LET’S TALK & CONNECT

L’ascesa del calcolo quantistico non rappresenta una semplice evoluzione computazionale, ma una minaccia esistenziale per la maggior parte dei sistemi di crittografia a chiave pubblica su cui si basa la sicurezza digitale globale. L’imminente sviluppo di un computer quantistico crittograficamente rilevante (CRQC) capace di violare algoritmi standard come RSA ed Elliptic Curve Cryptography (ECC) rende la migrazione a standard post-quantistici (PQC) una priorità assoluta non più rimandabile.[i]

La problematica principale risiede nel fatto che gli avversari stanno già impiegando una strategia di “raccolta ora, decifra in futuro” (in inglese, “Harvest Now, Decrypt Later”).[ii]Intercettano e archiviano i dati sensibili crittografati oggi, sapendo di poterli decifrare in un futuro prossimo con un CRQC sufficientemente potente. Per i dati che richiedono una riservatezza a lungo termine, questa minaccia non è teorica, ma è già attiva e reale.

Questo rapporto delinea una roadmap strategica in tre fasi, allineata con i principali standard e direttive globali, tra cui quelle del National Institute of Standards and Technology (NIST) e del National Cyber Security Centre (NCSC) del Regno Unito, che hanno stabilito una scadenza indicativa del 2035 per una migrazione completa[iii]. La roadmap proposta vuole offrire un percorso pratico per le organizzazioni, partendo da una fase immediata di scoperta e pianificazione, passando per la sperimentazione e la prioritizzazione, fino a una completa migrazione che assicuri una resilienza a lungo termine.

Il percorso verso la crittografia post-quantistica non è un singolo aggiornamento, ma una profonda trasformazione che richiede un’accurata pianificazione, investimenti (significativi) e un impegno a lungo termine. Le organizzazioni che fin da subito abbracciano l’agilità crittografica e aggiornano le proprie infrastrutture, saranno le uniche in grado di salvaguardare la propria integrità e il proprio patrimonio informativo nell’era quantistica che sta per arrivare.

I. Perché la Migrazione Quantistica è una necessità imminente

I computer quantistici non sono semplicemente una versione più veloce o più potente dei supercomputer classici. Essi rappresentano un nuovo paradigma di calcolo che sfrutta i principi della meccanica quantistica, come la sovrapposizione e l’entanglement. Questa capacità intrinseca permette loro di risolvere problemi matematici che sono attualmente intrattabili per i computer classici, minando direttamente le basi della moderna crittografia.

La minaccia principale deriva dall’algoritmo di Shor, che è stato sviluppato per risolvere due problemi matematici specifici: la fattorizzazione di grandi numeri interi e il logaritmo discreto. La sicurezza di algoritmi a chiave pubblica ampiamente utilizzati, come RSA ed ECC, è interamente basata sulla difficoltà computazionale di risolvere questi problemi. L’algoritmo di Shor può frantumarli in tempi estremamente brevi se eseguito su un computer quantistico sufficientemente potente, compromettendo la sicurezza di una vasta gamma di applicazioni, dalle comunicazioni HTTPS alle firme digitali.

L’algoritmo di Grover è uno schema di ricerca che può accelerare gli attacchi a forza bruta, in particolare contro la crittografia simmetrica come AES e le funzioni hash come SHA-2/3. A differenza di Shor, che rende la crittografia asimmetrica obsoleta, l’impatto di Grover sulla crittografia simmetrica è meno distruttivo. Essenzialmente, dimezza l’efficacia della lunghezza della chiave, il che significa che un cifrario AES-256 fornisce un livello di sicurezza equivalente a quello di una chiave a 128 bit. La soluzione per mitigare questa minaccia è relativamente semplice: raddoppiare la lunghezza della chiave.

Una delle preoccupazioni più immediate, pressanti e in voga è la strategia di “raccogli ora, decifra in futuro” (HNDL). Questa tattica si basa sulla raccolta di dati sensibili crittografati oggi da parte di avversari, con l’intenzione di conservarli e decifrarli in futuro quando i CRQC saranno operativi. Non si tratta di una minaccia futura, ma di un problema che esiste già nel presente per qualsiasi informazione che richiede una riservatezza a lungo termine. Dati sanitari, documenti finanziari, segreti industriali e informazioni sulla sicurezza nazionale sono tutti candidati a essere intercettati e archiviati per una successiva decifrazione. Questa minaccia, evidenziata dalla comunità della cybersecurity, sottolinea l’urgenza di agire subito per proteggere i dati in transit e at rest.

Le previsioni sull’arrivo di un CRQC variano ampiamente, con stime che vanno da “meno di 5 anni” a 15-20 anni o più. Questa incertezza deriva dalla natura del qubit, l’unità fondamentale del calcolo quantistico, che presenta significative sfide ingegneristiche come la stabilità e la fidelizzazione. Nonostante gli enormi investimenti globali e i rapidi progressi il cammino verso un CRQC su larga scala rimane imprevedibile.

A fronte di tale incertezza, i governi e gli enti di standardizzazione non stanno aspettando una data precisa. Stanno invece fissando scadenze basate sulla complessità della migrazione. La National Security Memorandum 10 (NSM-10) statunitense ha fissato una scadenza per una migrazione completa dei sistemi federali entro il 2035[iv]. In modo simile, il NCSC del Regno Unito ha delineato una roadmap in tre fasi che culmina con una migrazione completa entro il 2035[v]; anche l’Europa ha preparato una tabella di marcia verso la transazione quantistica[vi].  Questa tempistica non è una previsione su quando i CRQC arriveranno, ma è un riconoscimento del fatto che la transizione stessa richiederà anni, se non decenni, per organizzazioni di grandi dimensioni a causa della complessità delle loro reti e dell’enorme numero di dispositivi da aggiornare.

