Criptografia post-quantistica (PQC): Rischio attuale

In articoli precedenti, abbiamo esplorato l'IA come arma tattica che sta già rimodellando gli attacchi e il modello Zero Trust come strategia per la difesa moderna. Ora affrontiamo una minaccia che non mira a infiltrarsi nella nostra infrastruttura, ma a invalidare le basi crittografiche su cui si fonda.

Analisti come Gartner stimano che il cifratura asimmetrica standard potrebbe non essere sicura entro il 2029 e potrebbe essere completamente violata entro il 2034. Tuttavia, focalizzarsi su una data specifica distoglie l'attenzione da due questioni molto più urgenti. Vediamo quali sono:

1. Harvest Now, Decrypt Later (HDNL): Il rischio non è nel futuro, ma è attuale. Gli avversari stanno già intercettando e memorizzando enormi volumi di dati criptati. Non sono in grado di leggerli oggi, ma li archiviano pazientemente in attesa che un computer quantistico (o un'altra svolta) possa decifrarli. Se un dato (industriale, sanitario, segreto governativo) deve rimanere segreto per 10 anni, oggi è già compromesso.
2. La complessità della migrazione: La transizione alla Crittografia Post-Quantistica (PQC) non è una semplice operazione di patching. È forse la migrazione infrastrutturale più complessa mai intrapresa, un'impresa colossale che coinvolge l'intera infrastruttura IT globale.

La vera sfida: l'architettura «ibrida»

Il National Institute of Standards and Technology (NIST) ha già standardizzato il suo primo insieme di algoritmi PQC, come CRYSTALS-Kyber (ora ML-KEM) e CRYSTALS-Dilithium (ora ML-DSA). Tuttavia, l'obiettivo non è «spegnere» RSA per «accendere» la PQC.

Per almeno un decennio vivremo in un mondo crittografico «ibrido». I nostri sistemi dovranno gestire una coesistenza scomoda:

1. Interoperabilità: i sistemi aggiornati alla PQC dovranno comunque comunicare con miliardi di dispositivi legacy (IoT, OT, sistemi embedded) che non possono essere aggiornati.
2. Prestazioni: I nuovi algoritmi PQC presentano caratteristiche differenti. Chiavi più grandi e firme digitali più pesanti possono introdurre latenza. Questo potrebbe non importare per una e-mail, ma rappresenta un enorme problema per i sistemi di pagamento ad alta frequenza o le comunicazioni a bassa latenza.
3. Gestione delle chiavi: La complessità dei Sistemi di Gestione delle Chiavi (KMS) esploderà, poiché dovranno gestire in parallelo i cicli di vita delle chiavi classiche e quantistiche.

La PQC come prerequisito per il Zero Trust

Come abbiamo visto, il modello Zero Trust si basa sull’identità e sull’autenticazione continua. Ma cosa succede quando la crittografia che attesta quell'identità (certificati digitali, firme) non risulta più affidabile? L'intera architettura Zero Trust crolla se la matematica su cui si fonda fallisce.

La PQC non è un «silo» tecnologico separato. È il prerequisito fondamentale per garantire che identità, accesso e segmentazione abbiano ancora senso nel 2030. La resilienza quantistica è l'evoluzione naturale della «crypto-agility», ossia la capacità di cambiare un algoritmo crittografico senza dover riprogettare l'intera architettura.

Dall'inventario all'azione: un approccio pragmatico

La domanda non è più se migrare, ma come orchestrare questa transizione senza interrompere l'attività. La roadmap della NSA (CNSA 2.0) invia un segnale chiaro, raccomandando di iniziare l'adozione di algoritmi resistenti agli attacchi quantistici entro il 2025.

