Cisco: crittografia e security, attendendo il “Q-Day”

Entro alcuni anni i Cryptanalytically Relevant Quantum Computer (CRQC) - computer quantistici in grado di violare tutti i sistemi di crittografia a chiave pubblica attualmente in uso - saranno, a detta di molti esperti, una realtà. Tale minaccia alla sicurezza dei dati, nota come 'Q-Day', non è ancora diventata concreta perché i computer quantistici non sono ancora sufficientemente potenti. 

Il paradigma "Harvest Now, Decrypt Later"

I computer quantistici sfruttano i principi della meccanica quantistica per affrontare problemi complessi, superando di gran lunga le capacità dei computer classici. A differenza dei bit tradizionali, che possono rappresentare esclusivamente 0 o 1, i computer quantistici utilizzano i qubit, particelle subatomiche capaci di esistere simultaneamente negli stati di 0 e 1. Questa caratteristica unica consente loro di elaborare enormi quantità di informazioni in parallelo, aprendo possibilità straordinarie ma anche nuove minacce per la sicurezza dei dati.

Non è necessario comprendere a fondo la scienza quantistica per coglierne il potenziale e le minacce che ne potrebbero derivare. Quando si utilizza un computer o un dispositivo di rete, ci si aspetta che sia affidabile e che funzioni, senza malware o altre modifiche non autorizzate.

Cisco intende soddisfare queste aspettative attraverso le sue Trustworthy Solutions, un insieme integrato di politiche, processi e tecnologie realizzato per garantire che il codice in esecuzione sull'hardware Cisco sia autentico e non modificato, con un'identità unica del dispositivo e la convalida di tutti i livelli del software, stabilendo una catena di fiducia per l'intero sistema. Questo approccio si basa su una crittografia all'avanguardia, denominata RSA-2048, attualmente considerata invulnerabile agli attacchi di forza bruta eseguiti attraverso i computer odierni. Un computer quantistico rilevante dal punto di vista crittoanalitico (CRQC), quando diventerà realtà, potrebbe però decifrare RSA-2048 in pochi minuti.

L'informatica quantistica a questo livello di potenza non esiste ancora e potrebbero essere necessari alcuni anni perché diventi realtà. Quando arriverà il Q-Day, la sicurezza informatica come è intesa oggi, non avrà più senso. Vi è un ulteriore problema di prendere in considerazione: la possibilità che i criminali informatici possano esfiltrare i dati criptati oggi, per poi usare i computer quantistici per decifrarli successivamente. Si tratta del cosiddetto paradigma “harvest now, decrypt later” (HNDL). Data la prevalenza di violazioni di dati su larga scala da parte di governi stranieri, non è difficile immaginare l’entità del rischio che si nasconde dietro all’ HNDL.

“La crittografia quantistica rappresenta un campo in continua espansione, destinato a rivoluzionare la sicurezza informatica. Una delle sfide più urgenti dei prossimi anni sarà la protezione dei dati, e affrontarla attraverso questa tecnologia risulterà cruciale. Agendo con tempestività e strategia, le aziende potranno difendersi dalle minacce attuali e future legate all'informatica quantistica.” ha dichiarato Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia.

Qualche suggerimento

Pur non essendo possibile prevedere con chiarezza il momento in cui la minaccia del Q-Day arriverà, è fondamentale per le organizzazioni una valutazione del proprio rischio e che diano priorità alle misure di sicurezza quantistica per mitigare la minaccia rappresentata dagli attacchi Harvest Now, Decrypt Later (HNDL).

Fondamentale, per proteggere i dati più sensibili, implementare soluzioni che combinano la crittografia tradizionale con algoritmi resistenti ai computer quantistici. Questo approccio permette di implementare rapidamente la certificazione FIPS, mantenendo la sicurezza nel caso in cui vengano scoperte vulnerabilità nei futuri algoritmi PQC. Le organizzazioni dovrebbero infine prendere in esame la necessità di investire in hardware sicuro dal punto di vista quantistico e includerlo nei cicli di aggiornamento dei prodotti.