Il principio guida di queste tempistiche è formalizzato dal Teorema di Mosca, noto anche come Disuguaglianza di Mosca. Questo principio stabilisce che la migrazione deve iniziare prima che la somma degli anni in cui i dati sensibili devono rimanere sicuri (X) e il tempo stimato per completare la transizione (Y) sia superiore al tempo rimanente prima che un CRQC diventi operativo (Z). In altre parole, se X + Y > Z, allora l’organizzazione deve agire immediatamente per evitare di essere vulnerabile. Poiché il tempo di migrazione (Y) per una grande azienda è stimato in un decennio e i dati (X) hanno spesso un ciclo di vita di molti anni, la necessità di agire ora è inequivocabile, indipendentemente dalla data esatta di arrivo del CRQC.

II. Un Approfondimento sulla Crittografia Post-Quantistica (PQC)

La crittografia post-quantistica (PQC), nota anche come crittografia “quantum-safe” o “quantum-resistant”, si riferisce a un insieme di algoritmi crittografici che possono essere eseguiti su computer classici e sono ritenuti sicuri sia contro attacchi classici che quantistici. A differenza dei sistemi di crittografia a chiave pubblica esistenti, che si basano su problemi matematici vulnerabili all’algoritmo di Shor, gli algoritmi PQC si basano su problemi diversi, come la teoria dei reticoli, i polinomi multivariati o le funzioni hash, considerati intrattabili anche per un CRQC.

Per garantire una transizione ordinata e sicura, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha lanciato un processo di standardizzazione globale nel 2016[vii]. Questo processo ha coinvolto la comunità crittografica internazionale in un’ampia valutazione e selezione di algoritmi PQC candidati, con l’obiettivo di identificare quelli che offrono il miglior equilibrio tra sicurezza, prestazioni e caratteristiche di implementazione.

Questo processo pluriennale ha raggiunto una tappa fondamentale nell’agosto 2024, quando il NIST ha pubblicato i primi tre standard di crittografia post-quantistica. Questi standard, noti come Federal Information Processing Standards (FIPS), forniscono la base per la migrazione a livello globale:

• FIPS 203: Specifica il meccanismo di incapsulamento della chiave basato su reticoli modulari (ML-KEM), derivato dall’algoritmo CRYSTALS-Kyber. Il ML-KEM è progettato per lo scambio di chiavi segrete tra due parti e rappresenta il primo standard per la crittografia a chiave pubblica nell’era post-quantistica.
• FIPS 204: Specifica lo standard di firma digitale basata su reticoli modulari (ML-DSA), derivato dall’algoritmo CRYSTALS-Dilithium. Le firme digitali sono essenziali per l’autenticazione, la verifica dell’integrità dei dati e la non ripudiabilità delle transazioni.
• FIPS 205: Specifica lo standard di firma digitale basato su hash senza stato (SLH-DSA), derivato dall’algoritmo SPHINCS+. Questo standard fornisce un’alternativa a ML-DSA basata su una diversa famiglia di problemi matematici.

Il lavoro del NIST non si è fermato alla prima serie di standard. L’agenzia ha riconosciuto il valore strategico della diversità algoritmica, scegliendo di standardizzare più algoritmi basati su diversi problemi matematici per proteggersi dal rischio che una singola famiglia di algoritmi venga compromessa.

A questo proposito, sono in fase di standardizzazione altri algoritmi. FALCON (FN-DSA), un’altra firma digitale basata su reticoli, è prevista per essere standardizzata nel FIPS 206 e si distingue per le sue firme di dimensioni più ridotte, rendendola ideale per dispositivi con risorse limitate. Inoltre, il NIST ha selezionato l’algoritmo

HQC (Hamming Quasi-Cyclic) come meccanismo di incapsulamento della chiave di riserva (KEM) per ML-KEM. HQC è un algoritmo basato su codici, che offre una ridondanza di sicurezza nel caso in cui le assunzioni di sicurezza dei reticoli dovessero un giorno crollare.

L’approccio del NIST di standardizzare un portafoglio diversificato di algoritmi, con “backup” basati su principi matematici differenti, non è una semplice scelta tecnica, ma una strategia di mitigazione del rischio fondamentale. Questa politica riconosce che il panorama delle minacce è in continua evoluzione e che la resilienza a lungo termine richiede un ecosistema di algoritmi che non condividano un unico punto di vulnerabilità matematica. Le organizzazioni, pertanto, dovranno sviluppare la capacità di passare da un algoritmo all’altro in modo rapido e senza interruzioni se un giorno si dovesse scoprire una nuova vulnerabilità, un concetto noto come agilità crittografica.

[i]Performance Analysis and Industry Deployment of Post-Quantum Cryptography Algorithms, https://arxiv.org/html/2503.12952v2

[ii]NIST’s New Timeline for Post-Quantum Encryption – CyberArk, https://www.cyberark.com/resources/blog/nist-s-new-timeline-for-post-quantum-encryption

[iii]NIST recommends timelines for transitioning cryptographic algorithms, https://csrc.nist.gov/pubs/ir/8547/ipd

[iv]https://www.quantumhorizon.it/2025/10/11/memorandum-sulla-sicurezza-nazionale-per-promuovere-la-leadership-degli-stati-uniti-nellinformatica-quantistica-mitigando-al-contempo-i-rischi-per-i-sistemi-crittografici-vulnerabili-2/

[v]https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled

[vi]https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202401101

[vii]https://csrc.nist.gov/projects/post-quantum-cryptography