La guida Red Sift alla crittografia post-quantistica

Gennaio 2026

SINTESI ESECUTIVA: La crittografia, come la conosciamo e la utilizziamo, è minacciata dai computer quantistici: una nuova tecnologia con il potenziale di costruire computer su principi completamente diversi. Nel caso in cui venga mai costruito un computer quantistico rilevante per la crittografia [Nota 1] – se ciò non fosse già accaduto – potrebbe riuscire, praticamente dall’oggi al domani, a violare i più diffusi algoritmi crittografici utilizzati oggi. È urgentemente necessario comprendere la minaccia e passare ad algoritmi di crittografia sicuri prima che sia troppo tardi.

La crittografia post-quantistica si sta sviluppando rapidamente. Manteniamo questa guida aggiornata e la adattiamo in base alle evoluzioni: controlla periodicamente se sono disponibili aggiornamenti.

I computer quantistici stanno arrivando – e ci si aspetta che abbiano un impatto enorme sulla crittografia. Non tutto sarà colpito allo stesso modo, ma alcuni dei nostri pilastri fondamentali – la crittografia a chiave pubblica – verranno completamente infranti. L’algoritmo di Shor, che necessita di un computer quantistico per funzionare, violerà i metodi più diffusi oggi, come la crittografia RSA, Elliptic Curve e lo scambio di chiavi Diffie-Hellman [Nota 2]. Un altro algoritmo, Grover, è considerato efficace contro la crittografia simmetrica e l’hashing, ma in misura significativamente minore, rendendolo quindi meno pericoloso. Questi algoritmi sono stati sviluppati rispettivamente nel 1994 e nel 1996.

Le organizzazioni leader con proprietà intellettuale significativa e chiunque gestisca segreti di stato saranno probabilmente tra i primi bersagli. Se rientri in questo gruppo ad alto rischio, non sei semplicemente coinvolto: devi agire immediatamente. Probabilmente non ti sorprende, poiché è molto probabile che tu sia già oggi un bersaglio importante di attacchi informatici tramite mezzi tradizionali; i computer quantistici sono solo un altro tema da monitorare.

Tutti saranno colpiti, anche se con tempistiche diverse. Nel lungo periodo, una volta che i computer quantistici saranno diffusi, la crittografia attuale potrebbe fallire anche contro avversari molto meno potenti. Al momento, la questione principale è la gestione dei rischi. Dovresti porti tre domande:

1. Hai dei segreti da proteggere per decenni?
2. Sei un bersaglio probabile?
3. Quando potresti essere attaccato?

L’National Security Agency (NSA) statunitense ha avviato il passaggio verso la crittografia post-quantistica nell’agosto 2015, aggiornando la NSA Suite B Cryptography. Il National Institute of Standards and Technology (NIST) ha lanciato il suo progetto nel 2016, facendo leva sulla collaborazione della comunità crittografica e organizzando concorsi per identificare i migliori algoritmi resistenti ai quanti.

Nell’ottobre 2020, il NIST ha standardizzato due algoritmi a firma hash con stato: LMS e XMSS. Si tratta di algoritmi specializzati, la cui sicurezza si basa sulle proprietà delle funzioni hash crittografiche. Sono stati selezionati per primi perché i concetti di base erano già ben compresi. Poiché richiedono un’attenta gestione dello stato, questi algoritmi sono particolarmente adatti per casi d’uso a basso volume e alto valore – ad esempio per le firme del codice.

Ad agosto 2024 il NIST ha standardizzato una nuova generazione di algoritmi per applicazioni più generali:

• ML-KEM. Ex CRYSTALS-Kyber, è il nuovo standard per l’incapsulamento di chiavi (una versione migliorata dello scambio di chiavi).
• ML-DSA. Ex CRYSTALS-Dilithium, nuovo standard per le firme digitali.
• SLH-DSA. Ex Sphincs+, nuovo standard per le firme digitali. Usa una matematica differente e funge da alternativa di backup a ML-DSA.

