Il NIST Verso la Post-Quantum Cryptography

Il NIST, attraverso il suo National Cybersecurity Center of Excellence (NCCoE), ha pubblicato la prima bozza di un nuovo documento dedicato alla crittografia post-quantistica (PQC).

Da sempre gli algoritmi crittografici proteggono i nostri dati digitali più riservati dagli accessi non autorizzati. Finora hanno funzionato bene, perché anche i computer più potenti non sono stati in grado di superarli. Ma all’orizzonte c’è una sfida: i computer quantistici, che un domani potrebbero rompere gli algoritmi tradizionali e rendere vulnerabili informazioni oggi considerate sicure.

Per questo servono nuovi algoritmi, capaci di resistere sia ai computer attuali che a quelli quantistici del futuro. È qui che entra in gioco la PQC, ossia la crittografia “resistente ai quanti”. Il progetto del NCCoE, chiamato Migration to PQC, nasce proprio per aiutare aziende e istituzioni a pianificare e testare questa transizione.

Perché agire adesso?

Anche se non sappiamo quando arriveranno i computer quantistici davvero potenti (alcuni esperti dicono entro 10 anni), conviene iniziare subito a muoversi. Storicamente, infatti, ci vuole molto tempo per passare da un nuovo algoritmo alla sua adozione completa nei sistemi informativi.

Inoltre, esiste un rischio concreto noto come “harvest now, decrypt later”: un attaccante può raccogliere oggi grandi quantità di dati cifrati, conservarli e aspettare che, un giorno, un computer quantistico permetta di decifrarli. In questo modo, informazioni sensibili e di lunga durata potrebbero essere compromesse anche se oggi sembrano protette.

Il contenuto del documento

Il nuovo white paper (CSWP 48) aiuta le organizzazioni a capire come collegare la migrazione alla PQC con le pratiche di gestione del rischio già esistenti. In pratica, mette in relazione le capacità dimostrate nel progetto NCCoE con due documenti fondamentali e ben noti del NIST:

• Il Cybersecurity Framework 2.0 (CSF 2.0), usato in tutto il mondo per gestire i rischi informatici.
• Il catalogo SP 800-53, che raccoglie i controlli di sicurezza e privacy per proteggere i sistemi informativi.

L’obiettivo è aiutare le organizzazioni a pianificare la migrazione verso la crittografia post-quantistica in modo ordinato, allineando i nuovi sforzi con pratiche già consolidate e individuando i controlli di sicurezza più adatti.

Il NIST raccoglierà commenti su questa bozza fino al 20 ottobre 2025, tramite la pagina del progetto NCCoE.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.