L'analisi tagliente e senza filtri di Antonio Ieranò sulla cybersecurity moderna, tra competenza, irriverenza e verità scomode del cyberspazio.
Post-quantum: tutti ne parlano, pochi lo usano davvero. Serve il profilattico digitale per proteggere i dati, oggi e domani.
Raccontano le cronache che ogni era del nostro villaggio IT ha avuto i suoi totem di marketing.
Prima fu il tempo della Blockchain, quando ci dissero che avrebbe risolto la supply chain, la democrazia e forse persino il problema dei pranzi di Natale con la suocera. Poi arrivò il Metaverso, dove tutti correvano a fare riunioni con avatar senza gambe e uffici virtuali più tristi di una sagra di paese con la pioggia. Poi il Web3, decentralizzato sì, ma anche la responsabilità lo era. Poi l’AI generativa, che almeno ci ha dato qualche sostanza (insieme a un discreto numero di allucinazioni). E infine Zero Trust & SASE, ridotti troppo spesso a sticker sulle brochure.
E ora, figli miei, è il tempo del Quantum e del suo fratellino Post-Quantum.
Due parole che fanno brillare gli occhi dei vendor e alzare le sopracciglia dei board. E qui entra la mia prima verità: oggi il post-quantum è sesso degli angeli. Tutti ne parlano, tutti dicono di farlo, pochi l’hanno visto davvero. È un po’ come il sesso tra adolescenti: la teoria abbonda, le testimonianze reali scarseggiano, e i racconti al bar sono pieni di dettagli inventati.
Ma non fermatevi all’ironia: questa volta il pericolo è reale.
Ecco perché parlo di profilattico digitale: un modo per proteggere i nostri dati oggi, così che domani non ci ritroviamo “scoperti” di fronte a un computer quantistico.
La sera era tiepida, figlia delle ultime giornate estive. Là ove prima era impossibile passare del tempo a causa del caldo cocente, si era radunata una piccola folla. Giovani, meno giovani e diversamente giovani avevano approfittato del fortuito incontro con l’anziano Antonio “AI” Ierano la cui saggezza e sobrietà avevano circumnavigato l’intero orbe terraqueo. Il vecchio saggio, in opposizione alla maieutica socratica, si dilettava a rispondere alle domande poste dai discenti perché, data l’età avanzata, temeva che se il discente avesse trovato in sé le risposte avrebbero finito il tempo a sua disposizione.
Al discente però andava la scelta dell’argomento, del resto non si può insegnare nulla a chi non è interessato ad imparare, e dunque siano le domande a definire la lezione (a non la risposta).
Tra la dolce temperatura, lo stormir di fronde e il suono delle cicale, gli argomenti che vennero fuori dopo un lieve tumulto furono il quantum computing e le difese post quantum, cosa comprensibile data la solenne tranquillità di quel tumulto.
Si fece quindi silenzio, e dal silenzio una voce si erse:
Discepolo #1: «Saggio “AI”, ci dicono che i computer quantistici sono più veloci di tutto. È vero?»
Saggio “AI”: È vero come dire che la Ferrari va dappertutto. Poi la parcheggi in un vicolo di Napoli e resti incastrato.
Il computer classico ragiona con bit: 0 o 1.
Il quantistico usa qubit, che possono essere 0 e 1 insieme finché non li guardi (superposizione). Se due qubit sono legati (entanglement), anche se li separi restano collegati: sapere l’uno vuol dire sapere l’altro. E con l’interferenza puoi amplificare le risposte giuste e cancellare quelle sbagliate.
Il volto dei più mutò in una smorfia spezzata tra il dubbio e la perpelssità, fino a che uno osò:
Discepolo #2: «Quindi è come copiare i compiti da tre amici contemporaneamente?»
Saggio “AI”: Esatto, ma in modo legittimo. Non è che il quantico sia sempre più veloce: lo è solo su certi problemi. E uno di questi riguarda la nostra sicurezza digitale.