Altri standard sono in arrivo:

• FN-DSA. Ex FALCON, nuovo standard per firme digitali, previsto in arrivo nel 2025.
• Altri schemi di firma sono ancora in fase di valutazione, con ulteriori passaggi previsti nel 2026.
• HQC. Un algoritmo di backup per ML-KEM, basato su altri principi matematici, la cui standardizzazione è prevista per marzo 2025. Il completamento del processo è atteso per il 2027.

Contemporaneamente, l’International Organization for Standardization (ISO) sta valutando gli algoritmi Classic McEliece e FrodoKEM – entrambi per l’incapsulamento di chiavi. Queste varianti sono ritenute più conservative, e quindi potenzialmente più sicure, rispetto a quelle scelte dal NIST. Sono implementate o in valutazione anche nell’Unione Europea.

Molti algoritmi post-quantistici sono completamente nuovi, ossia non sono stati ancora sufficientemente testati per confermarne definitivamente la robustezza. Vista l’urgenza, sono stati scelti algoritmi con approcci matematici differenti – per garantire maggiore diversità e come soluzioni di backup. Se la loro robustezza verrà confermata, i loro acronimi diventeranno comuni quanto oggi RSA, ECDSA, DH e ECDHE.

Sono possibili anche approcci ibridi, nei quali la crittografia classica e post-quantistica vengono usate insieme. In questo modo, un guasto di una nuova variante post-quantistica non abbassa la sicurezza sotto il livello attualmente garantito.

In TLS 1.3 è stato introdotto uno scambio di chiavi ibrido denominato X25519MLKEM768 (basato su una combinazione di ECDHE e ML-KEM), adottato da tutti i principali browser e dai primi server. Già protegge ampie porzioni del traffico Internet.

L’aggiornamento dei certificati X.509 sarà più problematico, in particolare perché i nuovi algoritmi post-quantistici utilizzano firme molto più lunghe. Sostituire semplicemente gli algoritmi accrescerebbe il carico di rete durante un handshake TLS fino a dieci volte. Questo è eccessivo per i browser, ma potrebbe essere accettabile in infrastrutture PKI private. Rappresenta una sfida particolare per l’aggiornamento di Internet e Web PKI, soprattutto per via della loro forte decentralizzazione.

Alcune delle principali piattaforme di messaggistica – ad esempio Apple e Signal – hanno già aggiornato i propri protocolli per proteggersi contro i computer quantistici. Agli utenti basta installare le versioni più recenti per beneficiarne.

Molti altri standard sono in fase di definizione da parte dei gruppi di lavoro IETF. La transizione comporta sfide significative. I nuovi algoritmi introducono caratteristiche prestazionali e esigenze di memoria differenti, e ciò richiede spesso modifiche ai protocolli. Le discussioni sono ancora in corso; l’integrazione nelle librerie software richiederà tempo.

Sebbene molti paesi si orientino al NIST, la ISO persegue un percorso complesso di standardizzazione, così come alcuni paesi, come Cina, Russia e Corea del Sud.

L’uso a breve termine della crittografia a chiave pubblica odierna rimane sicuro, finché non avviene una svolta decisiva. Anche dopo tale svolta, passerà tempo prima che la nuova tecnologia sia largamente disponibile.

Purtroppo, per chi rientra nella “categoria urgente” potrebbe essere già troppo tardi. Questo è uno dei motivi principali per cui si deve accelerare la transizione. La spiegazione sta nei seguenti scenari:

