L'APPROFONDIMENTO

Tecnologie quantistiche e minacce alla sicurezza: perché è necessario occuparsene ora

ENISA ha di recente pubblicato un report dedicato alla crittografia post-quantistica che, sebbene molto tecnico, fornisce utili indicazioni relative alla sicurezza dei dati e delle informazioni in seguito all’avvento delle tecnologie quantistiche. Ecco tutti i dettagli

15 Feb 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

L’avvento delle tecnologie quantistiche e più in generale dei computer quantistici sta spingendo i moderni algoritmi crittografici verso una naturale evoluzione ormai nota come crittografia post-quantistica (anche nota come post-quantum o quantum-resistant).

A tal proposito, ENISA ha di recente pubblicato un report dedicato proprio alla crittografia post-quantistica. Il tema può apparire di frontiera, tuttavia la rapidità dei processi tecnologici a cui ormai siamo abituati rischia di rendere gli scenari prefigurati dall’ente attuali prima ancora che ce ne accorgiamo.

Il documento è particolarmente tecnico, addentrandosi su risvolti matematici e algebrici delle tecniche illustrate: si ritiene comunque un contributo importante per considerazioni generali relative alla sicurezza dei dati e delle informazioni.

Lo sviluppo di quest’area potrà portare a rendere insicuri meccanismi di protezione che oggi riteniamo sicuri, per cui merita la maggiore attenzione possibile.

Tecnologie quantistiche e rischi cyber

Anzitutto va ricordato brevemente che cosa sia la tecnologia quantistica: si è già affrontato in precedenti contributi la crittografia quantistica, per cui ci limitiamo a un breve accenno.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Si tratta di un’area ingegneristica emergente che sfrutta alcuni dei principi della fisica quantistica – come l’entanglement – comportando mutamento sensibile nei paradigmi tecnologici e relative applicazioni. In prospettiva potrà portare a mutamenti tecnologici per ora impensabili quanto alle capacità computazionali degli strumenti che ne sfrutteranno i principi, sfociando in un quantum computing non più basato sui tradizionali bit.

La ricerca sta andando avanti, l’Unione Europea stessa ha investito oltre un miliardo in dieci anni in progetti sul tema. Per quanto ci può interessare in questa sede, l’utilizzo di macchine basate su tecnologie quantistiche potrà arrecare seri pericoli nell’utilizzo delle attuali misure di crittografia, alla base del concetto di sicurezza informatica.

Tant’è che già dal 2017 l’omologo statunitense dell’ENISA, ovvero il NIST, ha avviato una gara pubblica per standardizzare algoritmi crittografici asimmetrici che possono resistere alle tecnologie quantistiche.

Una distinzione importante è quella tra la crittografia post-quantistica e la crittografia quantistica: la prima mira a soluzioni di difesa che possono essere utilizzate dagli strumenti oggi disponibili, non quantistici, così da resistere alle crittoanalisi quantistiche; la crittografia quantistica, invece, si basa sull’utilizzo di tecnologie quantistiche per assicurare la sicurezza (come ad es. la Quantum Key Distribution – QKD).

La stessa strategia europea per la cybersecurity, presentata nel 2020, menziona le tecnologie quantistiche come fondamentali per la sicurezza informatica, a conferma del perché considerare fin d’ora le strategie di mitigazione degli attacchi e dei rischi che queste tecnologie – una volta che saranno completamente sviluppate e di comune applicazione – potranno arrecare all’ecosistema informativo. La stessa ENISA ne aveva dato contezza già in un report del 2018.

Le considerazioni dell’ENISA nel nuovo report

Il documento ENISA è dedicato alla famiglia di processi di crittografia post-quantistica, vengono esaminate 5 principali famiglie di algoritmi dedicati a tale scopo (ci limitiamo a menzionarli, rimandando al documento per ogni approfondimento):

  1. basati sul codice (code-based), ovvero su codici di correzioni degli errori;
  2. basati sull’isogenia (isogeny-based), ovvero sull’isogenia (morfismo di gruppi algebrici) di curve ellittiche;
  3. basati sull’hash (hash-based), ovvero sull’evoluzione delle attuali tecniche di hash;
  4. basati sui reticoli (lattice-based), ovvero su reticoli algebrici;
  5. basati su sistemi multivariati (multivariate-system based), ovvero su funzioni di equazioni quadratiche multivariate.