Tra i più attempati una specie di sorriso si formò, come un solco lungo il viso. Memorie leggere li pervasero, mentre i più giovani non capivano perché ci fosse il bisogno di copiare ciò che si trova già su TikTok.
E lì il vecchio ma logorroico, saggio, iniziò a dissertare su tecnologia e sicurezza, certezze ed incertezze. E così raccontò di quanto era potente e veloce il quanto, e di quanto questo quanto potesse essere un martello o una piuma a seconda di come si usava. E, parlando di sicurezza, affrontarono il problema dell'encryption. Problema che anche oggi tocca gli animi e fa discutere (e anche un poco inquieta chi sente degli ignavi parlarne a vuoto e senza senno). Ma se questa quantica tecnologia prometteva di far calcoli in un baleno e baleni in un calcolo, cosa centrava con la sicurezza?
Discepolo #3: «Se il quantico è così speciale, qual è il vero rischio?»
Saggio “AI”: Due nomi: Shor e Grover.
Traduzione: il problema grosso è la crittografia a chiave pubblica, quella che usiamo per firmare documenti e stabilire segreti su Internet. Se cade quella, cade la fiducia nei canali digitali.
Ma se il quantum era qualcosa che poteva far tanto del bene quanto del male, cosa fare per limitarne la perniciosità? Ed era lì, allora, che la moltitudine si pose una domanda esistenziale che però uno solo ebbe l’ardire di porre. Lo so, caro lettore, che questa è anche la tua. Non ti preoccupare, unisciti alla moltitudine ed abbeverati.
Discepolo #1: «Quindi il post-quantum è un altro tipo di computer?»
Saggio “AI”: No, figli miei. È crittografia classica, fatta con algoritmi progettati per resistere anche a futuri computer quantistici. Non serve avere un quantico per usarla: gira sui sistemi attuali.
Il NIST, oracolo della crittografia, nel 2024 ha scelto:
E nel 2025 ha aggiunto HQC come piano B. Perché? Per evitare il destino di SIKE, un algoritmo brillante ma crollato sotto attacchi classici. Mai fidarsi di un solo cavallo.
Forte il mormorio si sollevò, ma come ciò che porta il futuro va difeso iniziando da adesso? Non si tratterà di millantato credito?
Come le AI sono prone alle allucinazioni, così il vecchio saggio AI era uso ad immaginifiche quanto discutibili parabole, parallelismi ed esemplificazioni. Là dove il paradosso giace s’alza la curiosità, e dalla curiosità la comprensione. No fu una sorpresa quindi la domanda proveniente dallamoltitudine
Discepolo #2: «Saggio “AI”, che c’entra l’adolescenza con la crittografia?»
Saggio “AI”: Perché oggi il post-quantum è come il sesso tra adolescenti:
Ma la differenza è che qui abbiamo un rimedio: il profilattico digitale, ossia l’ibrido.
In pratica usiamo insieme un algoritmo classico (RSA/ECC) e uno post-quantum (ML-KEM). È come avere due serrature: se una cede, l’altra regge. È la nostra protezione extra per attraversare questa fase delicata.
Ed ancora una volta la speranza di paragoni asettici e seri svanì per lasciar spazio a qualche risatina complice e una rinnovata attenzione. E così si continuava a discorrere tra domande e risposte, insinuazioni battute e giochi di parole.
Quanto di quello che sentiamo è vero, e quanto sono solo sospiri al vento di un innamorato? Forse che il sentimento sia più forte della realtà? Chi ha il coraggio di chiedere? Ecco lui era pronto:
Discepolo #3: «Saggio “AI”, ma esistono casi reali o solo slide?»
Saggio “AI”: Esistono. Non sono la maggioranza, ma ci sono pionieri:
Non è fantascienza. È come vedere i primi ragazzi del villaggio che non solo parlano di sesso, ma sanno pure come si mette il preservativo.
Ovviamente tutti si immedesimarono in questi ragazzi\e\u\* (cercando il politically correct) quando in realtà erano il resto del villaggio.
