L’aggiornamento delle linee guida sulle funzioni crittografiche, pubblicato dall’Agenzia per la Cybersicurezza Nazionale lo scorso 11 giugno, rappresenta un passaggio rilevante nel processo di crescita della postura crittografica italiana.
L’introduzione di nuovi documenti sui cifrari a flusso e sulle firme digitali, insieme all’aggiornamento del documento su Transport Layer Security, conferma che la crittografia non può più essere considerata come un componente statico dell’architettura di sicurezza, ma come una disciplina soggetta a continui aggiornamenti, soprattutto in considerazione della minaccia quantistica.
Indice degli argomenti
Un aggiornamento che va oltre la manutenzione tecnica
L’ACN ha quindi pubblicato due nuovi documenti dedicati, rispettivamente, ai cifrari a flusso e alle firme digitali. Il primo documento tratta gli algoritmi di crittografia simmetrica utilizzati per garantire la riservatezza dei dati, mentre il secondo affronta una primitiva di crittografia a chiave pubblica essenziale per l’integrità, l’autenticazione e il non ripudio.
Contestualmente, l’ACN ha aggiornato anche il documento dedicato a Transport Layer Security, portandolo alla versione 2.0 per includere soluzioni post-quantistiche.
L’intervento non va letto come un semplice aggiornamento documentale. Si inserisce, infatti, in un più ampio processo di istituzionalizzazione della crittografia come misura strutturale di cyber sicurezza nazionale.
I documenti dell’ACN, infatti, sono rivolte a sviluppatori, produttori di dispositivi, fornitori di servizi digitali, responsabili della sicurezza e della cyber sicurezza, con l’obiettivo di promuovere l’uso di primitive crittografiche sicure fin dalla fase di progettazione di prodotti, reti, applicazioni e servizi.
Anche il riferimento normativo è significativo. La legge 28 giugno 2024, n. 90, all’articolo 9, richiede alle strutture interessate di verificare che i programmi e le applicazioni che utilizzano soluzioni crittografiche rispettino le linee guida adottate dall’ACN (Agenzia per la cybersicurezza nazionale) e dal Garante per la protezione dei dati personali, al fine di evitare che vulnerabilità note possano rendere disponibili o intelligibili a terzi i dati cifrati.
La crittografia, quindi, non è solo una buona pratica tecnica, ma anche un aspetto da verificare dal punto di vista organizzativo e normativo.
La minaccia quantistica come discriminante
Il punto più rilevante dell’aggiornamento riguarda la minaccia quantistica.
Nei documenti ACN, la distinzione è netta: la crittografia simmetrica, pur non essendo immune, risulta meno esposta rispetto alla crittografia a chiave pubblica, mentre gli schemi classici di firma digitale e di scambio di chiavi basati sulla fattorizzazione o sul logaritmo discreto sono altamente vulnerabili a un computer quantistico sufficientemente potente.
La ragione tecnica è nota. L’algoritmo di Shor permetterebbe di risolvere in modo efficiente sia il problema della fattorizzazione sia quello del logaritmo discreto, mettendo a rischio gli schemi crittografici RSA, Diffie-Hellman e la crittografia a curva ellittica.
Per questo motivo, le primitive asimmetriche tradizionali rappresentano il principale punto debole nella transizione post-quantistica.
Diverso è il caso delle primitive simmetriche e delle funzioni di hash. In tali ambiti, l’algoritmo di Grover offre un vantaggio quadratico negli attacchi brute-force, ma non provoca lo stesso collasso strutturale osservabile per RSA o ECC sotto Shor.
Secondo le Linee guida ACN, la contromisura consiste nell’aumentare le dimensioni delle chiavi, dei digest o dei tag. Ad esempio, l’uso di chiavi più lunghe e di digest adeguati consente di mantenere livelli di sicurezza coerenti con gli standard attuali.
Questa distinzione è essenziale per evitare letture allarmistiche o, al contrario, sottovalutazioni. La minaccia quantistica non ha un impatto uniforme sull’intero ecosistema crittografico. Essa impone una sostituzione progressiva delle primitive asimmetriche vulnerabili, mentre per molti schemi simmetrici richiede soprattutto un rafforzamento dei parametri e una gestione più rigorosa del ciclo di vita delle chiavi.
Post-quantum cryptography: dallo standard internazionale alla roadmap nazionale
L’aggiornamento ACN si inserisce in un contesto internazionale ormai maturo. Nel mese di agosto 2024, il NIST ha pubblicato i primi standard post-quantum: FIPS 203 per ML-KEM, FIPS 204 per ML-DSA e FIPS 205 per SLH-DSA.
