La crittografia a chiave pubblica che protegge i dati sensibili, come le credenziali, potrebbe presto essere compromessa dai computer quantistici e di questo ne abbiamo ampiamente parlato. Sebbene attualmente nessuna macchina sia in grado di violare la criptografia a curva ellittica o RSA, l’avanzamento rapido dell’hardware quantistico sta cambiando il modo in cui le organizzazioni proteggono i loro dati. Le informazioni cifrate e le credenziali catturate dagli attaccanti possono essere archiviate e decifrate non appena la computazione quantistica raggiungerà un livello avanzato.
Secondo il rapporto “2025 Quantum Threat Timeline” dell’Istituto Globui Rischi, i professionisti della sicurezza ritengono che un computer quantistico rilevante dal punto di vista crittografico sarà disponibile entro 15 anni, con il 51-70% degli intervistati che condividono questa opinione.
La possibilità teorica di compromettere la crittografia a chiave pubblica tramite computer quantistici è stata dimostrata nel 1994, quando Peter Shor ha dimostrato che un potente computer quantistico potrebbe fattorizzare grandi numeri e calcolare logaritmi discreti in modo efficiente. Tuttavia, l’algoritmo di Shor si applica solo alla crittografia a chiave pubblica e
non compromette direttamente la crittografia simmetrica. Gli algoritmi simmetrici sono invece soggetti all’algoritmo di Grover, che riduce il livello di sicurezza ma non li rende impraticabili, soprattutto nel caso di AES-256.
La minaccia quantistica è rilevante oggi grazie a una tattica chiamata “Harvest Now, Decrypt Later”, in cui un attaccante cattura il traffico cifrato attualmente, lo archivia e poi lo decifra quando i computer quantistici saranno disponibili. Con un computer quantistico plausibilmente disponibile entro 15 anni, qualsiasi dato intercettato oggi potrebbe essere considerato già esposto.
Le agenzie governative stanno fissando scadenze per il Q day, ovvero quando la crittografia dovrà cambiare. L’NSA richiede che i nuovi sistemi di sicurezza nazionale inizino a supportare algoritmi resistenti ai computer quantistici dal 1° gennaio 2027. Il NIST segue un percorso parallelo con il suo progetto IR 8547, che depreca RSA-2048 e ECC P-256 dopo il 2030 e proibisce l’utilizzo dopo il 2035.
Non tutte le informazioni cifrate all’interno di un’organizzazione presentano lo stesso rischio quando la crittografia che le protegge diventa obsoleta. Le credenziali, in particolare, rappresentano un rischio maggiore perché possono persistere per anni o finché i sistemi associati rimangono in servizio. Gli attaccanti trovano queste credenziali particolarmente preziose da raccogliere e conservare fino a quando un computer quantistico non sarà in grado di decifrarle.
Le identità non umane (NHIs) come gli account di servizio e le chiavi API hanno spesso una durata a vita perché nessuno è responsabile della loro rotazione. Non essendo state inventariate per l’esposizione, rappresentano un obiettivo ideale per essere raccolte e utilizzate dopo.
Per affrontare questa minaccia, le organizzazioni dovrebbero adottare un approccio basato sulle credenziali per la migrazione quantistica. Questo implica fare un inventario della crittografia esistente, identificando i sistemi che gestiscono segreti come password manager e PAM (Privileged Access Management) platforms. È fondamentale prioritizzare il rischio in base alla durata della confidenzialità e alla raggiungibilità da parte degli attaccanti.
Invece di sostituire gli algoritmi classici, le organizzazioni dovrebbero adottare una criptografia ibrida, combinando un algoritmo classico con uno resistente ai computer quantistici. Questo protegge le connessioni sia dagli attacchi tradizionali che da quelli futuri basati su computer quantistici.
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response