La sicurezza delle firme digitali rappresenta un pilastro fondamentale dell’identità digitale e delle transazioni elettroniche. Con l’evoluzione della potenza computazionale e l’avvento del quantum computing, la robustezza degli algoritmi crittografici è oggetto di costante rivalutazione da parte delle autorità di standardizzazione internazionali e delle agenzie governative competenti.
Il consolidatissimo e diffusissimo algoritmo RSA per le firme elettroniche continua il suo cammino, ma siamo vicini ad un punto di svolta. In quest’ultimo periodo, per i motivi sopra introdotti, le raccomandazioni sulla lunghezza delle chiavi crittografiche si susseguono e sono in continua evoluzione e aggiornamento.
Indice degli argomenti
Parametri minimi e raccomandazioni per RSA oggi
Attualmente, le principali autorità di standardizzazione concordano su questi parametri minimi:
RSA 2048 bit: considerato come il minimo accettabile per utilizzi che si estendono fino al 2030, sebbene alcune agenzie di vigilanza o cybersecurity lo considerino già inadeguato per dati particolarmente sensibili.
RSA 3072 bit: raccomandato per applicazioni che richiedono sicurezza a medio-lungo termine.
RSA 4096 bit: suggerito per dati che necessitano protezione oltre il 2030 (tipo dati pseudonimizzati ai sensi del GDPR).
Il NIST (National Institute of Standards and Technology) americano ha già annunciato che RSA utilizzato con 2048 bit non sarà più da approvare per nuove implementazioni dopo il 2030, mentre l’ENISA (Agenzia europea per la cybersicurezza) raccomanda la transizione progressiva verso chiavi più lunghe o algoritmi alternativi. Il concetto è stabilito anche nel regolamento di esecuzione 2025/1943 scaturito dalle norme stabilite nel regolamento europeo nr. 910/2014 (eIDAS).
Per l’adeguamento viene proposto con convinzione e la cosa non sorprende, l’algoritmo ECDSA.
ECDSA e curve ellittiche per la firma elettronica
L’algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm) offre livelli di sicurezza comparabili a RSA con chiavi significativamente più corte, risultando più efficiente in termini computazionali e di banda.
Le curve ellittiche attualmente raccomandate includono:
P-256 (secp256r1): equivalente a RSA 3072 bit in termini di sicurezza;
P-384: per applicazioni che richiedono maggiore robustezza;
P-521: per i requisiti di sicurezza più elevati.
ECDSA è particolarmente apprezzato in contesti di utilizzo in mobilità e IoT, dove le risorse computazionali sono limitate. Tuttavia, richiede un’implementazione particolarmente accurata per evitare vulnerabilità legate alla generazione dei numeri casuali.
EdDSA, RFC 8410 e vantaggi rispetto a ECDSA
L’algoritmo EdDSA, basato su curve ellittiche di Edwards (vedi la specifica RFC 8410), sta guadagnando sempre più consensi nella comunità crittografica.
Le sue varianti principali sono:
Ed25519: offre eccellenti prestazioni e sicurezza, con chiavi pubbliche di soli 256 bit
Ed448: per requisiti di sicurezza ancora superiori
EdDSA presenta vantaggi significativi rispetto a ECDSA: è più resistente agli attacchi side-channel, non richiede generazione di numeri casuali durante la firma (eliminando una potenziale fonte di vulnerabilità), e offre prestazioni superiori. Sta progressivamente entrando negli standard, incluso il supporto in OpenSSH e in alcuni protocolli TLS per l’autenticazione dei siti web.
Il computer quantistico e la minaccia alla crittografia
L’avvento dei computer quantistici rappresenta la sfida più significativa per la crittografia a chiave pubblica. L’algoritmo di Shor, eseguito su un quantum computer sufficientemente potente, potrebbe compromettere sia RSA che gli algoritmi basati su curve ellittiche in tempi polinomiali.
Il NIST ha avviato dal 2016 un processo di standardizzazione della crittografia post-quantistica, che nel 2024 ha portato alla pubblicazione dei primi standard:
ML-DSA (Module-Lattice-Based Digital Signature Algorithm, precedentemente CRYSTALS-Dilithium): basato sui reticoli matematici
SLH-DSA (Stateless Hash-Based Digital Signature Algorithm, precedentemente SPHINCS+): basato su funzioni hash
FN-DSA (FIPS 204, Falcon): altro algoritmo basato su reticoli
Questi algoritmi sono progettati per resistere agli attacchi di computer quantistici e rappresentano il futuro della firma digitale.
