Uno dei primi “segnali” è stato quello lanciato da Signal lo scorso anno: le app di messaggistica sono preoccupate dei progressi che compie il quantum computing. Con l’aumentare della sua applicabilità diffusa, infatti, si avvicina il momento in cui gli attuali algoritmi di crittografia potranno essere decifrati. Prima si passa a quelli post-quantistici, quindi, prima si riducono le possibilità di farsi trovare impreparati.
Questa sfumatura “minacciosa” che caratterizza la tecnologia in arrivo comincia a essere notata anche dagli utenti delle app. Lo dimostra la mossa di Apple che, molto attenta a non deludere e a trattenere con sé il proprio vasto club di “appassionati”, qualche settimana fa ha annunciato un’evoluzione della propria sicurezza in chiave post quantistica.
Il fantasma della retrospective decryption
Per non comparire come “la seconda che ci pensa”, la big tech di Cupertino ha implementato un protocollo che andrebbe oltre a quello della rivale, consapevole che l’attuale standard di crittografia usato, con il quantum computing diventerebbe “un colabrodo”.
Oggi infatti iMessage, come la maggior parte delle app di messaggistica, sfrutta una coppia di chiavi pubbliche e private, le prime per i messaggi inviati, le altre per permettere al destinatario di decifrare il messaggio in arrivo. Tutto, o quasi, avviene automaticamente e senza soluzione di continuità, per la gioia degli utenti che non avvertono alcun “attrito” o ritardo. Restano infatti all’oscuro delle varie sfide matematiche e di potenza di calcolo anti-hacker proprie del processo, ma sono sempre più consapevoli che con il quantum computing essi potrebbero vincerle.
Nonostante si tratti di un pericolo non imminente, aziende come Signal e Apple non si sono mosse già da ora solo per fare le prime della classe. Alcuni criminali stanno infatti iniziando già adesso a raccogliere i dati crittografati per conservarli e decifrarli in un secondo momento, appena accederanno alla potenza dei quantum computer. È la tecnica della “decifrazione retrospettiva” (retrospective decryption).
Ragionando sui rischi attuali e sulle prospettive future, Apple avrebbe quindi deciso che le sue chiavi di crittografia devono cambiare “su base continua”. Partendo da questo presupposto, ha creato PQ3, combinando la crittografia a curva ellittica (ECC) che impiega oggi con iMessage, e quella post-quantistica Kyber, raccomandata anche dal NIST (National Institute of Standards and Technology) degli Stati Uniti.
Il protocollo crittografico che si auto-guarisce
Il funzionamento di questo nuovo protocollo viene illustrato direttamente e pubblicamente dall’azienda, in tutti i suoi passaggi. Il servizio iMessage, consentendo da tempo di registrare più dispositivi sullo stesso account, genera per ciascuno di essi un set di chiavi di crittografia private che mai saranno esportate all’esterno. Con PQ3 vengono registrate due chiavi di crittografia pubbliche per ogni dispositivo, poi sostituite in modo regolare con altre nuove. Una è definita “di incapsulamento post-quantum Kyber-1024”, l’altra è quella di accordo di chiave classica P-256 a curva ellittica.
Questo processo avviene in modo continuo, per assicurare che un criminale non possa ricalcolare le chiavi utilizzate per crittografare i messaggi passati e futuri, anche se capace di estrarre lo stato crittografico del dispositivo in un determinato momento. Così studiato, il protocollo dedica a ogni messaggio una nuova chiave unica, mostrando una sorta di “capacità di auto-guarigione”.
In termini tecnici si parla di un approccio di rekeying basato su una tecnica chiamata ratcheting che garantisce un’evoluzione dello stato crittografico unidirezionale.
A quanto affermato da Apple, PQ3 sarebbe il primo protocollo di messaggistica a raggiungere quello che lei stessa indica come livello 3 di sicurezza, il più sicuro per ora mai visto sul mercato. La sua classificazione parte da quelli non pronti per l’era quantistica: il livello 0, privo di crittografia end-to-end (E2EE), e il livello 1, con una forte E2EE attivata di default. Passando ai protocolli di crittografia post-quantistica (PQC), si incontra il livello 2, caratterizzato da una chiave PQC per la crittografia. Signal ha raggiunto quest’ultimo a settembre, mentre Apple si è voluta spingere oltre, raggiungendo il livello 3, teoricamente più sicuro perché sfrutta la crittografia post-quantistica sia per la creazione della chiave iniziale che per il continuo rekeying della sessione.
Per ora solo gli sviluppatori di iOS 17.4, iPadOS 17.4, macOS 14.4 e watchOS 10.4 possono sperimentare la nuova sicurezza degli iMessage ma, entro fine anno, Apple punta a sostituire completamente con PQ3 il suo attuale protocollo di messaggistica end-to-end.
Sarà applicato a tutte le nuove conversazioni di iMessage e ai messaggi più vecchi: un segnale di quanto si creda nella sua efficacia. È una fiducia riposta con inevitabile audace, dato che per ora non esiste un modo pratico per misurarla, motivo per cui Apple ha chiesto a due gruppi di ricerca accademici di metterla il più possibile alla prova, per eventualmente perfezionarla.