Una guida completa alla crittografia e alla crittografia post-quantistica

I computer quantistici, che si trovano ancora nelle fasi di sviluppo iniziale, sono destinati a cambiare il mondo, compresa la capacità di violare la crittografia e le chiavi crittografiche che utilizziamo oggi. I computer quantistici si stanno avvicinando alla potenza di calcolo e alla stabilità necessarie per infrangere i protocolli di crittografia a chiave pubblica. È giunto il momento di migrare alla crittografia post-quantistica.

I computer quantistici applicano le proprietà della meccanica quantistica alla potenza di elaborazione. Ciò consente loro di eseguire calcoli altamente complessi molto più velocemente rispetto ai computer classici.

Prima di poter comprendere l’informatica quantistica, è necessario comprendere il "qubit". Nell'informatica tradizionale, l'unità base della memoria è un "bit", che rappresenta uno o zero. D’altro canto, un qubit può rappresentarne uno, zero o anche una combinazione di entrambi allo stesso tempo, un fenomeno chiamato "sovrapposizione".

Quando i computer classici tentano di risolvere un problema con più variabili, devono eseguire un nuovo calcolo ogni volta che una variabile cambia. Essendo una soluzione deterministica, ogni calcolo è un unico percorso verso un unico risultato. I computer quantistici non si limitano a un algoritmo e possono esplorare numerosi percorsi contemporaneamente.

In breve, questa capacità significa che l’informatica quantistica è esponenzialmente più veloce delle capacità di cui disponiamo ora.

L'informatica quantistica ha dato il via un cambiamento significativo per la società, producendo un impatto su ogni cosa, dal settore automobilistico alla chimica, alla biologia e alla fisica: Con una potenza di elaborazione senza precedenti, i computer di prossima generazione avranno un impatto tangibile in diversi settori chiave:

• Settore automobilistico: I computer quantistici potrebbero essere applicati al processo di produzione, diminuendo i costi e abbreviando i tempi di ciclo grazie all'ottimizzazione della produttività.
• Finanza: In futuro, le istituzioni finanziarie saranno in grado di sfruttare la tecnologia quantistica per una gestione avanzata del portafoglio e del rischio.
• Intelligenza artificiale: La combinazione dell'informatica quantistica con un algoritmo di intelligenza artificiale e deep learning può accelerare notevolmente l’analisi dei dati, ridurre i tempi di formazione e ottimizzare le operazioni della catena di fornitura.
• Settore farmaceutico: I computer quantistici hanno il potenziale per accelerare rapidamente la ricerca e lo sviluppo. Inoltre, potrebbero ridurre la dipendenza da tentativi ed errori per migliorare notevolmente l’efficienza di ricerca e sviluppo.

I sistemi crittografici odierni forniscono una protezione più che sufficiente anche contro le minacce più persistenti alla sicurezza informatica. Tuttavia, nessuno è al sicuro dagli attacchi quantistici.

Fortunatamente, non esiste ancora un computer quantistico rilevante dal punto di vista crittografico perché non ne esiste uno abbastanza sofisticato da decifrare la crittografia a chiave pubblica. Tuttavia, i criminali informatici stanno già raccogliendo informazioni in previsione dell’arrivo di quel giorno, una strategia nota come "raccogli ora, decrittografa in seguito".

Le organizzazioni con un’abbondanza di dati con valore a lungo termine (in genere 25 anni) sono particolarmente vulnerabili alla minaccia quantistica. Ad esempio, le infrastrutture critiche come quelle finanziarie, sanitarie e governative hanno già iniziato la transizione verso un approccio di sicurezza quantistica.

Molti schemi crittografici standard sono vulnerabili agli attacchi quantistici. Queste includono:

• Standard di crittografia avanzato (AES) 256: Necessità di un output maggiore
• Algoritmo Hash sicuro (SHA) 256 e SHA-3: Necessità di un output maggiore
• Rivest-Shamir-Adelman (crittografia RSA): Non più sicuro
• Crittografia a curva ellittica (ECDSA e ECDH): Non più sicuro
• Digital Signature Algorithm (DSA): Non più sicuro

Migrando alla crittografia post-quantistica, puoi adottare misure per proteggere i dati della tua organizzazione, oggi e in futuro. Il processo può richiedere anni e il National Institute of Standards and Technology (NIST) sta lavorando attivamente per stabilire nuovi protocolli.

Entrust è membro attivi dell'Internet Engineering Task Force (IETF) e partecipa con NIST per l'identificazione di nuovi standard di crittografia resistente agli attacchi quantistici per il mondo post-quantistico. È fondamentale iniziare a pianificare ora la sostituzione di hardware, software e dei servizi che utilizzano algoritmi a chiave pubblica, in modo da proteggere le informazioni dalle future minacce quantistiche.

