Nella storia dell’informatica, abbiamo dovuto affrontare bug come Y2K. Abbiamo affrontato vulnerabilità come Heartbleed. Ma non abbiamo mai dovuto affrontare un evento di estinzione matematica. Y2Q (Years to Quantum) segna il punto in cui un computer quantistico diventa abbastanza potente da eseguire l’Algoritmo di Shor su larga scala.

Quando arriverà questo giorno (stimato nel 2030-2035), le fondamenta della moderna Internet, la crittografia a chiave pubblica, crolleranno all’istante.

RSA: Rotto.
Curva ellittica (ECC): rotta.
Diffie-Hellman: Rotto.

Ogni connessione TLS, ogni sessione SSH, ogni firma digitale e ogni portafoglio Bitcoin sarà compromesso.

A Maison Code Paris, operiamo secondo il “Centennial Time”. Costruiamo sistemi destinati a durare. Ciò significa che dobbiamo progettare oggi le difese contro le minacce di domani.

Perché Maison Code ne parla

In Maison Code Paris, agiamo come la coscienza architettonica dei nostri clienti. Spesso ereditiamo stack “moderni” costruiti senza una comprensione fondamentale della scala.

Discutiamo di questo argomento perché rappresenta un punto di svolta critico nella maturità ingegneristica. Implementarlo correttamente differenzia un MVP fragile da una piattaforma resiliente di livello aziendale.

La strategia: raccogli ora, decifra più tardi

Perché preoccuparsi oggi? Non hai un computer quantistico. Nemmeno la Corea del Nord (probabilmente). Tuttavia, le agenzie di intelligence e i malintenzionati stanno attualmente attuando una strategia chiamata Harvest Now, Decrypt Later (HNDL). Intercettano e archiviano traffico crittografato (HTTPS/VPN) in massa. A loro oggi sembra rumore. Idealmente, rimane su un disco rigido per 10 anni. Nel 2035 acquistano un computer quantistico, eseguono la derivazione della chiave e decodificano retroattivamente il traffico.

I tuoi segreti commerciali.
SSN dei tuoi clienti.
Le tue comunicazioni private. Sono già compromessi. L’unica difesa per HNDL è aver utilizzato la crittografia Quantum-Resistant oggi.

La matematica: perché RSA cade e i reticoli stanno in piedi

Vulnerabilità classica

La crittografia asimmetrica tradizionale si basa sulla difficoltà del Factoring Large Primes (RSA) o del Discrete Logarithm Problem (ECC). Per un computer classico, trovare i fattori di un numero di 2048 bit richiede miliardi di anni. Per un computer quantistico, che utilizza l’Algoritmo di Shor, si tratta di un problema temporale polinomiale. Ci vogliono ore. L’algoritmo di Shor utilizza la proprietà della sovrapposizione quantistica per trovare il “periodo” di una funzione, che rivela i fattori primi.

Speranza post-quantistica: reticoli

Il NIST (National Institute of Standards and Technology) ha standardizzato nuovi algoritmi basati su problemi matematici in cui nemmeno i computer quantistici sono bravi. Il vincitore è la Crittografia basata su Lattice.

Immagina una griglia (reticolo) di 500 dimensioni. Scelgo un punto su un’intersezione della griglia. Aggiungo un po’ di “rumore” (errore) per spostarlo leggermente dall’intersezione. Il problema: dati il punto rumoroso e la definizione della griglia, trovare l’intersezione originale. Questo è il problema dell’Apprendimento con errori (LWE). Risolvere questo problema in 500 dimensioni è esponenzialmente difficile sia per le macchine classiche che per quelle quantistiche.

Gli standard NIST (PQC)

Dopo una competizione durata 6 anni, il NIST ha annunciato i sopravvissuti nel 2024.

1. Meccanismo di incapsulamento delle chiavi (KEM): ML-KEM (Kyber)

Questo sostituisce lo scambio di chiavi Diffie-Hellman.

