Gli scettici possono liquidare la minaccia quantistica come un pensiero catastrofico lontano nel tempo, ma si tratta di una pericolosa sottovalutazione. I computer quantistici sono in arrivo e con loro anche il ‘Q Day’, il momento in cui diventeranno abbastanza potenti da compromettere i sistemi di crittografia attuali. Secondo gli esperti questo potrebbe verificarsi già nel 2030, ma i criminali informatici non aspettano certo con le mani in mano e si stanno già preparando attivamente a sfruttare le capacità quantistiche.
Gli hacker stanno già raccogliendo e archiviando grandi quantità di pacchetti di dati cifrati intercettati. Una volta disponibili tecniche efficaci per decifrarli, potranno sfruttare tali dati per condurre attacchi retrospettivi.
Data l’enorme superficie di attacco, questa minaccia va presa molto sul serio. Anche se i dati (informazioni finanziarie e sanitarie, proprietà intellettuale o comunicazioni governative, ecc.) saranno vecchi di qualche anno quando gli hacker useranno finalmente il quantum computing per decrittarli, potrebbero comunque causare danni finanziari, reputazionali e legali.
Il rischio non è teorico né speculativo. Può essere mitigato già oggi usando la crittografia post-quantistica (PQC). Purtroppo, mentre molte aziende stanno adottando la PQC, troppe stanno ancora rimandando, spinte da una serie di convinzioni errate che circolano proprio su questa tecnica. Ed è una decisione che gioca esattamente a favore degli hacker malintenzionati.
La resilienza quantistica è una necessità e le aziende devono supportare la crittografia post-quantistica per ottenere una protezione a prova di futuro. Per contribuire a rafforzare la fiducia in questa nuova serie di algoritmi di crittografia, farò chiarezza sulle quattro principali convinzioni errate che frenano le aziende.
L’intera crittografia deve essere sostituita
Assolutamente no. Il passaggio alla crittografia post-quantistica è mirato, non totale.
Solo alcuni algoritmi crittografici fondamentali risultano vulnerabili e devono essere sostituiti con aggiornamenti basati su PQC. Le moderne funzioni di hashing crittografico, invece, restano efficaci e non richiedono interventi, poiché il quantum computing non offre un vantaggio significativo rispetto al calcolo tradizionale nella generazione di collisioni di hash. Anche i moderni algoritmi di cifratura autenticata, come AES-GCM e ChaCha20-Poly1305, non presentano debolezze specifiche rispetto al quantum computing. Sebbene computer quantistici di capacità enorme possano accelerare gli attacchi di forza bruta contro la cifratura simmetrica tramite algoritmi di ricerca quantistica, questo può essere mitigato aumentando la dimensione della chiave utilizzata per cifrare i dati. In questo caso, la soluzione non è sostituire, ma rafforzare.
Ciò che invece deve essere sostituito sono gli algoritmi asimmetrici classici, come RSA ed ECC, che si basano su algoritmi noti per essere vulnerabili agli attacchi dei computer quantistici: la fattorizzazione di numeri grandi e il problema del logaritmo discreto. I computer classici faticano a risolverli a causa della complessità della funzione asimmetrica, ma i computer quantistici possono risolvere questi problemi in modo esponenzialmente più rapido usando algoritmi come quello di Shor. Questi algoritmi asimmetrici classici sono alla base di due funzioni critiche utilizzate nei moderni protocolli sicuri: scambio di chiavi e firme digitali. La crittografia post-quantistica introduce alternative “quantum-safe”, come ML-KEM (Module Lattice-based Key Encapsulation Mechanism) per lo scambio di chiavi e ML-DSA (Module Lattice-based Digital Signature Algorithm) per le firme digitali. Sono questi gli unici elementi che devono essere sostituiti.
La crittografia post-quantistica può essere eseguita solo su computer quantistici
Un’altra convinzione errata. Probabilmente nasce dal fatto che i computer quantistici non sono ancora diffusi. Ma questo tipo di crittografia può essere (e viene già) eseguita sui computer che usiamo oggi, progettata per resistere agli attacchi quantistici mantenendo una forte sicurezza anche contro le minacce classiche. Questo perché le loro funzioni ”trapdoor” fondamentali risultano complesse da violare sia per i computer quantistici sia per quelli tradizionali.