I computer quantistici sono stati in gran parte confinati nei laboratori e nelle università nazionali, ma diversi marchi, tra cui IBM, Microsoft, Google, AWS e Honeywell, stanno iniziando il percorso per la creazione di computer quantistici disponibili in commercio. La tecnologia è in fase di sviluppo, ma è destinata a progredire rapidamente. Inoltre, la disponibilità diffusa di computer quantistici potrebbe aumentare il rischio potenziale per la crittografia a chiave pubblica.

Secondo McKinsey, i principali attori nella produzione di computer quantistici, così come un piccolo gruppo di start-up, aumenteranno presto il numero di qubit che le loro innovazioni possono gestire. Entro il 2030, saranno operativi 5.000 computer quantistici. Tuttavia, le organizzazioni non dovranno aspettare molto prima di iniziare a sperimentare le minacce alla sicurezza post-quantistica. Il Global Risk Institute prevede che i computer quantistici riusciranno a violare gli attuali meccanismi di sicurezza informatica tra il 2027 e il 2030.

La buona notizia è che le scoperte nella crittografia quantistica sicura hanno il potenziale per mitigare la minaccia imminente alla crittografia a chiave pubblica.

Come definito da Caltech, la crittografia post-quantistica (PQC) mira a creare metodi di crittografia che non possano essere violati da un algoritmo quantistico. Utilizza le leggi della fisica quantistica per trasmettere dati privati in modo non rilevabile. Questo processo è noto come distribuzione delle chiavi quantistiche.

Un algoritmo PQC confronta le misurazioni effettuate ad entrambe le estremità di una trasmissione, consentendoti così di sapere se la chiave è stata compromessa.

L'agilità crittografica, o Crypto Agility, è la capacità di modificare, approvare e revocare le risorse crittografiche secondo necessità, per rispondere alle minacce che si stanno sviluppando.

L'agilità crittografica ti offre la possibilità di modificare gli algoritmi crittografici, di combinare i metodi di crittografia, di aumentare le dimensioni delle chiavi di crittografia e di revocare i certificati digitali, il tutto senza un introdurre un significativo aumento nelle misure di sicurezza e nell'IT. Ciò lo rende un importante trampolino di lancio per qualsiasi organizzazione nel suo percorso verso la sicurezza post-quantistica.

Ci sono alcuni semplici passaggi che le aziende possono adottare per valutare la maturità della propria agilità nel campo delle criptovalute.

1. Innanzitutto, identifica l'algoritmo, i rischi per la protezione dei dati e le difficoltà della realtà post-quantistica nelle tue operazioni aziendali. La tua organizzazione utilizza chiavi crittografiche attualmente considerate a rischio?
2. Successivamente, delinea il tuo piano di migrazione e stabilisci i tempi per il raggiungimento di determinati traguardi. Una migrazione di successo può richiedere anni, quindi assicurati di adottare un approccio graduale anziché fare il passo più lungo della gamba.
3. Infine, in preparazione ai test e all'implementazione della migrazione post-quantistica, esamina la tua governance rispetto alle prassi ottimali per controllo, conformità e competenze.

Una volta individuati i dati a rischio, è possibile sviluppare un piano dettagliato per mitigare le potenziali minacce. Oppure usa Centro di eccellenza crittografico di Entrust per raccomandazioni attuabili per porre rimedio ai rischi identificati nei crittosistemi.

Raggiungere la prontezza quantistica non è un compito facile. Fortunatamente, ci sono quattro passaggi che puoi compiere oggi per assicurarti che il tuo viaggio inizi sulla strada giusta:

1. Fai l'inventario delle risorse e dei dati crittografici e del luogo in cui sono collocati.
2. Dai la priorità ai tuoi beni più preziosi e a quelli con la durata di conservazione più lunga. Sono questi dati che devi migrare per primi alla crittografia post-quantistica.
3. Testa gli algoritmi resistenti agli attacchi quantistici su un set di dati prototipo prima del vero affare.
4. Pianifica una tabella di marcia per la migrazione agli algoritmi PQC con i tuoi fornitori.

Alla tua organizzazione non serve pianificare in autonomia la crittografia post-quantistica. Il Cryptographic Center of Excellence (CryptoCoE) di Entrust fornisce gli strumenti e la guida necessari per inventariare e assegnare priorità ai dati e alle risorse crittografiche durante l'attuazione di un piano post-quantistico.