Strategie per prestatori di servizi fiduciari e organizzazioni
Per le organizzazioni e i prestatori di servizi fiduciari, le strategie raccomandate dovrebbero agire:
a breve termine: continuare a utilizzare RSA con chiavi di almeno 3072 bit o ECDSA/EdDSA con curve appropriate, garantendo implementazioni certificate e aggiornate.
a medio termine: pianificare la cosiddetta crypto-agility, ovvero la capacità di migrare rapidamente tra algoritmi diversi, e considerare l’adozione di firme ibride che combinano algoritmi classici e post-quantistici.
a lungo termine: prepararsi alla transizione completa verso algoritmi post-quantistici, seguendo le roadmap pubblicate da NIST, ENISA e dalle autorità nazionali come ANSSI in Francia o BSI in Germania (ACN ed AgID per l’Italia, INCIBE per la Spagna).
Il contesto regolamentare europeo e eIDAS
Il regolamento eIDAS attualmente riconosce come qualificati gli algoritmi approvati dalle autorità di supervisione nazionali. Con eIDAS 2.0 e il Portafoglio Europeo di Identità Digitale, si prevede un’armonizzazione maggiore degli standard crittografici a livello UE, con particolare attenzione alla predisposizione di azioni post quantistiche.
L’ETSI (European Telecommunications Standards Institute) ha pubblicato diversi standard tecnici che definiscono i requisiti per le firme elettroniche qualificate, includendo raccomandazioni specifiche sulle lunghezze delle chiavi e sugli algoritmi approvati.
Numerosi Stati membri dell’Unione hanno preso decisioni specifiche sul tema.
Linee guida BSI, tempistiche e approccio ibrido
Come al solito l’agenzia tedesca per la sicurezza informatica (BSI) è attiva sul tema ed ha aggiornato i suoi documenti di policy per i meccanismi crittografici (documento TR-02102), chiarendo le tempistiche per l’eliminazione della crittografia classica a chiave pubblica (asimmetrica).
In questo scenario l’uso esclusivo dello scambio classico asimmetrico di chiavi (ad esempio, RSA, ECC) è consigliato solo fino alla fine del 2031.
Per contesti applicativi con requisiti di sicurezza molto elevati la transizione dovrebbe avvenire entro la fine del 2020.
Per i meccanismi di firma gli schemi classici sono raccomandati solo fino alla fine del 2025, con indicazioni di sollecito all’utilizzo ibrido.
Questo utilizzo dovrebbe puntare a meccanismi sicuri quantisticamente da realizzare in forma ibrida, combinando metodi classici e post-quantistici, per garantire la continuità della sicurezza
durante le fasi di migrazione che non possono essere troppo frettolose.
Gli algoritmi cosiddetti quantum-safe raccomandati dal BSI sono, per lo scambio di chiavi: ML-KEM, FrodoKEM, Classic McEliece e HQC.
Per le firme digitali, si raccomandano: SLH-DSA, ML-DSA, ma anche schemi di firma basati sull’hash stateful (HMSS).
Sebbene il BSI tedesco raccomanda di eliminare gradualmente lo scambio specifico di chiavi classiche entro il 2031, la bozza del NIST IR 8547 propone di vietare tutta la crittografia classica a chiave pubblica.
Il messaggio è coerente con le linee guida europee più ampie: la minaccia quantistica non è un’astrazione futura, risulta già rilevante oggi, in particolare per la riservatezza dei dati a lungo termine.
Dovremmo aspettarci che altri enti regolatori si muovano in questa direzione, traducendo progressivamente il rischio quantistico in tempistiche politiche concrete.
Decisioni operative in Spagna e Francia
La Spagna e la Francia hanno preso decisioni operative con linee guida nazionali già attive. La prima stabilisce che i certificati digitali con RSA con lunghezza chiavi di 2048 bit possono essere emessi fino al 31 dicembre 2026 ma con validità non oltre il 31 dicembre 2028.
Per quanto riguarda la posizione nazionale della Francia, l’agenzia ANSSI consente la generazione di certificati con meno di 3000 bit nella lunghezza delle chiavi RSA fino al 31 dicembre 2026 se la loro validità temporale è inferiore a tre anni. La data limite per i certificati esistenti è il 31 dicembre 2029.
Lo scenario della sicurezza della firma digitale
La robustezza degli algoritmi di firma digitale non è mai stato un concetto statico, ma la velocità di calcolo è arrivata a livelli di capacità elaborativa critica per le funzionalità crittografiche. Mentre l’algoritmo RSA rimane ampiamente utilizzato, la comunità crittografica sta convergendo verso un futuro che vedrà, nel breve periodo, la convivenza di algoritmi a curve ellittiche di nuova generazione e algoritmi post-quantistici nel medio-lungo termine.
Le organizzazioni devono adottare un approccio proattivo, monitorando le evoluzioni degli standard e pianificando migrazioni progressive che garantiscano la continuità della sicurezza senza salti operativi affrettati e, come tali, rischiosi. La crypto-agility diventerà una competenza fondamentale e una necessità operativa nell’era della transizione verso la crittografia resistente al quantum computing.
Bibliografia
Per approfondire:
il documento del BSI è disponibile qui.
il documento del NIST è consultabile qui.
