Un modello automatizzato per attacchi differenziali meet-in-the-middle su cifrari AndRX

Perché questa ricerca è importante

Ogni volta che usiamo uno smartphone, paghiamo online o colleghiamo un dispositivo medico, piccole serrature digitali chiamate cifrari a blocchi proteggono i nostri dati. Gli esperti di sicurezza cercano costantemente di rompere queste serrature per progettare meccanismi più sicuri. Questo articolo presenta un nuovo modo di automatizzare uno stile di attacco potente su una famiglia popolare di cifrari leggeri, aiutando i ricercatori a verificare quanto siano effettivamente robusti questi meccanismi digitali.

Come funziona la crittoanalisi moderna

I cifrari a blocchi moderni confondono i dati in molti piccoli passi, o round, controllati da una chiave segreta. Per valutare se un cifrario è sicuro, i crittoanalisti cercano schemi che non dovrebbero esistere se il sistema si comportasse come puro caso. Due strumenti classici sono la crittoanalisi differenziale, che segue come piccole variazioni sull’ingresso si propagano all’uscita, e gli attacchi meet-in-the-middle, che calcolano da entrambe le estremità del cifrario e cercano corrispondenze nel mezzo. Ciascuno di questi strumenti da solo ha limiti, ma combinarli crea una sonda più acuta della struttura del cifrario.

Combinare due idee di attacco

Lo studio si concentra su una tecnica ibrida chiamata attacco differenziale meet-in-the-middle. Qui il cifrario è diviso in tre parti: una sezione di ingresso, una sezione centrale e una sezione di uscita. Al centro, l’attaccante cerca un «distinguisher differenziale», un modello di differenze in ingresso e uscita che si presenta più spesso del caso attraverso diversi round. Attorno a questo nucleo, l’attaccante cifra parzialmente dall’inizio e decifra parzialmente dalla fine, indovinando solo pezzi selezionati della chiave. Quando le due direzioni si incontrano nello stesso stato interno, le ipotesi hanno maggior probabilità di corrispondere alla chiave reale, riducendo lo spazio di ricerca.

Trasformare un mestiere manuale in uno strumento automatizzato

Progettare a mano tali attacchi combinati è estremamente complesso, soprattutto per cifrari orientati ai bit il cui stato interno può essere largo 64, 96 o 128 bit. Gli autori costruiscono un framework automatizzato che utilizza la programmazione a vincoli, un metodo per descrivere condizioni logiche complesse affinché un risolutore possa esplorare tutte le possibilità valide. Prima codificano come le differenze si muovono attraverso i blocchi elementari di un cifrario basato su operazioni AND, rotazione e XOR, una famiglia nota come design AndRX. Poi modellano quali bit di chiave influenzano ciascuna fase e quanti di quei bit devono effettivamente essere indovinati. Il risolutore esplora molte modalità di suddividere il cifrario in parti di ingresso, centrale e uscita, scegliendo la configurazione che minimizza lo sforzo complessivo dell’attacco.

Trucchi aggiuntivi per ridurre lo spazio delle chiavi

Oltre al modello base, il framework aggiunge due ottimizzazioni pensate per cifrari AndRX in stile Feistel come SIMON e Simeck. La prima, chiamata idea di sottochiave equivalente, sposta matematicamente porzioni delle chiavi di round in avanti o indietro in modo che diversi bit di chiave si comportino come se fossero gli stessi. Questo riduce il numero di bit indipendenti che l’attaccante deve considerare. La seconda, indovinare chiavi in modo selettivo, analizza come l’operazione non lineare AND usa i suoi ingressi e mostra che in certe condizioni un bit indovinato può sostituire due. Gli autori descrivono anche, ma non automatizzano ancora completamente, altri due miglioramenti: la partizione parallela, che può aggiungere un round all’attacco senza tempo extra, e un trucco di riduzione dei dati che abbassa il numero di messaggi scelti necessari.

Cosa rivela lo strumento sui cifrari reali

Per testare l’approccio, i ricercatori applicano il loro modello automatizzato a tutte le versioni standard dei cifrari leggeri SIMON e Simeck, candidati per l’uso in dispositivi vincolati come sensori e controller embedded. Per ciascuna variante, lo strumento trova un attacco differenziale meet-in-the-middle e stima i suoi costi in dati, tempo e memoria. In molti casi questi attacchi raggiungono più round rispetto ai precedenti meet-in-the-middle o tecniche correlate, e spesso superano anche attacchi differenziali impossibili e a correlazione zero precedenti in termini di numero di round coperti. Per esempio, lo strumento produce attacchi su fino a 51 round di una versione SIMON a 128 bit con chiave a 256 bit, estendendo la portata dei metodi precedenti mantenendo il lavoro al di sotto di una ricerca esaustiva di tutte le chiavi.

Quadro generale per la crittografia futura

Per i non specialisti, il messaggio chiave non è che SIMON o Simeck siano «rottI» in contesti pratici, ma che gli strumenti automatizzati stanno diventando abbastanza potenti da esplorare deboli sottili che sarebbero molto difficili da trovare a mano. Il framework introdotto qui è generico a livello di bit e in principio può essere adattato ad altre famiglie di cifrari. Aiutando i progettisti a testare rapidamente come nuovi algoritmi resistono ad attacchi combinati avanzati, tali strumenti supportano l’obiettivo a lungo termine di costruire cifrature che restino robuste anche quando le tecniche di analisi diventano più sofisticate.

Citazione: Chakraborty, D., Sahoo, S., Nguyen, P.H. et al. An automated model for differential meet in the middle attacks on AndRX ciphers. Sci Rep 16, 14773 (2026). https://doi.org/10.1038/s41598-026-41390-w

Parole chiave: crittanalisi di cifrari a blocchi, attacco differenziale meet-in-the-middle, cifrario SIMON, cifrario Simeck, programmazione a vincoli