ENISA presenta anche i finalisti della gara indetta dal NIST quanto a nuovi schemi di crittografia e firma. Nell’analisi di dettaglio l’ente analizza pro e contro di ogni tecnica; design, implementazione, crittoanalisi, ecc. Il NIST prevede di selezionare e pubblicare uno standard tra il 2022 e il 2024, rendendolo di fatto di internazionale applicazione.

Tecnologie quantistiche: strategie per la riservatezza dei dati

Esaurito il discorso delle future tecnologie, il documento propone strategie che tuttora si possono implementare per proteggere la riservatezza dei dati contro attacchi basati su tecnologie quantistiche (mitigazione quantistica), ovverosia:

  1. implementazioni ibride che utilizzano una combinazione di schemi pre-quantistici e post-quantistici, come ad es. schemi a chiave pubblica RSA con altri post-quantistici;
  2. un mix di chiavi di crittografia pre-condivise (pre-shared keys) in tutte le chiavi utilizzate per la crittografia PKI.

Nessuno di tali sistemi è privo di risvolti negativi (ad es. il mix di chiavi è particolarmente impegnativo quanto a implementazione) e vanno attentamente bilanciati nella valutazione costi-benefici propria della valutazione dei rischi.

Tecnologie quantistiche: importanti indicazioni per la data protection

Senza scendere in ulteriori dettagli tecnici, per chi si occupa di protezione dei dati e delle informazioni si possono ricavare importanti indicazioni:

  • anzitutto i sistemi più comunemente usati oggigiorno di crittografia asimmetrica – con chiave pubblica e privata – non sono più considerabili sicuri a fronte degli algoritmi quantistici, ad es. verso algoritmi RSA;
  • la crittografia simmetrica è impattata in misura minore (essendo basata sulla randomizzazione e non su proprietà matematiche come accade a quella asimmetrica), tant’è che si ritiene un algoritmo AES-256 – raddoppiando la dimensione della chiave rispetto al più comunemente utilizzato AES-128 – dovrebbe essere sufficiente a garantire robustezza contro gli attacchi quantistici;
  • viene ribadito che al momento i computer quantistici esistenti non sono sufficientemente sviluppati per configurare una minaccia reale contro le attuali misure crittografiche; tuttavia, considerando che l’implementazione e lo sviluppo di nuovi sistemi crittografici come contromisura, a loro volta resistenti alle nuove tecniche, richiede tempo e sforzi notevoli, è prudente iniziare a considerare le misure alternative fin da adesso, prima che la tecnologia d’attacco sia matura e diffusa;
  • un rischio concreto è che oggi si effettuino degli attacchi per raccogliere comunicazioni e dati criptati, li si conservi – nonostante non si sia in grado attualmente di leggerli – per decifrarli in seguito quando saranno disponibili le tecnologie quantistiche (c.d. decrittazione retrospettiva);
  • anche i sistemi di firma digitale, basata su crittografia, sono a rischio, specie quelli utilizzati per update di sistemi informatici;
  • non tutti gli sviluppi di queste tecnologie sono considerati di pubblico dominio, in particolare se pensiamo alla attività che potrebbero svolgere i vari governi nel mondo – sussiste un cono d’ombra rispetto a ciò che attualmente è possibile e non è possibile fare, inoltre non è garantito che vi siano pubblici annunci quando siano raggiunti determinati risultati nello sviluppo tecnologico;
  • il report vuole aggiornare e fare suo un precedente documento, il Whitepaper ECRYPT CSA del 2018: già in tale documento si consigliava – nel caso in cui si volessero mantenere riservati i dati per più di 10 anni – di aggiornare i propri sistemi crittografici con almeno una soluzione post-quantistica, così come i costruttori di dispositivi dovrebbero includere firme post-quantistiche nell’implementazione degli aggiornamenti;
  • si dovrebbero esaminare i casi in cui si utilizzano sistemi di crittografia a chiave pubblica, per quali scopi, e considerarne le applicazioni a fronte di scenari quantistici.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr