogni mese più economica la ricerca delle chiavi.
La prima violazione decisiva avviene lontano da un concorso pubblico. Un gruppo ben finanziato conserva traffico cifrato, recupera le chiavi e legge in silenzio transazioni, credenziali aziendali e comunicazioni diplomatiche; le vittime osservano frodi isolate senza riconoscere la stessa origine tecnica.
L’assenza di una dimostrazione pubblica ritarda l’adozione di standard più forti. Le imprese reagiscono con soluzioni proprietarie incompatibili, gli Stati impongono certificazioni nazionali e la rete si frammenta in zone crittografiche che comunicano con difficoltà.
Quando una grande violazione diventa finalmente visibile, la fiducia nei servizi online crolla. Le banche limitano le operazioni a distanza, i governi accelerano l’identificazione centralizzata e le piattaforme collegano ogni account a documenti e dati biometrici per compensare l’insicurezza delle comunicazioni.
Le chat realmente private rimangono un prodotto per tecnici, giornalisti e dissidenti. La sorveglianza diventa più semplice, le fonti esitano a parlare e la libertà di espressione online cresce dentro confini più stretti, con identità digitali controllate da pochi fornitori autorizzati.
Una migrazione d’emergenza arriva comunque, spinta da perdite economiche e incidenti diplomatici. Costa molto più di una transizione pianificata e consolida un ecosistema dominato da grandi appaltatori, gli unici capaci di sostituire rapidamente milioni di dispositivi.
Nella realtà, la EFF dimostrò nel 1998 la vulnerabilità del DES, il NIST approvò AES nel 2001 e ritirò DES nel 2005; oggi la nuova frontiera è la migrazione post-quantistica.
Quanto tempo impiegò la EFF a forzare il DES?
La macchina della Electronic Frontier Foundation recuperò la chiave DES in 56 ore, vincendo la sfida di RSA Laboratories annunciata il 17 luglio 1998.
Quanto costò il calcolatore Deep Crack?
Deep Crack fu costruito con meno di 250.000 dollari. Il costo mostrò che un attacco completo contro il DES era ormai realizzabile fuori dagli apparati governativi.
Il cifrario DES è ancora sicuro?
Il DES non è considerato sicuro ed è stato ritirato dal NIST nel 2005. Per la protezione moderna dei dati si usano algoritmi più robusti, tra cui AES, mentre dal 2024 è iniziata anche la transizione verso standard post-quantistici.
Iscriviti al nostro canale Telegram e rimani aggiornato!