Le tecniche di crittografia post-quantistica non si basano sulla velocità dei computer quantistici o sulle macchine quantistiche in sé; sono progettate per anticipare le capacità degli criminali quantistici, usando algoritmi che possono essere facilmente implementati oggi. È importante capire che l’obiettivo della crittografia post-quantistica non è usare la tecnologia quantistica, ma difendersi da essa e che tale crittografia viene eseguita in modo efficiente sull’hardware che utilizziamo già oggi, su computer classici.
Gli standard PQC non sono pronti
Può sembrare una forma di protezione non testata e puramente teorica. In realtà, la standardizzazione della crittografia post-quantistica, come approccio di sicurezza pratico, affidabile e pronto per il mondo reale, è già guidata da organismi nazionali di standardizzazione come NIST negli Stati Uniti, NCSC nel Regno Unito, BSI in Germania, ANSSI in Francia e altri. L’Internet Engineering Task Force (IETF) sta standardizzando l’applicazione delle primitive crittografiche PQC nei protocolli Internet, come TLS, SSH e IPSec.
Un insieme ben definito di algoritmi resistenti al quantum (inclusi ML-KEM per lo scambio di chiavi e ML-DSA per le firme digitali) è ampiamente accettato come sostituto degli algoritmi classici vulnerabili come RSA ed ECC. Queste scelte sono il risultato di anni di collaborazione globale e test rigorosi, e ora vengono formalizzate in standard ufficiali. Nel frattempo, l’IETF è nelle fasi finali di redazione di aggiornamenti per integrare la crittografia post-quantistica nei sistemi reali. Queste modifiche ai protocolli permetteranno a browser, servizi cloud e ad altre infrastrutture di adottare la PQC senza comprometterne la compatibilità.
Le minacce quantistiche sono puramente teoriche o lontane decenni
Questa è la convinzione errata più pericolosa, perché sottovaluta il potenziale rischio catastrofico rappresentato dalla minaccia “harvest now, decrypt later” abilitata dal quantum. I criminali informatici investono energie nell’acquisire oggi pacchetti cifrati, con l’obiettivo di decrittarli in futuro usando un computer quantistico sufficientemente potente. Non possiamo prevedere quando ciò accadrà: potrebbe essere tra un anno o tra vent’anni. Ma, considerando che gran parte dei dati sensibili che trasmettiamo oggi sarà ancora rilevante tra molti anni, possiamo davvero permetterci di aspettare e vedere come andrà?
Una volta che i dati sensibili vengono esposti – oggi o tra anni – il danno è fatto. La privacy viene violata, la fiducia infranta e le conseguenze sono irreversibili. Sebbene non sappiamo quando i computer quantistici raggiungeranno la portata necessaria per violare la crittografia, il rischio è già concreto. E la responsabilità di agire ricade sia sulle aziende sia sui loro fornitori di servizi di sicurezza. I provider devono iniziare a pensare a come supportare sistemi di crittografia ibrida e a come abilitare un’integrazione scalabile e trasparente di protocolli interoperabili resistenti al quantum attraverso le infrastrutture cloud.
I passi verso la resilienza quantistica
Ci sono tre passi che raccomando alle aziende di intraprendere subito per costruire la propria resilienza quantistica. Il primo consiste nel monitorare le modalità di scambio di chiavi crittografiche utilizzate dai propri sistemi per valutare la compatibilità quantistica, con l’obiettivo di identificare quali software presenti nel loro ambiente non sono ancora pronti per la crittografia post-quantistica. In secondo luogo, esorto le aziende ad adottare meccanismi standardizzati di scambio di chiavi basati sulla crittografia post-quantistica: sono già supportati nei principali protocolli di sicurezza e pronti per l’uso, quindi non c’è motivo di aspettare. Infine, agire significa pianificare in anticipo. Questo vale per la migrazione delle firme digitali ed è particolarmente cruciale per le grandi aziende che gestiscono una propria infrastruttura a chiave pubblica (PKI). Cicli di aggiornamento lunghi richiedono azioni anticipate per garantire la cosiddetta agilità crittografica.
In ultima analisi, l’obiettivo è una cybersicurezza più solida, facendo dell’agilità crittografica uno strumento potente a disposizione delle aziende. Il messaggio chiave che spero le aziende traggano da questo articolo è che le minacce quantistiche non rappresentano un rischio futuro: anche se la minaccia non si sta ancora manifestando appieno, il rischio legato a tale minaccia è già qualcosa su cui è possibile e necessario intervenire oggi.
