Per anni la sicurezza ha protetto bene il dato in transito e, con crescente maturità, anche quello a riposo.
Ma il punto più delicato resta il dato “in use”, cioè nel momento in cui viene davvero elaborato.
È qui che i sistemi cyber-fisici e l’IoT mostrano il loro vero nervo scoperto: dispositivi remoti, nodi edge, cloud non pienamente trusted, informazioni sensibili da trattare e funzioni critiche da eseguire.
L’articolo “Toward a universal cryptographic accelerator” sugli acceleratori crittografici, firmato da Srinivas Devadas e Daniel Sanchez, indica una direzione netta: portare la fiducia dentro la crittografia stessa, combinando Fully Homomorphic Encryption (FHE), Zero-Knowledge Proofs (ZKP) e acceleratori hardware programmabili capaci di ridurre colli di bottiglia oggi insostenibili per le CPU tradizionali.
L’utilità pratica di questo approccio è concreta. Gli analisti dell’intelligence trascorrono ore a collegare informazioni provenienti da fonti eterogenee – immagini satellitari, intercettazioni audio, testi in lingue diverse, dati storici – per produrre valutazioni operative.
Un modello addestrato su anni di questo tipo di materiale potrebbe apprendere i pattern interpretativi degli esperti, identificare anomalie in immagini o correlare nuovi dati con precedenti storici in tempi incomparabilmente più brevi.
I modelli di computer vision addestrati su riprese da droni e aerei sono già una realtà consolidata nell’arsenale tecnologico militare: l’estensione ai modelli linguistici segue la medesima traiettoria.
Indice degli argomenti
Il dato è protetto. Finché non comincia il calcolo
La cyber security ha costruito negli anni una delle sue vittorie più importanti rendendo la protezione dei dati in transito una prassi infrastrutturale. Tecnologie come TLS, SSL e HTTPS hanno dato solidità alla fiducia digitale e continuano a rappresentare pilastri essenziali dell’ecosistema Internet.
Il loro limite, tuttavia, è oggi sempre più evidente: proteggono il dato mentre viaggia e, in molti casi, mentre è archiviato, ma non nel momento in cui quel dato viene elaborato.
Il punto è meno astratto di quanto sembri. Nei sistemi cyber-fisici il valore del dato emerge quando misura, correla, attiva decisioni, alimenta automazione. Lo stesso vale nell’IoT industriale, nella sensoristica diffusa, nelle architetture edge e nelle piattaforme cloud che supportano processi sempre più vicini al business operativo.
Qui il dato deve essere usato, non semplicemente custodito. Ma il momento del suo utilizzo coincide con il momento in cui la protezione tradizionale si interrompe.
Questa è la frattura che il paper porta finalmente in primo piano.
Gli autori lo dicono con chiarezza: i sistemi cyber-fisici sono composti da dispositivi disseminati che processano dati sensibili ed eseguono funzioni critiche, ma il cui hardware o software può essere compromesso con relativa facilità.
In questo scenario la domanda cambia radicalmente. Non si tratta più soltanto di cifrare bene il traffico o irrobustire il repository. Si tratta di capire come mantenere riservatezza e integrità anche quando il calcolo avviene su nodi che non possiamo assumere attendibili.
Quando la fiducia si sposta dall’infrastruttura alla matematica
È qui che il contributo di Devadas e Sanchez sugli acceleratori crittografici assume un valore che va oltre la ricerca accademica.
Gli autori propongono un cambio di paradigma molto chiaro: smettere di basare la sicurezza sulla fiducia presunta nell’ambiente di esecuzione e radicarla, invece, nella crittografia stessa.
Il testo parla espressamente di un approccio “rooted in cryptography” che non richiede di fidarsi dell’hardware.
In fondo, è l’evoluzione più coerente del principio zero trust.
Se l’ambiente non è trusted, la risposta non può essere solo sorvegliarlo meglio. Deve diventare possibile ottenere garanzie di privacy e di correttezza del trattamento anche in presenza di nodi compromessi o comunque non verificabili fino in fondo. In altre parole, la fiducia del futuro non coincide più con una proprietà dell’ambiente: coincide con una proprietà verificabile della computazione.
Questa è la vera posta in gioco che il paper consegna al dibattito strategico.
Le primitive che entrano in questo spazio sono note agli specialisti, ma oggi iniziano a parlare anche al mondo dei CISO: Fully Homomorphic Encryption, Zero-Knowledge Proofs e Private Information Retrieval.
Nel paper vengono richiamate come tecnologie rilevanti per outsourced computation, criptovalute, ricerca privata e comunicazione anonima.
Ma la loro vera promessa, letta in chiave enterprise, è ancora più ampia: permettere di usare i dati senza esporli inutilmente e di verificare la correttezza dei risultati senza affidarsi ciecamente all’infrastruttura che li produce.