1. Problema n.1: Il inventario crittografico. Non possiamo proteggere ciò che non vediamo. Il primo vero ostacolo consiste nel mappare ogni libreria, certificato e protocollo codificato all'interno dell'infrastruttura.
2. Quantificare il rischio. Il management non reagisce a «Shor», ma al «rischio». Dobbiamo mappare i dati e poi chiederci: «Qual è il valore di questi dati se diventassero pubblici tra 7 anni?» Questo sposta il dibattito dal budget IT al piano di continuità aziendale.
3. Testare l'impatto. Le architetture devono iniziare a testare gli algoritmi PQC ora, in modalità ibrida. Non solo per motivi di sicurezza, ma anche per le prestazioni. Il tuo VPN gestirà il carico extra? Le tue app mobili subiranno ritardi?
4. Verificare la catena di fornitura. È essenziale chiedere ai tuoi fornitori di cloud, software e hardware informazioni sulla loro roadmap per la PQC.

La transizione quantistica è iniziata. Non si tratta di un evento futuro, ma di un processo ingegneristico che è già in ritardo.

Il percorso verso la sicurezza post-quantistica: a che punto siamo?

Il processo di transizione verso la crittografia post-quantistica (PQC) non è soltanto una questione tecnologica, ma anche organizzativa e strategica. Ogni azienda si trova attualmente in una fase diversa di questo percorso, che possiamo idealmente dividere in tre livelli di maturità: Consapevole, Definito e Gestito.

Livello 1 – «Consapevole» (Sensibilizzazione)

Nella prima fase, l'organizzazione ha preso coscienza della minaccia rappresentata dai computer quantistici, ma non ha ancora intrapreso azioni concrete. È in questa fase che la direzione e il gestione del rischio sono stati formalmente informati del rischio legato alla PQC, inclusa la problematica del Harvest Now, Decrypt Later (HDNL) — ossia la possibilità che dati criptati oggi possano essere raccolti e decriptati in futuro grazie alle capacità del calcolo quantistico.

Durante questa fase iniziale, le discussioni interne si concentrano spesso su concetti fondamentali come la «vita utile» dei dati, ossia per quanto tempo determinate informazioni devono rimanere confidenziali. Allo stesso tempo, l'organizzazione inizia a monitorare gli annunci del NIST e le roadmap dei principali fornitori — quali provider cloud, produttori di sistemi operativi o di firewall — per comprendere la direzione in cui si muove il mercato.

Livello 2 – «Definito» (Inventario e pianificazione)

Una volta superata la semplice consapevolezza, inizia una fase più operativa. L'organizzazione comincia a mappare ciò che esiste e a pianificare i passaggi successivi. Ciò implica avviare un inventario crittografico volto a identificare dove vengono utilizzati algoritmi vulnerabili, come RSA o ECC, sia nelle applicazioni che nei sistemi e nelle librerie interne.

Inoltre, vengono identificati i sistemi critici e i dati a maggior rischio, ossia quelli che richiedono protezione per un lungo periodo. Sulla base di questa analisi, viene definita una roadmap per la migrazione verso soluzioni post-quantistiche, anche se solo in forma preliminare. Al contempo, la crypto-agility — la capacità di sostituire facilmente un algoritmo crittografico con un altro — diventa una caratteristica fondamentale nei nuovi contratti e nelle specifiche richieste ai fornitori.

Livello 3 – «Gestito» (Test e integrazione)

Infine, nella fase «Gestito», l'organizzazione passa ai test attivi delle tecnologie PQC. In ambienti controllati, vengono testati algoritmi post-quantistici, come il ML-KEM, per valutare il loro impatto in termini di latenza, utilizzo della CPU e larghezza di banda su applicazioni critiche. Viene inoltre verificata l'interoperabilità in modalità ibrida, combinando algoritmi classici e post-quantistici in protocolli diffusi, come il TLS 1.3, mentre le pipeline DevSecOps iniziano a includere test automatici per le nuove librerie crittografiche.

A che livello si trova oggi la tua organizzazione? E soprattutto, quali pensi siano i principali ostacoli che rallentano il percorso verso la sicurezza post-quantistica? Si tratta di una questione di tecnologia, budget o di complessità dei sistemi legacy?

Per ulteriori informazioni

Raffaele Sarno

Head Pre-Sale Manager, Dipartimento Operazioni di Sicurezza NEVERHACK, Italia