Ma ua volta rotto il vaso di pandora, una volta insinuato il demone del dubbio nulla si può fare se non indagare più a fondo e cosi qualcuno osò domandare:
Discepolo #1: «Quindi RSA è già stato rotto?»
Saggio “AI”: No. Nessuno ha rotto RSA-2048 con un computer quantistico reale. Per farlo servirebbero milioni di qubit logici stabili, e siamo lontani.
Ma il rischio è strategico: i nemici possono registrare dati cifrati oggi e decifrarli domani. Questo è il principio Harvest Now, Decrypt Later.
Un dubbio si insinuò tra gli astanti, devo forse pensare oggi a quel che può accadere domani? Il saggio è impazzito? Oppure ha bevuto?
Discepolo #2: «Quindi il rischio è reale?»
Saggio “AI”: Sì. Se i tuoi dati devono restare segreti per anni — sanità, fusioni, ricerca — sei già esposto. Non perché oggi qualcuno ti rompe la cifratura, ma perché domani potrebbe farlo con ciò che hai lasciato in giro.
Quindi una domanda fu necessaria, e qualcuno osò porla:
Discepolo #3: «Saggio “AI”, dove la crittografia ci protegge davvero?»
Saggio “AI”: Ricordate i tre stati del dato:
È come un adolescente in casa:
Sul “fingere” tutti annuirono consapevoli, tranne il gruppetto dei manager integerrimi e i politici, ma questa è un'altra storia.
E così si venne al punto. Una volta che ho una vaga idea di cosa si sta parlando, anche senza slide, cosa occorre fare? Si può essere, con termine orribile, proattivi?
Discepolo #1: «Saggio “AI”, cosa facciamo lunedì mattina?»
Saggio “AI”:
Dimmi o distratto lettore, e tu questi 6 punti li hai mai considerati?
Ma come distinguere il falso dal vero? Come riconoscere chi sa da chi racconta e dice di sapere, quali strumenti utilizzare? Questo il saggio AI voleva che i suoi discepoli chiedessero, e per fortuna, dopo aver offerto un pizzino al tipo della seconda fila con aria sveglia:
Discepolo #2: «Saggio “AI”, e se fossero solo onanismi da marketing?»
Saggio “AI”: In parte lo sono.
Tutto si fa, ma tutto cambia, se non controlli poi rischi di più. Non tutto il quantum è esente da depressione post quantum meglio allora chiedere, e domanda sia:
Discepolo #3: «Saggio “AI”, è mai caduto un algoritmo?»
Saggio “AI”: Sì: SIKE. Nel 2022 è stato rotto con attacchi classici. Era un candidato forte, ma si è rivelato fragile. Morale: la crittografia deve essere sempre umile e pronta a diversificare.
Discepolo #1: «Quando arriverà il Q-Day?»
Saggio “AI”: Non domani, ma neppure tra un secolo.
Il NCSC UK parla di milestone:
Il messaggio è: muovetevi ora.
Il tempo è acqua: non discute con lo spigolo, lo consuma.
Così accadrà con il marketing. Oggi il post-quantum è sesso degli angeli. Domani sarà burocrazia quotidiana.
Chi avrà inventari, sistemi agili e profilattici digitali, dormirà sereno.
Gli altri resteranno come adolescenti che millantavano esperienze ma al momento della verità… si troveranno nudi.
Ricordate, figli miei:
E quando qualcuno vi dirà «siamo quantum-ready», chiedetegli:
«Sì, ma dove avete messo ML-KEM?»
Se non sa rispondere, offritegli un caffè. Decaffeinato.
Esperto di cybersecurity con oltre 20 anni di esperienza, celebre per il suo approccio istrionico e spesso irriverente, e per la sua voce fuori dal coro. In questa rubrica condivide analisi approfondite e opinioni schiette su tematiche legate alla cybersecurity, mantenendo una prospettiva indipendente dal suo impegno professionale