Da alcuni anni, uno scenario riceve crescente attenzione nell’ambito della cybersicurezza: attori malevoli potrebbero già oggi raccogliere dati cifrati, con l’obiettivo di decifrarli in un secondo momento, quando i computer quantistici avranno potenza di calcolo sufficiente. Questo approccio, noto come harvest now, decrypt later, si basa su un’ipotesi semplice: ciò che oggi è illeggibile potrebbe diventare trasparente domani.
Per affrontare questa minaccia latente, la crittografia post-quantistica (PQC) è diventata una priorità. Comprende tutti i metodi crittografici progettati per resistere alla potenza senza precedenti del calcolo quantistico. Tra questi rientra la cifratura post-quantistica, che si concentra specificamente sulla protezione della riservatezza dei dati attraverso algoritmi di cifratura adeguati. Secondo uno studio pubblicato dall’ANSSI, il 50% delle organizzazioni intervistate è esposto ai rischi derivanti da futuri attacchi quantistici, in particolare legati all’uso di VPN o certificati a lungo termine. L’Agenzia nazionale francese per la sicurezza informatica invita quindi i potenziali fruitori di soluzioni post-quantistiche a preparare la migrazione il prima possibile.
Principi e obiettivi della crittografia post-quantistica
La crittografia post-quantistica si riferisce a un insieme di nuovi algoritmi crittografici progettati per resistere alla potenza dei futuri computer quantistici. A differenza delle tecnologie attuali, spesso basate su problemi matematici che i computer convenzionali impiegherebbero anni a risolvere, questi nuovi approcci sono concepiti per rimanere robusti anche di fronte a macchine capaci di sfruttare le leggi della fisica quantistica per esplorare simultaneamente un gran numero di possibili soluzioni. È essenziale notare che questa crittografia è compatibile con l’hardware attuale, il che significa che può essere implementata gradualmente, senza attendere l’effettivo arrivo dei computer quantistici.
La cifratura post-quantistica trova applicazione ovunque la crittografia sia già essenziale: comunicazioni sicure, transazioni finanziarie, archiviazione in cloud, infrastrutture critiche o oggetti connessi. Alcuni settori, tuttavia, devono prestare particolare attenzione a questa transizione. Le banche, ad esempio, fanno affidamento sulla sicurezza delle transazioni e sulla tutela della riservatezza dei dati dei clienti. Allo stesso modo, il settore sanitario, dove la protezione delle cartelle cliniche e delle comunicazioni tra professionisti è cruciale, non può permettersi di rimanere indietro. Per questi ambiti, anticipare la minaccia quantistica non è un’opzione, ma una necessità strategica, soprattutto considerando l’arco di tempo in cui per legge la riservatezza dei dati va garantita.
Progressi della crittografia post-quantistica di fronte a sfide industriali e tecniche
La standardizzazione della crittografia post-quantistica è un processo in corso, guidato principalmente dal NIST (National Institute of Standards and Technology). Questo lavoro mira a validare algoritmi robusti, performanti e sicuri rispetto alle minacce poste dai futuri computer quantistici. Oltre alla selezione di algoritmi sicuri, la standardizzazione implica anche la definizione di buone pratiche per l’implementazione, al fine di evitare insidie nell’uso concreto.
Dal punto di vista tecnologico, emergono due concetti chiave: ibridazione e crypto-agility. L’ibridazione consiste nel combinare algoritmi convenzionali con algoritmi post-quantistici per garantire la transizione, quindi tutelarsi per il tempo necessario a testare la robustezza di questi ultimi sul lungo periodo. La crypto-agility invece si riferisce, tra le altre cose, alla capacità di un sistema di cambiare rapidamente algoritmo nel caso venga rilevata una vulnerabilità. Poiché entrambi i concetti sono essenziali per accompagnare la transizione verso la PQC, saranno oggetto di standardizzazione o raccomandazioni a seconda dei rispettivi utilizzi.
Allo stesso tempo il livello di maturità degli attori varia. Lato fornitori, si osserva una certa mobilitazione: molti seguono attivamente le attuali raccomandazioni e integrano gradualmente i nuovi standard nei propri prodotti. Lato utenti finali, invece, il quadro è più eterogeneo: alcuni settori attendono direttive più chiare, mentre altri, più sensibili ai temi della sicurezza, stanno già anticipando i cambiamenti.
Il ruolo delle autorità europee nel supporto e nella regolamentazione
In Francia, l’ANSSI svolge un ruolo centrale nella sensibilizzazione sulla minaccia che il calcolo quantistico rappresenta per gli attuali sistemi crittografici. Oltre alle raccomandazioni tecniche, l’Agenzia e i suoi omologhi europei suggeriscono di anticipare costi, tempistiche e complessità legati alla migrazione verso la PQC, per evitare una transizione affrettata e rischiosa.
L’Agenzia svolge anche un ruolo Importante nella standardizzazione internazionale, per garantire che i futuri standard globali integrino i requisiti di sicurezza specifici per il contesto europeo, e che le soluzioni scelte siano compatibili tecnicamente e operativamente con le esigenze locali.
Sul piano normativo, le basi sono già state poste. In Europa, ad esempio, il Cyber Resilience Act impone ai fornitori il rispetto di requisiti stringenti, incluso lo stato dell’arte in materia di crittografia, con valutazioni programmate in base alla criticità delle soluzioni. A livello europeo, peraltro, diversi testi di legge fanno già riferimento a obblighi crittografici: gli utenti sensibili, come alcune amministrazioni o operatori essenziali, dovranno continuare a garantire che i propri sistemi integrino tecnologie allo stato dell’arte. Anche gli utenti non sensibili, e quindi non soggetti agli stessi obblighi, dovrebbero comunque assicurarsi che i loro fornitori offrano soluzioni conformi agli standard della crittografia post-quantistica.
Con lo sviluppo delle tecnologie quantistiche, l’implementazione della crittografia post-quantistica diventa una sfida imprescindibile per garantire la sicurezza dei sistemi informativi. Questa transizione richiede un adattamento graduale delle infrastrutture e il coordinamento tra i vari attori del settore. Oltre agli aspetti tecnici, solleva questioni organizzative e strategiche che devono essere affrontate per assicurarne un’implementazione efficace.