ML-KEM è destinato al key establishment tramite Key Encapsulation Mechanism; mentre ML-DSA e SLH-DSA riguardano le digital signatures, rispettivamente lattice-based e hash-based.
La scelta di ACN di includere le alternative post-quantum nelle Linee guida sulle firme digitali e nel documento TLS appare quindi coerente con l’evoluzione degli standard internazionali. Non si tratta di anticipare soluzioni speculative, ma di preparare le infrastrutture nazionali all’adozione di algoritmi già sottoposti a selezione, standardizzazione e scrutinio pubblico.
Anche l’Unione europea ha assunto una posizione esplicita. La Raccomandazione UE 2024/1101 dell’11 aprile 2024 invita gli Stati membri a definire una roadmap coordinata per la transizione alla Post-quantum cryptography, prestando particolare attenzione alle amministrazioni pubbliche e alle infrastrutture critiche.
La Commissione sottolinea che lo sviluppo futuro dei computer quantistici, in grado di violare gli attuali standard crittografici, rende necessaria una migrazione tempestiva verso soluzioni più robuste.
In questo scenario, il ruolo di ACN è duplice. Da un lato, l’Agenzia svolge una funzione di indirizzo tecnico, indicando gli algoritmi e i parametri raccomandati. Dall’altro lato, contribuisce alla costruzione di una cultura nazionale di “crypto-agility”, ovvero la capacità di identificare, sostituire e aggiornare rapidamente le primitive crittografiche senza compromettere la continuità operativa dei sistemi.
Firme digitali, TLS e rischio “harvest now, decrypt later”
Le firme digitali rappresentano uno degli aspetti più critici di questa transizione. Garantiscono integrità, autenticazione e non ripudio e la loro compromissione non riguarderebbe soltanto la confidenzialità delle comunicazioni, ma la fiducia stessa riposta nei processi documentali, nei certificati, nel code signing e nelle catene di autenticazione.
I documenti ACN evidenziano, infatti, che gli schemi classici di firma digitale rientrano tra le primitive più vulnerabili alla minaccia quantistica.
TLS rappresenta un ulteriore ambito critico. La protezione delle comunicazioni web, delle API, dei servizi cloud e di numerose architetture machine-to-machine dipende da key exchange, certificate chain e digital signature. L’inserimento di soluzioni post-quantum nel documento TLS 2.0 risponde all’esigenza di adeguare le configurazioni operative ai requisiti della transizione.
Un elemento spesso sottovalutato è il rischio “harvest now, decrypt later“: un avversario può intercettare il traffico cifrato oggi e conservarlo fino a quando non disporrà di capacità quantistiche sufficienti per decifrarlo.
Il problema riguarda soprattutto i dati che devono essere protetti per un lungo periodo: segreti industriali, dati sanitari, informazioni giudiziarie, documentazione strategica, comunicazioni istituzionali e archivi classificati.
Da ciò deriva che la migrazione post-quantistica non deve essere pianificata in funzione del giorno in cui sarà disponibile un computer quantistico crittograficamente rilevante, ma in funzione della vita utile dei dati protetti oggi.
In altre parole, se un’informazione dovesse rimanere confidenziale per dieci o venti anni, la valutazione del rischio quantistico sarebbe già attuale.
Le primitive simmetriche: continuità, ma con parametri più robusti
Le Linee guida ACN confermano che, per la crittografia simmetrica, non si osserva la stessa urgenza di sostituzione delle primitive asimmetriche. AES, le modalità di cifratura autenticata come GCM e CCM, HMAC, CMAC, GMAC, SHA-2, SHA-3 e SHAKE rimangono riferimenti centrali, a condizione che vengano impiegati con parametri adeguati e implementazioni corrette.
Per quanto riguarda le funzioni di hash, ACN raccomanda l’uso delle famiglie SHA-2 e SHA-3, escludendo MD5 e SHA-1, ormai obsoleti. Le versioni consigliate sono: SHA-256, SHA-512/256, SHA-384, SHA-512, SHA3-256, SHA3-384, SHA3-512, SHAKE128 e SHAKE256. Anche in questo caso, la minaccia quantistica è trattata in modo proporzionato: l’algoritmo di Grover giustifica digest più lunghi, non l’abbandono dell’intera classe di primitive.
Per i MAC, le raccomandazioni includono HMAC, CMAC e GMAC con chiavi di almeno 128 bit e tag di almeno 96 bit; per CMAC e GMAC, invece, si consiglia l’uso di AES come cifrario a blocchi. Questa indicazione conferma un principio generale: la sicurezza non dipende solo dalla scelta dell’algoritmo, ma anche dalla dimensione dei parametri, dalla corretta gestione delle chiavi e dall’assenza di implementazioni improvvisate.