Utilizzo: Handshake TLS (HTTPS), scambio di chiavi VPN.
Prestazioni: estremamente veloce (più veloce delle attuali operazioni RSA/ECC).
Costo: Chiavi più grandi.
- Chiave pubblica RSA-2048: 256 byte.
- Chiave pubblica Kyber-768: 1.184 byte.
- Questo si inserisce in un pacchetto TCP, quindi è utilizzabile per il web.

2. Firme digitali: ML-DSA (Dilitio)

Questo sostituisce le firme RSA e l’ECDSA.

Utilizzo: firma di aggiornamenti software, verifica dell’identità, certificati TLS.
Costo: firme molto più grandi.
- Ed25519 Firma: 64 byte.
- Firma Dilithium3: 3.293 byte.
- Questo è pesante. Gonfia la stretta di mano.

3. Il backup: SPHINCS+

Questa è la crittografia basata su Hash. È incredibilmente lento e produce firme enormi (40 KB - 7 KB). Perché mantenerlo? Perché non è basato su Lattices. Se domani un matematico interrompe improvvisamente la matematica di Lattice, abbiamo SPHINCS+ come riserva.

Implementazione: Agilità crittografica

La cosa più pericolosa che puoi fare è codificare Alg = "RSA" nel tuo database. Devi adottare la Crypto Agility. Il sistema deve supportare lo scambio della primitiva crittografica sottostante senza riscrivere la logica dell’applicazione.

Scambio di chiavi ibride

Siamo in un periodo di transizione. Ci fidiamo dell’ECC (è testato sul campo). Pensiamo che Kyber sia sicuro (ma è nuovo). Soluzione: utilizzare entrambi. Combina uno scambio di chiavi classico (X25519) con uno quantistico (Kyber768). Condivisione chiavi = X25519_Condividi || Kyber768_Condividi Per risolvere questo problema, un utente malintenzionato deve violare entrambi gli algoritmi.

Configurazione di Cloudflare/AWS

Se utilizzi un CDN importante, spesso puoi abilitarlo oggi stesso con una casella di controllo. Cloudflare: supporta il contratto di chiave ibrida X25519Kyber768. Selezionando questa casella proteggi immediatamente il tuo traffico dagli attacchi HNDL.

Crittografia simmetrica (AES)

Buone notizie: AES-256 è resistente ai quantici. Esiste un algoritmo quantistico chiamato Algoritmo di Grover che può eseguire ricerche in database non ordinati. Dimezza effettivamente la forza in bit delle chiavi simmetriche.

AES-128 diventa forza effettiva a 64 bit (Cracked).
AES-256 diventa forza effettiva a 128 bit (sicuro). Azione: controlla la crittografia del database. Se utilizzi AES-128, esegui immediatamente l’aggiornamento a AES-256.

Il costo delle prestazioni

PQC è efficiente in termini di CPU, ma richiede molta larghezza di banda. Poiché le chiavi Kyber/Dilithium sono più grandi, l’handshake TLS iniziale cresce di ~4-5KB. Su una connessione 5G veloce, questo è trascurabile (<5ms). Su una connessione IoT lenta (LoRaWAN / 2G), questo è catastrofico. Potrebbe causare la frammentazione dei pacchetti.

Per gli ambienti vincolati, potremmo prendere in considerazione Falcon (un altro finalista del NIST), che ha firme più piccole ma richiede calcoli complessi in virgola mobile (rendendo difficile l’implementazione sicura senza perdite di canali laterali).

Esempio di codice: utilizzo di `liboqs` (Node.js)

Il progetto Open Quantum Safe (OQS) fornisce librerie C per questi algoritmi.

