L’integrità delle transazioni digitali e l’autenticità dei documenti informatici oggi si basano su fondamenta matematiche che l’avvento del calcolo quantistico rischia di rendere improvvisamente friabili. La sicurezza degli algoritmi attuali, come RSA e gli algoritmi basati sulle curve ellittiche (ECDSA), si basa sulla difficoltà computazionale di risolvere problemi quali la fattorizzazione di grandi numeri interi e il calcolo del logaritmo discreto.
Per decenni, abbiamo considerato queste barriere come certezze immutabili; tuttavia, è noto dal 1994 l’algoritmo di Shor sulla fattorizzazione dei numeri interi in numeri primi. L’algoritmo è utilizzabile su computer tradizionali ad alte prestazioni ma è con l’avvento del computer quantistico che si è reso evidente il rischio della possibile risoluzione di tali problemi in tempi polinomiali, trasformando ere geologiche di calcolo in poche ore di elaborazione.
Indice degli argomenti
Firma digitale post-quantum e vulnerabilità della PKI
Questa vulnerabilità colpisce al cuore l’intera infrastruttura a chiave pubblica (PKI) su cui si fonda il mercato unico digitale e la quasi totalità delle transazioni, fino ad ora sicure.
La risposta a questa minaccia è la Post-Quantum Cryptography (PQC), un ambito della crittografia che sviluppa sistemi sicuri contro attacchi quantistici ma eseguibili su hardware tradizionale. Non si tratta di una speculazione teorica destinata a restare confinata nei laboratori di fisica, ma di una necessità stringente di migrazione crittografica.
La firma digitale deve essere longeva: un documento firmato oggi deve poter essere verificato con certezza tra dieci o vent’anni. Se un attore malevolo adottasse oggi la strategia “harvest now, decrypt later” — archiviare traffico dati cifrato per decriptarlo in futuro — l’intero sistema di fiducia crollerebbe retroattivamente. Per questo motivo, il National Institute of Standards and Technology (NIST) ha già codificato i primi algoritmi che sostituiranno gli attuali standard FIPS (Federal Information Processing Standards) [1].
La transizione tecnologica: dai bit ai reticoli multidimensionali
Attualmente, la firma digitale conforme al Regolamento UE 910/2014 (eIDAS) e alle disposizioni del Codice dell’Amministrazione Digitale (CAD) in Italia, si affida principalmente ad algoritmi come RSA-2048 o recentemente su ECDSA (basato su curve come NIST P-256). Questi standard, pur garantendo l’attuale validità legale, non sono “quantum-resistant”. La nuova generazione di firme si sposta verso strutture matematiche radicalmente differenti, tra cui spiccano i reticoli (lattice), le nuove funzioni hash e le equazioni multivariate.
Il NIST ha selezionato come standard principale per la firma digitale l’algoritmo ML-DSA (precedentemente noto come Dilithium), basato sulla crittografia sui reticoli. La sicurezza di ML-DSA deriva dalla difficoltà di trovare il vettore più corto in un reticolo multidimensionale, un problema noto come “Shortest Vector Problem” (SVP). Da un punto di vista tecnico, questa firma si fonda sul concetto di “rumore matematico”: viene introdotto un piccolo errore casuale in un sistema di equazioni lineari (Learning With Errors – LWE). Mentre risolvere il sistema originale è elementare, recuperare la soluzione in presenza di questo errore diventa un compito impossibile senza la chiave privata, anche disponendo di un calcolatore quantistico [4].
Accanto ai reticoli, per casi d’uso che richiedono una sicurezza molto elevata, è stato adottato lo standard SLH-DSA (basato su SPHINCS+). Questo schema di firma “stateless” si affida esclusivamente alla robustezza delle funzioni hash, come SHA-3 o SHAKE. Sebbene queste firme siano più grandi in byte, garantiscono una resistenza nel tempo quasi insuperabile, poiché non si basano su problemi matematici complessi ma sulla solidità di funzioni già ampiamente validate [1].
