L'imminente arrivo della crittografia post-quantum (PQC) sta mettendo in luce ciò che gli esperti di crittografia già sapevano: nel mondo di oggi la crittografia è ovunque. In pratica, tutto ciò che si connette digitalmente utilizza la crittografia e le infrastrutture a chiave pubblica (PKI) per garantire la fiducia digitale.
I computer quantistici crittograficamente rilevanti (CRQC) hanno abbastanza potenza da minacciare i tradizionali algoritmi asimmetrici come RSA ed ECC. La soluzione è la crittografia post-quantum: algoritmi di crittografia basati su problemi matematici scelti con attenzione affinché siano difficili da risolvere anche per i computer quantistici. I CRQC dovranno essere molto più grandi e potenti dei primi computer quantistici oggi esistenti, ma arriveranno tra non molto e bisogna quindi prepararsi alla transizione verso i nuovi algoritmi.
Il passaggio alla PQC comporterà complessi aggiornamenti per tutte le infrastrutture connesse che abbiamo realizzato negli ultimi decenni. La buona notizia è che abbiamo tempo, ma tutte le organizzazioni devono capire cosa significhi per loro questa transizione. Infatti saranno l'ampiezza e la scala di questa transizione a renderla particolarmente impegnativa.
Questo processo è in corso e il governo degli Stati Uniti sta invitando le agenzie federali ad andare avanti. Lo scorso autunno, l'Office of the National Cyber Director (ONCD) ha rilasciato istruzioni alle agenzie federali per l'inventario dei loro sistemi crittografici in vista della transizione verso la crittografia resistente al quantum computing, come indicato nel National Security Memorandum 10 della Casa Bianca. Le linee guida istruivano le agenzie su come inventariare i loro sistemi crittografici primari, fissando la scadenza del 4 maggio 2023 per presentare l'elenco dei sistemi crittografici in ordine di priorità.
Ma alcune agenzie potrebbero aver fatto fatica a rispettare la scadenza. Infatti, individuare i propri sistemi crittografici è un processo impegnativo e complesso, un aspetto che emerge per ogni tipo di organizzazione. La crittografia, che oggi è ovunque, rappresenta una vera e propria sfida nel momento in cui si devono tracciare asset di cui un'organizzazione può non essere neanche a conoscenza.
E che dire invece per le imprese? Anche se non avevano la scadenza del 4 maggio 2023, è ugualmente importante anche per le aziende identificare i loro asset crittografici e gestirli in modo proattivo. Ecco quindi in che modo le aziende, le agenzie federali e tutte le altre organizzazioni che dispongono di risorse crittografiche possono avviare la loro transizione verso la PQC.
Per iniziare, le organizzazioni devono inventariare tutti i loro sistemi crittografici, compresi i certificati e gli algoritmi, e stabilire una priorità in base al loro livello di criticità. Fatto ciò, possono determinare cosa debba essere aggiornato o sostituito per garantire la sicurezza dei loro sistemi nell'era della crittografia resistente al quantum computing.
Capire quali sono le risorse crittografiche presenti nel proprio ambiente, quali algoritmi utilizzano i certificati, chi li ha emessi, quando scadono, quali domini proteggono e determinare quale software viene firmato con quale chiave sono solo alcune delle complessità da affrontare. Il tuo pacchetto software o il tuo dispositivo scarica automaticamente gli aggiornamenti? Si connette a un server backend? È associato a un sito web o a un portale? Il sito o il portale in questione è gestito da una terza parte o da un provider cloud? Dato che oggi la risposta a tutte queste domande è sostanzialmente sì per quasi tutto, devi contattare tutti i fornitori e scoprire a chi si rivolgono. Quali pacchetti software utilizzano? A quali servizi si affidano? Quali fornitori di backend sono coinvolti? Ripetere all'infinito.
Identificare l'impronta digitale della propria organizzazione può essere scoraggiante, ma è essenziale con l'attuale livello di interconnessione globale. Per sapere come proteggere le risorse crittografiche della propria organizzazione è essenziale prima comprenderle.
I primi algoritmi di crittografia da sostituire sono quelli delle crittografie le cui firme verranno usate ancora a lungo: root affidabili, firmware per dispositivi con una durata di servizio lunga e così via. E bisogna produrre inventari di software e dispositivi, indicando da dove vengono le crittografie che utilizzano. Come sottolinea il Memorandum 10 degli Stati Uniti, i dati crittografati potrebbero essere registrati ora e decifrati un domani dagli operatori di un computer quantistico futuro secondo una procedura nota come "harvest now, decrypt later". Pertanto, ogni tipo di crittografia che si prevede di utilizzare a lungo termine è una priorità assoluta.
L'anno scorso il NIST ha selezionato gli algoritmi finali per la standardizzazione della PQC. Ma il NIST sta a sua volta ancora lavorando per sviluppare standard e documentazione su come implementare, testare e distribuire questi algoritmi in modo sicuro. Potrebbero passare ancora due anni prima che questi algoritmi diventino d'uso comune. Tuttavia, chi implementa librerie crittografiche e software di sicurezza deve iniziare a integrare questi algoritmi nei suoi prodotti. Inoltre, le aziende possono iniziare a studiare come integrare gli algoritmi PQC selezionati, dato che sarà necessario un certo lavoro per adattarli.
Se hai bisogno di aiuto per identificare e gestire i tuoi asset crittografici, considera la possibilità di lavorare con un fornitore affidabile come DigiCert. Ad esempio, DigiCert offre un certificato ibrido RSA/PQC di prova con il PQC Tool Kit. Contatta le vendite DigiCert per accedere al Tool Kit.
In conclusione, anche se la scadenza per la presentazione degli inventari dei sistemi crittografici da parte delle agenzie federali degli Stati Uniti è passata, tutte le organizzazioni devono comunque identificare e gestire i propri asset crittografici in modo proattivo. La transizione alla crittografia resistente al quantum computing sarà un'impresa non da poco, ma identificando e gestendo ora i propri asset crittografici le organizzazioni possono porre le basi per un futuro digitale sicuro e affidabile.