FHE: usare i dati senza mai metterli in chiaro
Tra queste tecnologie, la Fully Homomorphic Encryption è quella che colpisce più immediatamente anche un lettore non specialistico.
Il principio è semplice da esprimere e radicale nelle conseguenze: consentire a un dispositivo remoto di eseguire una funzione su dati cifrati senza mai decifrarli durante l’elaborazione.
L’esempio richiamato nel paper è molto efficace. Un client possiede un dato privato x e desidera calcolare una funzione f(x), per esempio un’inferenza di deep learning.
Farlo localmente può essere troppo costoso. Il client allora cifra x, lo invia oltre una barriera di fiducia a un dispositivo remoto, riceve indietro il risultato ancora cifrato e lo decifra soltanto alla fine.
Durante tutto il processo, il nodo remoto elabora ma non conosce. Per il mondo enterprise questa idea cambia le coordinate del problema.
Se il nodo remoto fosse compromesso, l’attaccante non potrebbe comunque apprendere il contenuto del dato, perché il dato resta cifrato per l’intera durata della computazione.
La confidenzialità non dipende più dalla correttezza del comportamento del server, ma dalla robustezza dello schema crittografico. Qui la promessa è molto concreta: esternalizzare calcolo senza esternalizzare, nello stesso gesto, la segretezza del contenuto elaborato.
Questo non significa, però, che l’FHE risolva tutto da sola. Gli stessi autori sottolineano un punto cruciale: l’FHE garantisce privacy del dato durante la computazione, ma non offre da sola garanzie di integrità della computazione stessa.
In altri termini, impedisce al nodo remoto di vedere il dato, ma non basta da sola a dimostrare che il risultato sia corretto.
ZKP: non basta il dato segreto, serve sapere che il risultato sia giusto
È a questo livello che entrano in gioco le Zero-Knowledge Proofs. Se l’FHE protegge la riservatezza del dato “in use”, le ZKP affrontano il tema complementare: la verificabilità della computazione.
Il meccanismo illustrato nel paper è lineare. Un soggetto, il prover, genera una prova compatta che consente ad altri soggetti, i verifier, di controllare che una certa affermazione sia vera senza che vengano rivelati i dati sottostanti.
Nel caso d’uso più interessante per ambienti edge o cloud non trusted, il dispositivo remoto non restituisce soltanto l’output del calcolo, ma anche una prova della sua correttezza.
Il client può verificarla a costo contenuto.
Ed è qui che emerge un punto decisivo: verificare la prova è di ordini di grandezza meno costoso che generarla, ed è di norma anche meno oneroso che eseguire localmente la funzione.
In un sistema distribuito, il nodo remoto può fare il lavoro pesante e il client può limitarsi a controllare il risultato con un costo ridotto. Ma c’è un prezzo: la generazione della prova, che avviene sul nodo remoto, è ancora oggi estremamente costosa.
Ed è proprio questo costo a costituire il principale collo di bottiglia delle ZKP.
Il nodo vero non è teorico: è prestazionale
Se FHE e ZKP sono così promettenti, perché non sono già componenti standard di ogni architettura cyber-fisica evoluta? La risposta fornita dal paper è molto concreta: performance.
Le implementazioni allo stato dell’arte di FHE e ZKP subiscono rallentamenti compresi tra quattro e sei ordini di grandezza rispetto alla computazione nativa.
Significa che, su CPU tradizionali, queste tecniche possono risultare da diecimila a un milione di volte più lente.
Lo stesso ragionamento vale per il Private Information Retrieval, che richiede tempi proporzionali alla dimensione del database, a fronte di lookup logaritmici in scenari non privati.
In sostanza, il problema non è l’assenza di casi d’uso. Il problema è che i costi computazionali restano troppo alti per una diffusione estesa in ambienti reali, soprattutto dove latenze, consumi, scala e sostenibilità economica contano quanto la robustezza teorica.
Questa considerazione dovrebbe interessare da vicino i CISO e, più in generale, chi decide gli investimenti di architettura.
Perché significa che il dibattito non è più tra tecnologia affascinante e tecnologia utile, ma tra tecnologia utile, ma ancora troppo costosa e tecnologia utile resa finalmente praticabile.
È qui che si colloca la ragione vera per cui il paper dedica tanta attenzione
all’accelerazione hardware.
La lezione di AES: quando l’hardware fa maturare un intero ecosistema
Gli autori non chiedono un atto di fede. Richiamano un precedente che il mondo della sicurezza conosce bene: l’effetto avuto dall’accelerazione hardware di AES.
