C’è una domanda che i responsabili della sicurezza informatica nei settori critici dovrebbero porsi con urgenza: quanti anni hanno i dati che l’organizzazione deve proteggere? Se la risposta è «più di dieci anni» – e per dati sanitari, segreti industriali, informazioni governative riservate, dati finanziari a lungo termine la risposta è quasi sempre sì – allora la crittografia post quantum non è un problema per il futuro. È un problema di oggi.
La ragione è semplice: la minaccia quantistica alla crittografia non richiede che i computer quantistici crittograficamente rilevanti esistano oggi. Richiede solo che esistano prima che i dati che state proteggendo ora perdano il loro valore.
Se un attore criminale sta raccogliendo oggi il vostro traffico cifrato con RSA-2048 o ECDH (ad esempio, comunicazioni TLS, VPN, e-mail cifrate) e lo conserva in attesa di avere la potenza di calcolo quantistica per decifrarlo, i dati contenuti in quel traffico saranno accessibili nel momento in cui i computer quantistici diventano disponibili.
La finestra temporale stimata dagli esperti più credibili, tra cinque e quindici anni, è esattamente sovrapposta alla vita utile di molti dei dati che le organizzazioni proteggono oggi.
Cos’è la crittografia post quantum e perché l’urgenza per le aziende è immediata
La crittografia post quantum (PQC, Post-Quantum Cryptography) è l’insieme degli algoritmi crittografici progettati per resistere agli attacchi di computer quantistici.
La distinzione rispetto alla crittografia quantistica (QKD, Quantum Key Distribution) è fondamentale e spesso confusa: la PQC usa computer classici per implementare algoritmi matematicamente resistenti agli attacchi quantistici; la QKD usa proprietà fisiche della meccanica quantistica per distribuire chiavi crittografiche.
Sono approcci complementari, non alternativi, ma la PQC è quella rilevante per la grande maggioranza delle organizzazioni perché non richiede infrastrutture hardware specializzate e può essere implementata come aggiornamento software.
La vulnerabilità della crittografia attuale ai computer quantistici deriva dall’algoritmo di Shor, pubblicato nel 1994 da Peter Shor, che dimostra come un computer quantistico sufficientemente potente possa risolvere in tempo polinomiale i problemi matematici su cui si basa la sicurezza degli algoritmi crittografici asimmetrici più diffusi: la fattorizzazione di grandi numeri interi (base di RSA) e il logaritmo discreto su curve ellittiche (base di ECDH, ECDSA, EdDSA).
Gli algoritmi simmetrici (AES, ChaCha20) sono significativamente meno vulnerabili: l’algoritmo di Grover offre un vantaggio quadratico nella ricerca della chiave, ma è sufficiente raddoppiare la lunghezza della chiave (da AES-128 a AES-256) per mantenere un livello di sicurezza adeguato.
La minaccia reale della strategia cyber Harvest Now, Decrypt Later
La strategia HNDL (Harvest Now, Decrypt Later), ossia raccogliere ora, decifrare dopo, è la minaccia quantistica che rende l’urgenza della transizione PQC immediata, indipendentemente da quando i computer quantistici crittograficamente rilevanti diventeranno disponibili.
L’attacco è concettualmente semplice: un attore criminale, tipicamente un’entità con risorse significative e un orizzonte temporale lungo, come un servizio di intelligence statale, intercetta e conserva grandi volumi di traffico cifrato oggi, con l’intenzione di decifrarlo in futuro quando disporrà della potenza di calcolo quantistica necessaria.
Le evidenze che questa strategia sia già in atto non sono speculative. Il National Counterintelligence and Security Center americano ha avvertito esplicitamente che avversari sofisticati stanno raccogliendo dati cifrati in previsione della disponibilità di computer quantistici.
La natura dei dati di maggiore interesse per queste operazioni include comunicazioni diplomatiche e governative riservate, proprietà intellettuale di alto valore (brevetti, ricerca e sviluppo, segreti industriali), dati sanitari di lungo termine e infrastrutture di autenticazione (certificati radice, chiavi PKI) che, se compromesse, potrebbero invalidare retroattivamente tutta la catena di fiducia basata su di esse.
Quali algoritmi tradizionali rischiano di diventare obsoleti nei prossimi anni
L’impatto della minaccia quantistica non è uniforme su tutti gli algoritmi crittografici.
