Il quantum computing sta diventando realtà e presto sarà in grado di risolvere problemi ben oltre le capacità dei più potenti supercomputer attuali. Tuttavia, nelle mani sbagliate, i computer quantistici rappresenteranno un nuovo, drammatico livello di rischio per i CISO.
I recenti progressi fanno pensare che un Cryptographically Relevant Quantum Computer (CRQC), cioè una macchina in grado di violare gli algoritmi di crittografia attualmente in uso, si stia avvicinando alla realtà.
A febbraio 2025, ad esempio, Microsoft ha annunciato Majorana 1, il primo processore quantistico a utilizzare qubit topologici, più stabili, che sono le unità base dell’informazione quantistica. Microsoft ritiene che questo processore potrà in futuro scalare fino a 1 milione di qubit su un singolo chip.
Anche se Majorana 1 è ancora lontano dal raggiungere il suo potenziale, il suo annuncio è un campanello d’allarme per tutte quelle organizzazioni che non stanno ancora prendendo sul serio la Post-Quantum Cryptography (PQC). I computer quantistici renderanno obsoleti gli algoritmi crittografici odierni e offriranno nuovi strumenti per compromettere sistemi critici. Prepararsi a questa eventualità significa iniziare subito ad adottare algoritmi PQC.
Violazione della crittografia a chiave pubblica
La principale minaccia è la capacità dei computer quantistici di violare rapidamente gli algoritmi di crittografia a chiave pubblica più diffusi, come RSA, Diffie-Hellman e anche lo standard AES. Attualmente, solo gli Stati-nazione dispongono delle risorse necessarie per sviluppare sistemi quantistici capaci di raggiungere questo livello. È convinzione comune che tali stati stiano già raccogliendo dati cifrati oggi con l’intento di decifrarli in futuro, una strategia nota come “harvest now, decrypt later”.
“Organizzazioni malevoli stanno raccogliendo tutto ciò che possono dalle reti cifrate”, afferma John Prisco, CEO della società di consulenza Safe Quantum. “Sappiamo che, una volta disponibile un CRQC, ogni messaggio cifrato con RSA-2048 o RSA-4096 sarà decifrato. Nessuna comunicazione cifrata in questo modo resterà segreta”.
Il rischio non riguarda solo i dati trafugati in passato. Un CRQC potrebbe compromettere in tempo reale tutte le comunicazioni digitali basate su crittografia asimmetrica. “Gli attori malevoli potrebbero autenticarsi in modo fraudolento, spacciandosi per chiunque, con conseguenze potenzialmente devastanti,” spiega Ray Harishankar, IBM Fellow e leader di IBM Quantum Safe. “Non è come il problema del Millennium Bug: qui il rischio non si materializzerà in un istante preciso, ma in modo graduale, man mano che questi sistemi diventeranno disponibili”.
I settori più esposti includono i servizi finanziari, enti governativi, università e centri di ricerca, e la sanità. “La scienza medica è particolarmente a rischio. I dati dei pazienti devono rimanere protetti per tutta la vita dell’individuo,” aggiunge Prisco. “Serve un programma di sicurezza a lungo termine”.
Il tema riguarda tutto il top management, non solo il CISO. “Chi gestisce dati con valore a lungo termine — marchi, farmaci in fase di sviluppo, brevetti industriali — deve preoccuparsene,” continua Prisco. “È un problema che coinvolge CIO, Chief Risk Officer, CEO e persino il board. Basta un solo incidente per compromettere la reputazione del brand”.
Come cambia la crittografia con il quantum computing
Gli algoritmi di cifratura attuali, come RSA, sono ritenuti “sicuri” solo perché violarli richiede troppo tempo e potenza di calcolo. “Con i computer attuali ci vorrebbero circa mille anni per violare RSA,” osserva Prisco. “Un CRQC potrebbe farlo in meno di un’ora”.
Per rispondere alla minaccia, i ricercatori stanno sviluppando nuovi algoritmi PQC. Alcuni esempi sono Rainbow e SIKE (Supersingular Isogeny Key Encapsulation), inizialmente approvati dal NIST ma in seguito compromessi.
Perché prepararsi ora ai rischi del quantum
Le minacce derivanti dai computer quantistici sono note fin dal 1994, quando Peter Shor sviluppò l’algoritmo che porta il suo nome, in grado — se eseguito su un CRQC — di violare la crittografia attuale. Anche se nessun computer quantistico è oggi in grado di farlo, la tecnologia sta progredendo.
La vera domanda è: quando arriverà un CRQC? Non c’è una risposta precisa, anche perché molta della ricerca è riservata. Si stima che servano da qualche migliaio a decine di milioni di qubit per eseguire Shor.
“Nel 2016 avevamo cinque qubit, oggi siamo oltre i 156,” commenta Harishankar. “Pensiamo di avere un computer quantistico con 200 qubit logici entro il 2029-2030.” IBM ha pubblicato una roadmap fino al 2033.
Ma questo potrebbe non bastare. Harishankar stima che un vero CRQC sarà disponibile intorno alla metà degli anni 2030. Chi pensa di avere tutto il tempo per prepararsi, si sbaglia: “Cambiare gli algoritmi crittografici su larga scala richiede molto più di 7-10 anni. Serve iniziare subito.”
Come prepararsi alla cybersecurity post-quantistica
La mossa più importante è iniziare la transizione verso algoritmi e chiavi quantum-secure. È un processo lungo, che include:
- Selezionare un algoritmo PQC. Il NIST ha già selezionato tre algoritmi pronti all’uso e sta finalizzando gli standard per altri due. Le organizzazioni dovrebbero scegliere un algoritmo primario (es. FIPS 203) e uno per le firme digitali, tenendo anche conto delle opzioni di backup.
- Valutare l’impatto sull’infrastruttura IT. Gli algoritmi PQC usano chiavi più grandi e generano traffico di rete più frammentato, aumentando la complessità e il carico computazionale.
- Adeguare dispositivi di rete e sicurezza. Firewall e sistemi di rilevamento delle intrusioni dovranno gestire traffico più voluminoso e complesso.
- Verificare che i servizi cloud siano quantum-ready. Anche se la rete aziendale è protetta, potrebbe esserci una vulnerabilità se i servizi cloud utilizzati non sono pronti per la tecnologia quantistica. Alcune aziende, tra cui Zoom, Apple e Microsoft, dichiarano che le loro soluzioni sono quantum-safe.
- Adottare una strategia crypto-agile. La crypto-agility permette di passare a un nuovo algoritmo con impatti minimi sul business, nel caso quello attuale venga compromesso. “Dobbiamo progettare i sistemi per essere agili fin da ora,” spiega Harishankar. “Un piccolo sforzo oggi può far risparmiare enormi risorse domani.”
Il futuro della cybersecurity quantistica
Il mondo post-quantistico sarà senza dubbio più complesso, ma una cosa resterà invariata: il gioco infinito tra chi attacca e chi difende.
“Gli algoritmi quantum-resistant falliranno nel tempo,” afferma Prisco. “Non sappiamo se siano già stati violati gli algoritmi a reticolo CRYSTALS approvati dal NIST. Dobbiamo puntare su una vera defense-in-depth, che combini scienza quantistica e algoritmi matematici. Pensare che questi algoritmi possano garantirci 50 anni di sicurezza, come fecero Diffie e Hellman, è un azzardo”.
