Redazione RHC : 22 Agosto 2025 11:05
Gli esperti di sicurezza parlano sempre più spesso di “Q-Day”, il momento in cui i computer quantistici saranno in grado di gestire i moderni algoritmi di crittografia. Le previsioni dei principali attori, da IBM e Google agli analisti di Gartner, si riducono a una data allarmante: il traguardo potrebbe arrivare già nel 2029. Il paradosso è che non ci saranno segnali d’allarme clamorosi. I server continueranno a rispondere alle richieste, i browser apriranno pagine familiari, i sistemi aziendali rimarranno operativi. Cambierà solo la parte invisibile del quadro: gli aggressori che da anni “raccolgono” dati crittografati aspetteranno il momento in cui potranno essere letti.
All’inizio di quest’estate, Keyfactor ha riunito gli scienziati attorno a un tavolo per discutere il confine tra consapevolezza e reale preparazione. L’incontro ha fatto eco a un sentimento che i dirigenti della sicurezza ripetono da tempo in privato: nessuno conosce la data esatta, quindi ha senso comportarsi come se la corsa fosse già iniziata. L’azienda ha pubblicato delle raccomandazioni per la compilazione di un inventario crittografico, che di solito è il punto di partenza per qualsiasi transizione importante. Senza una conoscenza approfondita dei protocolli, delle chiavi, delle librerie e dei dispositivi coinvolti nei processi aziendali, è impossibile pianificare la sostituzione.
Il giorno dei quanti, qualunque esso sia, sarà avvertito dalle chiavi pubbliche come RSA-2048 che è stato il cavallo di battaglia delle firme digitali, dello scambio di chiavi, del TLS nei browser web, della crittografia delle e-mail e di una serie di script incorporati per decenni.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il National Institute of Standards and Technology ha già approvato una serie di algoritmi post-quantistici e la strada è formalmente tracciata. Il problema è la scalabilità. Il co-fondatore di Keyfactor, Ted Shorter, stima che persino l’aggiornamento molto più soft da SHA-1 a SHA-2/256, iniziato intorno al 2007, abbia richiesto al settore circa 12 anni per essere completato. Le organizzazioni hanno dovuto affrontare incompatibilità, il rischio di compromettere le integrazioni legacy e una carenza di personale, e quindi la migrazione si è protratta a lungo. Quasi due decenni dopo, ci sono ancora clienti che hanno SHA-1 in agguato negli angoli della loro infrastruttura.
Il lato commerciale del problema aggiunge inerzia. I team tecnici giocano a whack-a-mole da anni con un flusso costante di incidenti, e la ristrutturazione strategica delle criptovalute è stata relegata in fondo alla lista delle priorità.
Quando la sicurezza spiega i rischi, alcuni manager li vedono come “un altro Y2K”, che presumibilmente può essere rinviato se la minaccia non si manifesta entro un paio d’anni. L’errore di percezione colpisce i dati con un lungo ciclo di vita. I registri finanziari sono spesso tenuti a essere conservati per almeno sette anni, gli identificativi dei conti bancari sono validi per decenni, i satelliti rimangono in orbita ben oltre il completo deprezzamento delle apparecchiature di terra. Tom Patterson di Accenture ricorda il progetto del primo satellite quantistico: la crittografia non è la prima cosa a cui si pensa, ma è impossibile “riposizionare” il dispositivo nello spazio: la protezione deve essere installata prima del lancio.