Gli algoritmi asimmetrici (RSA, DSA, DH, ECDH, ECDSA, EdDSA) sono quelli direttamente vulnerabili all’algoritmo di Shor e dovranno essere sostituiti nella loro interezza. Non esiste una lunghezza di chiave sufficiente per renderli sicuri contro un computer quantistico: la vulnerabilità è strutturale, non parametrica.
RSA-4096 non è significativamente più sicuro di RSA-2048 contro un computer quantistico; semplicemente richiede qualche qubit in più per essere attaccato.
Gli algoritmi simmetrici (AES, 3DES, ChaCha20) e le funzioni hash (SHA-256, SHA-3) sono vulnerabili all’algoritmo di Grover, che offre un vantaggio quadratico nella ricerca esaustiva.
La difesa è semplice: raddoppiare la lunghezza della chiave o del digest porta il livello di sicurezza allo stesso valore pre-quantistico.
AES-256 è considerato quantum-safe; AES-128 offre 64 bit di sicurezza contro un attaccante quantistico e potrebbe non essere sufficiente per dati con lunga vita utile. SHA-256 offre 128 bit di sicurezza quantistica – generalmente considerato adeguato – mentre SHA-384 e SHA-512 offrono margini ulteriori.
Gli standard NIST e il nuovo quadro normativo per la sicurezza dei dati
Il 13 agosto 2024 il National Institute of Standards and Technology americano ha pubblicato i primi tre standard post-quantum definitivi: FIPS 203 (ML-KEM, basato su Kyber), FIPS 204 (ML-DSA, basato su Dilithium) e FIPS 205 (SLH-DSA, basato su SPHINCS+), con il quarto standard FIPS 206 (FN-DSA, basato su FALCON) pubblicato nelle settimane successive.
Questa pubblicazione, il risultato di un processo di standardizzazione durato otto anni con la partecipazione di centinaia di ricercatori da tutto il mondo, segna la fine della fase di ricerca e l’inizio della fase di implementazione: le organizzazioni hanno ora standard stabili su cui basare le proprie migrazioni.
La pubblicazione degli standard NIST ha avuto un effetto catalizzatore immediato sul panorama normativo globale. NSA (National Security Agency) ha pubblicato linee guida che impongono alle agenzie governative americane di avviare la migrazione PQC entro scadenze specifiche.
Il BSI tedesco ha aggiornato le proprie linee guida tecniche per raccomandare l’adozione degli algoritmi NIST PQC. ENISA ha pubblicato un report sulla preparazione post-quantum dell’Unione Europea.
In Italia, ACN ha incluso riferimenti alla transizione PQC nelle proprie linee guida per i settori critici NIS2, segnalando che la quantum readiness sarà un elemento progressivamente rilevante nelle valutazioni di conformità.
Panoramica sui principali algoritmi di nuova generazione validati a livello internazionale
| Algoritmo | Standard NIST | Funzione | Applicazione principale | Stato (2025) |
| ML-KEM (Kyber) | FIPS 203 | Key Encapsulation | Scambio sicuro delle chiavi, TLS post-quantum | Standard definitivo |
| ML-DSA (Dilithium) | FIPS 204 | Firma digitale | Autenticazione, firma documenti, code signing | Standard definitivo |
| SLH-DSA (SPHINCS+) | FIPS 205 | Firma digitale | Backup per ML-DSA, firmware signing | Standard definitivo |
| FN-DSA (FALCON) | FIPS 206 | Firma digitale | Dispositivi con vincoli di banda (IoT, smart card) | Standard definitivo |
| RSA, ECC (P-256/P-384) | Deprecato | KEM + Firma | Tutti gli usi attuali — da migrare entro 2030-2035 | ⚠ Vulnerabile a Shor |
La scelta degli algoritmi PQC per una specifica applicazione dipende da diversi fattori:
- le dimensioni delle chiavi e delle firme (ML-KEM e ML-DSA hanno dimensioni significativamente maggiori rispetto a ECDH e ECDSA, con impatti sulle performance e sulla latenza di rete);
- i vincoli computazionali del dispositivo (FN-DSA è più efficiente per dispositivi con risorse limitate ma più complesso da implementare correttamente);
- i requisiti di interoperabilità con sistemi esistenti.
