Dagli attacchi ‘harvest now, decrypt later’ alla necessità di una piattaforma crypto-agile conforme agli standard NIST: i rischi della transizione all'era quantistica.
Autore: Redazione SecurityOpenLab
A che punto è la preparazione delle aziende alla minaccia quantistica? È importante saperlo perché quella che per anni è stata trattata come una preoccupazione teorica e lontana sta diventando concreta in tempi molto più brevi del previsto, come precisano i ricercatori di Check Point Reasearch in un recente post. I progressi nell'informatica quantistica (algoritmi più efficienti, riduzione del numero di qubit necessari) stanno comprimendo le tempistiche in modo significativo. Una sfida che il settore collocava agli anni '40 di questo secolo potrebbe diventare reale nel giro di pochi anni.
Come sottolineato più volte, è ben noto che da anni i threat actor collezionano silenziosamente dati crittografati con un orizzonte temporale lungo: li copiano oggi, in attesa di poterli decifrare quando i sistemi quantistici raggiungeranno la potenza sufficiente. L'approccio, noto come harvest now, decrypt later, riguarda transazioni finanziarie, cartelle cliniche, proprietà intellettuale e comunicazioni governative protette con algoritmi classici quali RSA e crittografia a curve ellittiche (ECC). Quando quella soglia verrà superata, quegli stessi dati saranno esposti senza alcuna possibilità di rimediare retroattivamente alla violazione.
Alla fine del 2025, Gartner ha elevato la migrazione verso la crittografia post-quantistica (Post Quantum Cryptography, PQC) al livello di priorità per i consigli di amministrazione, raccomandando azioni concrete entro il 2030. Più di recente, la divisione di ricerca sull'AI quantistica di Google ha pubblicato un white paper in cui avverte che i sistemi crittografici ampiamente utilizzati, inclusi quelli alla base delle criptovalute, potrebbero essere più vulnerabili di quanto si credesse. Sul fronte regolatorio, la statunitense NIST ha già definito i primi standard PQC di riferimento a cui le organizzazioni devono orientarsi.
L'errore più comune che Check Point identifica nelle organizzazioni è trattare la migrazione verso PQC come un semplice aggiornamento tecnologico, ossia sostituire un algoritmo con un altro. È un approccio che sottovaluta la complessità reale della transizione. La maggior parte degli ambienti aziendali presenta dipendenze crittografiche non documentate, sistemi legacy con chiavi incorporate, componenti di shadow IT non gestiti, certificati scaduti e crittografia hardcoded nelle applicazioni. Senza una visibilità completa su tutto questo patrimonio, la migrazione rimane inevitabilmente parziale, ed è inutile sottolineare che una sicurezza incompleta è, di fatto, una sicurezza inefficace.
Check Point propone un approccio crypto-agility, ossia individuare e gestire le risorse crittografiche in ambienti ibridi, sostituire rapidamente gli algoritmi vulnerabili, operare su infrastrutture che combinano cloud, on-premise ed edge, e adattarsi continuamente all'evoluzione degli standard. Questo approccio consente di preservare la retrocompatibilità, proteggere i dati sensibili prima che vengano esposti e mantenere la continuità operativa senza interruzioni. Raggiungere questo obiettivo su larga scala richiede però una piattaforma unificata e crypto-agile in grado di garantire la preparazione alla sicurezza quantistica su reti, cloud, endpoint e ambienti di dati in modo coerente. Le organizzazioni che avviano oggi questo percorso hanno ancora il tempo di identificare e isolare le risorse vulnerabili prima che diventino un problema; quelle che ritardano si espongono a violazioni dei dati già acquisiti, sanzioni normative e responsabilità legale difficilmente reversibili.