La stessa impostazione emerge dalle raccomandazioni sulla conservazione delle password. ACN e Garante suggeriscono l’uso di un robusto algoritmo di hashing delle password, di un salt casuale di adeguata lunghezza e di algoritmi specifici come PBKDF2, scrypt e Argon2id, sconsigliando l’uso diretto di comuni funzioni di hash crittografiche ottimizzate per la velocità, che non sono in grado di contrastare efficacemente gli attacchi su grandi archivi.
Dall’aspetto tecnico alla governance crittografica
L’aspetto più importante dell’aggiornamento ACN è forse di natura metodologica. Le Linee guida non si limitano a elencare gli algoritmi raccomandati, ma introducono anche un modello di governance crittografica basato su aggiornamenti periodici, validazione scientifica, parametri minimi, attenzione alla minaccia quantistica e valutazione del contesto.
Ogni documento chiarisce che le raccomandazioni devono essere adattate e convalidate dai responsabili della sicurezza dei sistemi informativi di destinazione.
Per le organizzazioni, ciò implica almeno quattro attività prioritarie:
- censire gli asset crittografici;
- identificare le primitive vulnerabili;
- definire una roadmap di migrazione;
- introdurre meccanismi di crypto-agility.
Senza un inventario attendibile di certificati, protocolli, librerie, firmware, API, VPN, sistemi di firma, HSM e componenti embedded, la transizione post-quantum rischia di rimanere un esercizio astratto.
Particolare attenzione va riservata ai sistemi con un ciclo di vita lungo, come le infrastrutture industriali, gli apparecchi medici, i dispositivi IoT, i sistemi automotive, le piattaforme di identità digitale e gli archivi documentali.
In tali contesti, l’aggiornamento crittografico è spesso più complesso dell’aggiornamento software ordinario, in quanto richiede certificazioni, interoperabilità, vincoli hardware e la garanzia della continuità del servizio.
La transizione dovrà inoltre evitare due errori contrapposti: attendere passivamente che il mercato post-quantistico raggiunga la piena maturità o adottare soluzioni non standardizzate e non sufficientemente analizzate.
L’approccio più prudente, già raccomandato a livello internazionale, è quello progressivo e ibrido: combinare schemi classici e post-quantistici nelle fasi iniziali, monitorare l’evoluzione della crittoanalisi e privilegiare gli algoritmi riconosciuti dalla comunità scientifica e dagli enti di standardizzazione.
Conclusioni
L’aggiornamento delle linee guida dell’ACN rappresenta un passo significativo per la sicurezza digitale italiana. Il messaggio è chiaro: la crittografia non può più essere considerata un’infrastruttura invisibile e immutabile, ma una componente dinamica della resilienza nazionale.
La minaccia quantistica impone un cambio di paradigma. Per quanto riguarda la crittografia simmetrica, sono necessari parametri più robusti e implementazioni corrette, mentre per la crittografia a chiave pubblica è necessaria una migrazione ordinata verso la crittografia post-quantistica. La differenza tra questi due livelli di rischio deve guidare le scelte tecniche, evitando sia il panico tecnologico sia l’inerzia organizzativa.
In definitiva, l’iniziativa ACN contribuisce a trasformare la crittografia da requisito tecnico-specialistico a oggetto di governance, conformità e pianificazione strategica.
La sicurezza dei prossimi anni non dipenderà solo dalla disponibilità di algoritmi post-quantum, ma anche dalla capacità delle organizzazioni di conoscerli, integrarli e sostituirli tempestivamente quando la ricerca scientifica o il contesto delle minacce lo richiederanno.
Fonti
ACN, Linee Guida Funzioni Crittografiche, serie documentale allegata: Introduzione alla Crittografia e alle Linee Guida; Funzioni di Hash; Codici di Autenticazione di Messaggi (MAC); Conservazione delle Password; Cifrari a Blocchi e Modalità di Funzionamento; Cifrari a Flusso; Firme Digitali; Transport Layer Security; Crittografia post-quantum e quantistica.
NIST, Post-Quantum Cryptography Project; FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard; FIPS 204, Module-Lattice-Based Digital Signature Standard; FIPS 205, Stateless Hash-Based Digital Signature Standard.
Commission Recommendation (EU) 2024/1101 of 11 April 2024 on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography.
P. W. Shor, “Algorithms for quantum computation: discrete logarithms and factoring”, Proceedings 35th Annual Symposium on Foundations of Computer Science, 1994. L. K. Grover, “A fast quantum mechanical algorithm for database search”, Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing, 1996.
Partecipa alla community