Per la maggior parte delle organizzazioni che devono scegliere un punto di partenza pratico, ML-KEM per lo scambio delle chiavi e ML-DSA per le firme digitali sono la coppia raccomandata come baseline della migrazione PQC.
Direttive europee e aggiornamenti delle linee guida nazionali sulla conformità
Il quadro normativo europeo sulla crittografia post-quantum è in fase di rapida evoluzione. La Raccomandazione della Commissione Europea sulla transizione PQC (C(2024) 842), pubblicata a febbraio 2024, stabilisce che gli Stati membri devono iniziare la pianificazione della transizione agli algoritmi PQC per le infrastrutture critiche, con particolare urgenza per i sistemi che gestiscono dati classificati o dati con requisiti di riservatezza a lungo termine.
La Raccomandazione non è vincolante, ma segnala l’orientamento normativo che si tradurrà progressivamente in obblighi attraverso i regolamenti settoriali.
Per i soggetti NIS2, il collegamento con la crittografia post-quantum emerge dall’obbligo di mantenere misure di sicurezza proporzionate al rischio: se le analisi di rischio identificano la minaccia HNDL come rilevante per i dati trattati dall’organizzazione (e per i soggetti essenziali nei settori sanitario, finanziario, energetico e delle infrastrutture critiche questo è quasi sempre vero) la pianificazione della transizione PQC è una misura di sicurezza che rientra negli obblighi dell’art. 21 del D.lgs. 138/2024.
ACN ha già iniziato a citare la quantum readiness nelle proprie comunicazioni ai soggetti NIS2 come area di attenzione per i prossimi cicli di revisione.
Strategia in sei passi per avviare la migrazione PQC in azienda
La migrazione verso la crittografia post-quantum è un progetto pluriennale che richiede pianificazione strutturata, coinvolgimento di molteplici funzioni aziendali e una roadmap realistica che tenga conto dei vincoli operativi, tecnologici e di budget.
Non è un progetto che si può completare in pochi mesi, la complessità dell’inventario crittografico di un’organizzazione di medie dimensioni è tipicamente sottostimata, ma è un progetto che si può avviare immediatamente con passi concreti che producono valore anche prima che la minaccia quantistica diventi operativa.
| Passo | Fase | Attività | Output atteso |
| 1 | Inventario crittografico | Censire tutti i sistemi che usano crittografia: TLS, VPN, PKI, firma digitale, database cifrati, applicazioni | Crypto asset inventory completo con livello di rischio per ogni asset |
| 2 | Prioritizzazione del rischio | Classificare gli asset per esposizione HNDL: dati con valore oltre 10 anni = priorità massima | Lista prioritizzata degli asset da migrare per urgenza |
| 3 | Valutazione vendor readiness | Verificare roadmap PQC di tutti i vendor di software e hardware critici | Gap analysis vendor con timeline di supporto PQC |
| 4 | Implementazione ibrida | Deployare soluzioni ibride (classico + PQC in parallelo) sui sistemi ad alta priorità | Sistemi critici protetti da crittografia ibrida operativa |
| 5 | Migrazione progressiva | Migrare progressivamente a PQC puro seguendo l’inventario prioritizzato, aggiornare PKI e certificati | Percentuale crescente di sistemi su PQC nativo |
| 6 | Agilità crittografica | Implementare architettura crypto-agile per future sostituzioni rapide degli algoritmi senza interventi manuali estesi | Infrastruttura capace di aggiornare gli algoritmi in modo orchestrato |
Mappatura completa e inventario degli asset crittografici aziendali
Il crypto asset inventory, ossia l’inventario completo di tutti i sistemi, applicazioni, protocolli e dati che utilizzano crittografia nell’organizzazione, è il prerequisito fondamentale di qualsiasi pianificazione della migrazione PQC.
È anche il passo più sottovalutato: molte organizzazioni non hanno una visibilità completa su dove e come la crittografia viene utilizzata nella propria infrastruttura.
La crittografia è pervasiva e spesso invisibile: TLS nelle connessioni web e API, IPSec nelle VPN, certificati X.509 nell’autenticazione, algoritmi di firma nel code signing, cifratura dei database, algoritmi di hashing nelle applicazioni, crittografia nelle comunicazioni email (S/MIME, PGP), chiavi crittografiche nei dispositivi IoT e OT.