• Avversari potenti potrebbero già oggi intercettare i tuoi dati criptati. Anche se oggi non sono in grado di decifrarli, li potrebbero conservare fino a quando un computer quantistico sarà operativo – per poi decriptarli, mettendo a rischio i tuoi segreti. Questa tecnica è nota come “Collect now, decrypt later” o “Store now, decrypt later”. Gli attori statali archiviano tradizionalmente il traffico di rete per scopi di analisi. Inizialmente riguardava contenuti in chiaro, poi i metadati – oggi anche il traffico criptato. Alcuni dati cifrati, come le email, sono poco voluminosi e facili da archiviare e decriptare successivamente. Nel 2021 la società di consulenza Booz Allen Hamilton ha pubblicato un report secondo cui gruppi di cybercriminali cinesi avevano già registrato traffico cifrato nel 2020. Dal 2022 Google protegge il suo traffico di rete interno con la crittografia post-quantistica. Anche i backup cifrati sono un bersaglio ovvio. Lo stesso vale per architetture crittografiche centralizzate, dove la compromissione di una chiave centrale può compromettere l’intera gerarchia di sicurezza.
• Le firme digitali apposte oggi devono restare affidabili per decenni. Oggi sono sicure, ma tra pochi anni potrebbero perdere ogni affidabilità. Contratti: tra qualche anno un computer quantistico potrebbe falsificare un documento con firma attuale in modo indistinguibile dall’originale – o permettere di rinnegare la firma. Fanno parte di questa categoria anche chiavi private di lunga durata e firme di codice.
• Sistemi fisici difficili o costosi da aggiornare. Esistono piattaforme, come certi dispositivi IoT industriali, progettati per durare decenni, ma difficili o costosi (o impossibili) da aggiornare. I nuovi algoritmi post-quantistici potrebbero richiedere risorse hardware assenti su tali dispositivi: fra qualche anno questi sistemi potrebbero divenire vulnerabili.

Per la maggior parte delle organizzazioni si raccomanda di iniziare a sviluppare le contromisure il prima possibile. Le piccole imprese possono muoversi più rapidamente, mentre nelle realtà più complesse la migrazione richiederà dai cinque ai dieci anni. Molti governi hanno pubblicato roadmap per la migrazione: verifica se sei interessato e quali siano i prossimi passi previsti.

Il primo passo è eseguire un’analisi del rischio per stabilire se e quando la migrazione post-quantistica diventerà urgente per la tua organizzazione. La portata del lavoro dipende dalle dimensioni dell’ente. Conviene partire da una panoramica veloce per stimare l’impegno richiesto. Il processo comprende queste fasi:

1. Inventaria i tuoi dati: Mappa ogni tipo di dato gestito – sia su infrastrutture proprie sia di terze parti. Comprendi natura e necessità di protezione.
2. Inventaria le risorse crittografiche: Consulta team di sviluppo e DevOps per identificare risorse crittografiche (chiavi, certificati, algoritmi ...). Esamina i sistemi e monitora il traffico di rete alla ricerca di segnali. Non dimenticare audit di software e hardware che impiega crittografia.
3. Inventaria i fornitori: Elenca tutte le terze parti che trattano i tuoi dati. Dovresti informarli tempestivamente sui requisiti post-quantistici.
4. Inventaria la normativa applicabile: Elenca tutte le leggi e regolamentazioni pertinenti, incluso requisiti e scadenze.
5. Valuta i rischi: Analizza la tua esposizione. Sei già ben preparato? Dove sono le lacune?

Fai parte della categoria urgente se gestisci dati sensibili di interesse statale. Decidi in base al tipo di dati e al periodo necessario di protezione. Qualsiasi cosa riguardante segreti di stato, militare, criptovalute, proprietà intellettuale di alto valore rientra in questa casistica. Se prevedi periodi di protezione lunghi (dieci anni o più) sei sicuramente in questo gruppo. Se fornisci servizi ad altre organizzazioni, dovrai muoverti in anticipo.

Nell’inventario scoprirai probabilmente di non essere ancora preparato a sufficienza. Succede alla maggior parte delle organizzazioni. Usa questa occasione per rafforzare processi nelle seguenti aree:

• Gestione delle risorse: Monitora costantemente cosa va protetto, da chi e per quanto tempo.
• Governance della crittografia: Definisci policy e controlli per gestire correttamente chiavi/algoritmi e collegarli alle risorse.
• Inventario crittografico: Tieni un inventario aggiornato e sistematizzato dei beni crittografici (chiavi, algoritmi, ecc.).
• Agilità crittografica: Prevedi processi per intervenire rapidamente su segnalazioni di debolezze o attacchi.

Delineato il tuo perimetro, potrai concentrarti sulle raccomandazioni tecniche illustrate nella prossima sezione.