// Questo è illustrativo. Utilizza il wrapper 'liboqs-node'.
const oqs = require('liboq');

funzione quantumKeyExchange() {
  const kem = nuovo oqs.KeyEncapsulation('Kyber768');
  
  // 1. Alice genera la coppia di chiavi
  kem.generate_keypair(); 
  const public_key = kem.export_public_key();
  
  // 2. Bob incapsula un segreto condiviso
  // (Bob invia il "testo cifrato" via cavo ad Alice)
  const { testo cifrato, shared_secret_bob } = kem.encapsulate_secret(public_key);
  
  // 3. Alice decapsula utilizzando la sua chiave privata
  const shared_secret_alice = kem.decapsulate_secret(testo cifrato);
  
  // Ora Alice e Bob hanno entrambi lo stesso shared_secret
  // Lo usano per derivare una chiave di sessione AES-256.
  assert(shared_secret_alice.equals(shared_secret_bob));
}

10. La tabella di marcia sulla migrazione (2025-2030)

Non è possibile eseguire la migrazione da un giorno all’altro.

Fase 1 (2025): Inventario. Trova ogni certificato, ogni chiave SSH, ogni chiave di firma JWT. Aggiorna Cloudflare/AWS per supportare lo scambio di chiavi ibride.
Fase 2 (2027): PKI interna. Aggiorna la tua CA interna (HashiCorp Vault) per emettere certificati ibridi.
Fase 3 (2029): Risigillazione dei dati. Ricodificare i vecchi backup del database (AES-128 -> AES-256).
Fase 4 (2030): deprecazione. Disattiva il supporto RSA. Se inizi nel 2029, fallirai.

11. Sfatare i miti: distribuzione delle chiavi quantistiche (QKD)

I venditori proveranno a venderti hardware QKD (satelliti/fibra ottica basati sulla fisica). “Chiavi infrangibili tramite fisica!” Ignorali. Sia la NSA che l’NCSC (Regno Unito) raccomandano la Crittografia post-quantistica (matematica), non la QKD (fisica). QKD richiede linee hardware dedicate, ha limiti di distanza (100 km) e introduce vulnerabilità hardware. La matematica è gratuita. La fisica è costosa. Attieniti agli standard matematici del NIST.

13. L’impatto della Blockchain (Bitcoin ed Ethereum)

Gli indirizzi Bitcoin (P2PKH) sono hash di chiavi pubbliche. Sono tecnicamente resistenti ai quanti finché non spendi da loro (rivelando la chiave pubblica). Tuttavia, molte vecchie monete dell‘“era Satoshi” utilizzano P2PK (Pay to Public Key). Questi sono vulnerabili. I conti Ethereum sono ECDSA. Vulnerabile. Se detieni risorse crittografiche per la tua azienda, devi guardare la roadmap “Quantum Hard Fork” di queste catene. Probabilmente dovrai migrare i tuoi fondi su un nuovo standard di indirizzo “Quantum Wallet” intorno al 2028.

14. Dettagli della cronologia del NIST

Inizia a prepararti adesso.

2024: pubblicazione degli standard (FIPS 203, 204, 205).
2025-2030: implementazione del fornitore (supporto del browser, supporto del sistema operativo).
2030-2033: non consentire l’utilizzo di RSA nel governo.
2035: si apre la finestra Y2Q. Se oggi stai costruendo un sistema con una durata di vita di 10 anni (ad esempio, dispositivo IoT, automobile, satellite), sei già in ritardo.

15. Conclusione

L’“Apocalisse Quantistica” sembra fantascienza, ma la National Security Agency (NSA) ha già emesso una direttiva (CNSA 2.0) che impone a tutti i sistemi di sicurezza nazionale di migrare al PQC entro il 2033.

Il tempo stringe. Non vuoi essere l’ingegnere che spiega perché le e-mail del CEO del 2025 sono state decrittografate nel 2030 perché non hai attivato un interruttore nella configurazione del bilanciatore del carico.

Rendi il tuo stack a prova di futuro

Ti affidi a RSA per l’archiviazione dei dati a lungo termine?

Consulta il nostro team di sicurezza. Assumi i nostri architetti.