Il processo di inventario deve essere sistematico e coprire tutti i livelli dello stack tecnologico:
- infrastruttura di rete (VPN, TLS termination, load balancer);
- sistemi operativi e middleware (TLS stack, PKI interna, certificate management);
- applicazioni (ogni applicazione che usa librerie crittografiche, API di autenticazione, firma digitale), dati (database cifrati, backup cifrati, archivi a lungo termine);
- componenti hardware (HSM, TPM, smart card, token).
Gli strumenti automatizzati per il crypto discovery, come Cryptosense Analyzer e Keyfactor Command, o strumenti open source come crt.sh per i certificati esposti su internet, possono accelerare significativamente questa fase, ma non sostituiscono completamente la revisione manuale per i sistemi più complessi.
Implementazione di soluzioni ibride per mitigare i rischi di transizione
Le soluzioni ibride, che combinano algoritmi classici e PQC in parallelo nella stessa connessione o nella stessa firma, sono il meccanismo che consente di avviare la protezione PQC senza abbandonare la compatibilità con i sistemi che non supportano ancora gli algoritmi post-quantum.
Un handshake TLS ibrido, ad esempio, negozia simultaneamente ECDH e ML-KEM, combinando i risultati in modo che la connessione sia sicura se anche uno solo dei due algoritmi rimane inviolato: sicura contro gli attacchi classici (perché ECDH è ancora computazionalmente difficile per computer classici) e sicura contro gli attacchi quantistici (perché ML-KEM è quantum-resistant). La sicurezza complessiva è il massimo tra le due.
Questo approccio ibrido è già supportato in produzione da diversi stack tecnologici: OpenSSL 3.x con il provider OQS (Open Quantum Safe) supporta algoritmi PQC sperimentali in configurazione ibrida; Google Chrome e Cloudflare hanno sperimentato TLS post-quantum su larga scala; AWS, Azure e GCP stanno introducendo supporto PQC nelle proprie librerie crittografiche.
Per le organizzazioni che gestiscono infrastrutture PKI interne, l’introduzione di certificati ibridi che includono sia una chiave ECDSA che una chiave ML-DSA nella stessa struttura consente di avviare la transizione senza interrompere la compatibilità con i sistemi che non supportano ancora il PQC.
Il concetto di agilità crittografica come pilastro della resilienza futura
L’agilità crittografica, la crypto agility, è la capacità di un’infrastruttura IT di aggiornare gli algoritmi crittografici in uso senza richiedere una riscrittura estesa delle applicazioni o interventi manuali su larga scala.
È il meta-obiettivo della transizione PQC: invece di migrare una volta da RSA a ML-KEM e considerare il problema risolto, costruire un’architettura che consenta di cambiare gli algoritmi rapidamente e in modo controllato ogni volta che uno di essi viene compromesso o deprecato.
La necessità dell’agilità crittografica emerge dalla storia stessa della crittografia: MD5 era considerato sicuro, poi è stato rotto; SHA-1 era considerato sicuro, poi è stato rotto; RC4 era considerato sicuro, poi è stato rotto.
Gli stessi algoritmi di crittografia post quantum attuali, per quanto solidi, potrebbero essere vulnerabili a future scoperte matematiche o a progressi nell’informatica quantistica non ancora anticipati.
Un’organizzazione con agilità crittografica può rispondere a questi eventi in settimane; una senza agilità richiede anni.
Come aggiornare hardware e software aziendali senza bloccare l’operatività
L’implementazione dell’agilità crittografica richiede scelte architetturali specifiche a livello di applicazione, middleware e infrastruttura.
A livello applicativo, il principio fondamentale è la separazione della logica di business dalla logica crittografica: invece di chiamare direttamente le funzioni crittografiche nelle applicazioni (OpenSSL_RSA_encrypt(), ECC_sign()), si utilizza un layer di astrazione crittografica (una libreria o un servizio interno) che espone un’interfaccia stabile mentre gestisce internamente la scelta e la configurazione degli algoritmi. Quando gli algoritmi devono essere aggiornati, si aggiorna il layer di astrazione, non le applicazioni.
A livello di PKI, l’agilità crittografica richiede la capacità di emettere, revocare e rinnovare certificati in modo automatizzato su larga scala.