Tutti i principali paesi hanno ora pubblicato indicazioni per la migrazione post-quantistica. Nonostante alcune differenze, i punti chiave e le tempistiche sono simili:

1. Avvia subito la pianificazione e la definizione delle priorità.
2. Inizia la transizione il prima possibile, o entro il 2026 al più tardi.
3. Completa le attività prioritarie entro il 2030 al più tardi.
4. Completa la migrazione entro il 2035.

Negli Stati Uniti, la NSA prevede una tempistica leggermente anticipata: per i National Security Systems tutto deve essere concluso entro il 2033.

Le raccomandazioni tecniche sono:

• Adotta gli standard post-quantistici non appena disponibili.
• Mantieni gradualmente fuori uso gli algoritmi RSA, EC, DH ed ECDH.
• Passa a cifratura simmetrica a 256 bit (ad esempio AES-256).
• Abilita funzioni hash da almeno 384 bit.

Le opinioni sull’uso di approcci ibridi – che combinano vecchi e nuovi algoritmi – sono varie. Alcune organizzazioni nutrono ormai tanta fiducia negli algoritmi post-quantistici da ritenere inutile, sul lungo periodo, la complessità dei meccanismi ibridi. La NSA vieterà pertanto algoritmi ibridi nella Commercial National Security Algorithms (CNSA) Suite 2.0 a partire dal 2030 (per firme software e firmware, apparecchiature di rete) e dal 2033 (ogni altro caso).

Di solito per crittografia post-quantistica si intende la crittografia in grado di resistere ai computer quantistici rilevanti. Ma i principi della meccanica quantistica possono essere sfruttati anche per altri obiettivi; da qui nascono termini come reti quantistiche, crittografia quantistica, scambio quantistico di chiavi, casualità generata tramite quanti, ecc.

Nonostante i nomi simili, si tratta di sfide differenti: queste tecnologie stanno evolvendo in modo autonomo. Al momento, comunque, non vengono raccomandate.

Agilità crittografica significa poter sostituire gli algoritmi crittografici in modo flessibile e con il minimo sforzo. Soprattutto nel contesto post-quantistico è un tema cruciale: mai prima d’ora si è verificata una transizione di tale portata – e ci si aspetta che si ripeta ancora in futuro.

La crittografia è una disciplina recente; le soluzioni a chiave pubblica hanno meno di 50 anni. Nuove scoperte influenzeranno anche i sistemi futuri. L’era post-quantica segna l’inizio di una nuova fase di incertezza: solo chi resta agile sul piano crittografico potrà restare al sicuro dai criminali.

Crittografia discovery è il primo passo verso un inventario dei beni crittografici, prerequisito fondamentale per l’agilità. Alcune rilevazioni si possono automatizzare, altre richiedono lavoro manuale e quindi più tempo.

La discovery crittografica richiede ottimi strumenti. Nell’ambito delle infrastrutture pubbliche significa solitamente monitorare grandi volumi di dati per identificare i beni crittografici. Red Sift Certificates è stato progettato proprio per questo: monitora l’infrastruttura pubblica a livello globale e crea automaticamente un inventario di domini client, sottodomini, certificati e reti – operando in autonomia e in modo continuo. Tutti i servizi pubblici rilevati vengono analizzati rispetto alla loro configurazione, inclusi i parametri crittografici (protocolli, cipher suite, algoritmo delle chiavi private, ...). Il risultato è un inventario completo e sempre aggiornato dei beni crittografici pubblici, con sforzo minimo dopo il setup iniziale. L’adozione rapida di Red Sift Certificates ti consente una panoramica pressoché perfetta e immediata dell’esposizione della tua organizzazione verso l’esterno nella prospettiva post-quantistica.

Per il traffico di rete interno è possibile rilevare protocolli e parametri crittografici tramite monitoraggio di rete. Se non sono previste tali verifiche, istituire un monitoraggio completo della rete costituisce un progetto a sé stante di grande portata.

Il resto del lavoro riguarda aspetti interni e non esposti verso l’esterno: si tratta di comprendere l’architettura dei sistemi interni e analizzare i repository per individuare dove viene impiegata la crittografia, dove sono conservate le chiavi, ecc.