La storia del Y2K rende davvero difficile valutare con lucidità i rischi attuali. Alla fine degli anni ’90, il mondo si stava preparando a un problema tecnico dovuto al formato dell’anno a due cifre. Governi, banche, infrastrutture: l’intero ecosistema ha speso centinaia di miliardi di dollari per aggiornare e riscrivere il codice. Alla vigilia di Capodanno, nulla è crollato e gli sforzi di un esercito di ingegneri si sono rivelati pressoché invisibili. Anni dopo, sono emersi gli effetti collaterali della “finestra” (windowing): alcuni parchimetri e sistemi di pagamento sono saltati nel 2020. Veterani di quegli eventi come Peter Zatko (Mudge), ora CIO della DARPA, ricordano di essere stati in servizio in contatto con la Casa Bianca e sottolineano: “non si è verificato alcun disastro” proprio perché le persone hanno lavorato. Altri ricordano: i paesi con una preparazione minima hanno superato la pietra miliare quasi senza dolore, il che significa che c’era più panico che fatti. Entrambe le versioni sono comode a posteriori, ma entrambe si riducono a un punto: un problema su larga scala può essere prevenuto solo in anticipo.
In questo senso, la transizione post-quantistica è più complessa del Y2K. La data non è ancora stata fissata; nessuno pubblicherà un comunicato stampa per annunciare che la chiave ha finalmente ceduto.
Gli aggressori raccoglieranno silenziosamente il set di dati e l’energia necessaria, proprio come i crittoanalisti un tempo si occuparono di Enigma, e lavoreranno su quegli array che saranno preziosi negli anni a venire. Il ricercatore Marin Ivezic di Applied Quantum richiama l’attenzione sul bilancio energetico: decifrare una singola chiave RSA-2048 può richiedere giorni e megawatt, quindi non è prevista una “demolizione” di massa della crittografia in un colpo solo.
Il settore, tuttavia, sta iniziando a muoversi. Il rapporto “Digital Trust Digest: Quantum Readiness Edition” di Keyfactor del 30 luglio ha rilevato che metà dei 450 dirigenti della sicurezza IT intervistati ha ammesso di non essere preparata, ma l’argomento è già entrato nelle agende di consigli di amministrazione, assicuratori e autorità di regolamentazione. I requisiti di conformità spingeranno le grandi istituzioni finanziarie, banche, società di telecomunicazioni ed enti governativi più velocemente di altri. Le aziende più piccole potrebbero seguire una traiettoria diversa: alcune aspetteranno che hardware e software cambino e “passeranno” direttamente alla nuova crittografia; per coloro che vivono interamente nel cloud, gli hyperscaler si occuperanno di parte del lavoro.
L’agenda pratica per i prossimi anni sembra concreta. Abbiamo bisogno di un registro completo degli ambienti crittografici: protocolli, librerie, centri di certificazione, formati di chiavi e loro durata. Poi, implementazioni pilota di algoritmi NIST dove i rischi sono più elevati e un piano di compatibilità per non “abbandonare” integrazioni obsolete. Sarà necessaria l’automazione, perché una migrazione manuale di questo tipo è insostenibile. E dovremo rivedere costantemente le policy crittografiche , tenendo conto proprio di questa incertezza temporale.
Il mondo digitale ha un calendario difficile: da qualche parte nel futuro si profila l'”Epocalisse” del 2038, un altro bug nel sistema di riferimento universale UNIX. Ma questo è un problema per il prossimo futuro. La protezione post-quantistica richiede impegno ora, mentre le minacce rimangono teoriche e invisibili. Se tutto verrà fatto in tempo, “non succederà nulla” – e questo sarà il principale indicatore di successo.
RedazioneUn difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...
Gli analisti di Citizen Lab hanno segnalato che oltre 20 app VPN presenti sul Google Play Store presentano gravi problemi di sicurezza che minacciano la privacy degli utenti e consentono la decrittazi...
Diversi bug di sicurezza di alta gravità sono stati risolti da Mozilla con il rilascio di Firefox 142, impedendo a malintenzionati di eseguire in remoto codice a loro scelta sui sistemi coinvolti...
In data odierna – avverte il Cert-AGiD – sono pervenute segnalazioni da parte di Pubbliche Amministrazioni riguardo a una campagna malevola mirata diffusa in queste ore. Email malevola L...
Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’ide...