Un’organizzazione con migliaia di certificati gestiti manualmente non può rispondere rapidamente a un evento che richieda la sostituzione di tutti i certificati, sia esso una vulnerabilità negli algoritmi, una compromissione della CA, o una nuova direttiva normativa.
L’automazione della gestione dei certificati attraverso protocolli come ACME (il protocollo di Let’s Encrypt) o piattaforme di certificate lifecycle management, è un prerequisito dell’agilità crittografica tanto importante quanto la scelta degli algoritmi stessi.
Impatto della sicurezza quantistica sulla catena di fornitura e sui contratti terzi
La transizione post-quantum non riguarda solo l’infrastruttura interna dell’organizzazione: riguarda l’intero ecosistema di fornitori, partner e provider con cui l’organizzazione condivide comunicazioni cifrate, dati scambiati tramite API protette da TLS, o trust basate su certificati digitali.
La sicurezza di una comunicazione cifrata è determinata dall’algoritmo più debole tra quelli usati dalle due parti: se l’organizzazione ha migrato a ML-KEM ma il proprio fornitore critico usa ancora RSA-2048 per le API che espone, la connessione rimane vulnerabile alla minaccia HNDL.
Questo rende la gestione del rischio cyber dei fornitori software un elemento centrale della strategia di crittografia post quantum: la quantum readiness della supply chain è tanto importante quanto quella interna.
Le implicazioni pratiche di questa interdipendenza sono significative. I dati scambiati con un fornitore attraverso una connessione TLS non PQC sono potenzialmente soggetti alla strategia HNDL anche se i sistemi interni dell’organizzazione sono stati migrati.
I certificati firmati da una CA che usa RSA o ECDSA per la propria chiave radice saranno vulnerabili anche se i certificati foglia sono stati migrati a ML-DSA.
Le firme digitali sui documenti contrattuali e sulle fatture elettroniche, basate su algoritmi classici, perderanno il loro valore legale di non-ripudio quando gli algoritmi sottostanti saranno compromessi.
La catena di fiducia digitale è lunga quanto il suo anello più debole e, nel contesto della transizione PQC, ogni fornitore critico che non ha ancora pianificato la migrazione è un potenziale anello debole.
Richiesta di attestazioni PQC nelle relazioni di procurement con i fornitori software
Le attestazioni PQC, cioè le dichiarazioni formali da parte dei vendor software sulla propria roadmap di supporto agli algoritmi post-quantum e sullo stato della migrazione dei propri prodotti, stanno diventando un elemento emergente nel procurement IT dei settori più sensibili.
L’approccio è analogo a quello già consolidato per le certificazioni ISO 27001 o SOC 2: richiedere evidenza formale che il vendor abbia un piano strutturato per la migrazione alla crittografia post quantum, con timeline documentate e impegni contrattuali sulle date di disponibilità del supporto.
Le domande concrete da includere nei questionari di vendor assessment per la quantum readiness includono:
- quali algoritmi crittografici sono usati nei prodotti del vendor (TLS, firma, cifratura dei dati a riposo);
- qual è la roadmap di supporto agli algoritmi NIST PQC con date specifiche;
- il vendor ha condotto un crypto asset inventory dei propri prodotti;
- sono disponibili versioni ibride (classico + PQC) per facilitare la transizione;
- il vendor ha un processo di agilità crittografica che consente aggiornamenti rapidi degli algoritmi in futuro.
Le risposte a queste domande consentono di classificare i vendor per maturità PQC e di prioritizzare le migrazioni in funzione del rischio combinato (dati scambiati × maturità PQC del vendor).
La transizione alla crittografia post-quantum è il progetto di sicurezza con l’orizzonte temporale più lungo che le organizzazioni si trovano ad affrontare, ma è anche quello che tollera meno il procrastinare.
La matematica della minaccia HNDL è implacabile: ogni giorno di ritardo nella pianificazione è un giorno in più in cui i dati critici vengono trasmessi in forme che potrebbero essere decifrate in futuro.
Le organizzazioni che iniziano oggi, con l’inventario crittografico, la valutazione della minaccia HNDL sui propri dati, la pianificazione della migrazione ibrida e l’inclusione della quantum readiness nei propri processi di vendor assessment, saranno quelle meglio posizionate quando la minaccia quantistica diventerà operativa.
E quella finestra, che sembra lontana, si sta chiudendo più rapidamente di quanto molti anticipino.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link