Con l’introduzione delle AES-NI nei primi anni 2010 non si è semplicemente velocizzata una cifratura già nota. Si è creata una condizione di convenienza tale da favorire una crescita importante di software crittografico che ha iniziato a utilizzare AES accelerato anche per primitive diverse dalla sola cifratura, come keyed hash functions e pseudorandom number generators.
La lezione è semplice: quando una tecnologia crittografica smette di essere costosa, l’innovazione software si riorganizza intorno a quella nuova convenienza.
Devadas e Sanchez propongono di innescare un effetto analogo per la crittografia avanzata. La formula usata nel paper è netta: hardware progettato per la crittografia, e crittografia progettata con l’hardware in mente.
F1 e CraterLake: la privacy del calcolo entra nel territorio della praticabilità
La parte più convincente del lavoro di Devadas e Sanchez è che questa visione non resta teorica.
Il team ha già sviluppato acceleratori concreti per l’FHE. F1, presentato nel 2021, accelera programmi FHE a profondità limitata.
CraterLake, presentato nel 2022, affronta invece il caso più impegnativo della computazione cifrata a profondità illimitata.
Il numero che colpisce è uno: CraterLake accelera i programmi FHE di 5.000 volte rispetto a una CPU a 32 core. Non è un semplice miglioramento incrementale.
È un salto di scala che indica una possibile uscita dalla marginalità sperimentale. Dietro il risultato c’è una progettazione molto specifica: una architettura vettoriale uniprocessore estremamente ampia, con 2.048 corsie, e tecniche che rendono efficienti operazioni cruciali come le number-theoretic transforms e le automorfie.
Il punto è che l’FHE smette di essere soltanto un ideale corretto e comincia a diventare un carico di lavoro che può essere ingegnerizzato in modo credibile. Per chi osserva l’evoluzione del mercato cyber, il calcolo sempre cifrato non è più solo materia da convegni specialistici.
È un’opzione che inizia lentamente a cercare il proprio sbocco industriale.
NoCap: la verifica della correttezza smette di essere un lusso computazionale
Lo stesso discorso vale per il fronte ZKP. Il paper presenta NoCap come un primo passo verso un’accelerazione più ampia, e i numeri sono difficili da ignorare: 586 volte più veloce di una CPU a 32 core e 41 volte più veloce di PipeZK, indicato come acceleratore ZKP allo stato dell’arte.
Ma il punto davvero interessante non è solo quantitativo. È il metodo con cui questo risultato viene raggiunto. Gli autori scelgono due algoritmi hash-based, Orion e Spartan, e li preferiscono a schemi più popolari basati su curve ellittiche, come Groth16.
La ragione è che queste soluzioni risultano molto più adatte all’accelerazione hardware e più simili, nelle loro operazioni, agli schemi FHE.
Da questa scelta nasce Spartan+Orion, una combinazione che produce prove più grandi, ma che offre vantaggi end-to-end convincenti quando si considerano insieme tempo del prover, trasmissione e verifica.
NoCap viene inoltre descritto come un processore vettoriale programmabile con unità funzionali pensate sulle esigenze delle ZKP hash-based, così da aumentare il parallelismo e ridurre il traffico di memoria.
L’obiettivo più ambizioso: acceleratori crittografici universali
Il passaggio più rilevante dell’articolo, soprattutto per un pubblico di decisori, è il seguente. Devadas e Sanchez non immaginano un chip dedicato per ogni singola famiglia di protocolli.
Sarebbe costoso, rigido, poco scalabile. La loro ambizione è invece arrivare a una “universal cryptographic acceleration infrastructure”, cioè a una infrastruttura capace di accelerare un ampio spettro di protocolli emergenti.
La premessa è che, dietro funzioni crittografiche anche molto diverse, esistano caratteristiche computazionali profonde in comune: operandi molto grandi, aritmetica modulare ad alto throughput, primitive simili come le NTT, computazioni regolari su grandi polinomi con coefficienti modulari.
Proprio ciò che oggi rende questi protocolli lenti su CPU e GPU general purpose può diventare il terreno ideale per una stessa architettura specializzata.
NoCap e CraterLake, letti insieme, mostrano che questa convergenza non è una suggestione teorica. Il paper sottolinea che gli acceleratori per ZKP hash-based condividono importanti similitudini con quelli FHE.
È su questo terreno che si apre la prospettiva di futuri chip capaci di accelerare, in modo efficiente, FHE, ZKP e altri protocolli che si fondano sulla crittografia lattice-based, sempre più rilevante anche nel contesto post-quantum.
Perché tutto questo riguarda già oggi i CISO
È vero, non siamo ancora davanti a una tecnologia pronta per essere adottata domani mattina in ogni impianto industriale o in ogni architettura edge enterprise.
Ma sarebbe un errore speculare liquidare tutto come un tema ancora troppo remoto. Il paper non fotografa soltanto una linea di ricerca promettente. Segnala una traiettoria.