Il quadro normativo italiano ed europeo: eIDAS 2.0 e il CAD
In ambito europeo, la revisione del regolamento eIDAS sulla base del regolamento 2024/1183 e le relative linee guida tecniche emanate dall’ETSI (European Telecommunications Standards Institute) stanno già integrando le specifiche per la quantum resistance. L’Agenzia per l’Italia Digitale (AgID), nell’aggiornamento delle regole tecniche del CAD (DPCM 22 febbraio 2013), deve oggi confrontarsi con la necessità di una “agilità crittografica”: la capacità dei sistemi di aggiornare gli algoritmi di firma senza dover ridisegnare l’intera infrastruttura nazionale.
La sfida per i fornitori di servizi fiduciari qualificati (QTSP) e per la Pubblica Amministrazione è duplice. Da un lato, vi è la necessità di garantire la validità a lungo termine (LTA – Long Term Archiving), dall’altro l’introduzione dei nuovi standard deve mantenere la piena interoperabilità con i formati di firma europei come PAdES, CAdES e XAdES, previsti dalle norme tecniche ETSI TS 119 312 [2]. Un approccio prudente, raccomandato anche dall’Agenzia per la Cybersicurezza Nazionale (ACN), è la “firma ibrida”. In questo scenario, un documento viene firmato contemporaneamente con un algoritmo classico e uno post-quantum. La validità rimane garantita finché almeno uno dei due schemi rimane integro, permettendo una transizione fluida verso la “roadmap” europea che prevede una migrazione completa entro il 2028 [3][5].
Prestazioni e impatti sull’architettura dei sistemi
La migrazione non è un semplice aggiornamento software, poiché la PQC introduce cambiamenti significativi nelle prestazioni. Se confrontiamo ECDSA con ML-DSA, notiamo un incremento della dimensione delle chiavi e delle firme, che passano da poche decine di byte a diversi kilobyte. Questo impatto si ripercuote sulla latenza dei protocolli di rete (come il TLS 1.3), sulla dimensione dei certificati digitali e sui dispositivi fisici di firma, come smart card e HSM (Hardware Security Modules).
Inoltre, l’implementazione deve affrontare il rischio di attacchi ai canali laterali (side-channel attacks). Poiché questi algoritmi sono strutturalmente più complessi, la loro esecuzione può esporre variazioni nel consumo energetico o nei tempi di calcolo. La robustezza teorica deve quindi essere accompagnata da un’implementazione fisica impeccabile, garantendo che il “segreto” necessario per navigare nello spazio “rumoroso” dei reticoli rimanga protetto non solo matematicamente, ma anche fisicamente.
Prospettive conclusive
La definizione degli standard internazionali segna l’inizio di una fase di adozione di massa che ridefinirà il perimetro della sicurezza globale. Non esiste più un’opzione di attesa; l’integrazione della crittografia post-quantum nei processi disciplinati dal CAD e dai regolamenti UE è l’unico percorso percorribile per preservare la fiducia nelle infrastrutture critiche, garantendo che l’autenticità dei dati rimanga un pilastro incrollabile della società digitale, indipendentemente dall’evoluzione della potenza di calcolo nel prossimo secolo.
Spesso si parla di questi argomenti associandoli alla parola futuro. In verità già da un paio di settimane una azienda leader nel settore dei servizi fiduciari ha compiuto il primo passo verso la messa in discussione dell’algoritmo RSA attaccando con successo una chiave a quattro bit.
Per il lettore che sorride ricordiamo che il primo volo umano a motore controllato e sostenuto effettuato nel 1903 dai fratelli Wright volò per 12 secondi e per 36 metri.
Bibliografia
NIST, FIPS 204 (ML-DSA) e FIPS 205 (SLH-DSA), “Post-Quantum Cryptography Standards”, 2024.
ETSI TS 119 312, “Electronic Signatures and Infrastructures (ESI); Cryptographic Suites”, v1.4.2, 2023.
Commissione Europea, “eIDAS 2.0 Roadmap and ENISA PQC Migration Guide”, 2024-2025.
Bernstein et al., “CRYSTALS-Dilithium: A Lattice-Based Digital Signature Scheme”, Journal of Cryptology, 2017.
ACN (Agenzia per la Cybersicurezza Nazionale), “Linee guida sulla crittografia e transizione quantistica”, 2024.
