cybersecurity

Cybersecurity nell’era del quantum computing: verso la crittografia post-quantistica

Per affrontare le sfide imposte dal quantum computing, le aziende devono rafforzare la propria infrastruttura informatica implementando standard PQC e puntando sul fattore della crypto-agilità. Così si potranno ridurre i rischi ed i costi associati alla protezione dei dati

17 Feb 2022
Alessandro Spotorno

Managing Director & Partner, Boston Consulting Group (BCG)

Nell’immaginario collettivo, il quantum computing è stato per molti anni relegato alla fantascienza, ma grazie ai recenti sviluppi nelle tecnologie ed ai cospicui investimenti da parte dei principali player, iniziamo a vedere i progressi in questo ambito. Nella realtà sempre più ibrida in cui viviamo, con interazioni sia in presenza che da remoto, il quantum computing, ad esempio, giocherà un ruolo sempre più importante nel garantire i livelli di sicurezza dei dati e delle informazioni scambiate sul web.

Parallelamente, si fa sempre più urgente la necessità per i business di affrontare le implicazioni degli sviluppi della computazione quantistica per arrivare pronti ad un futuro post-quantistico. Oggi tutte le aziende hanno l’urgenza di prepararsi ad affrontare questa rivoluzione ed imparare a proteggere i loro asset più preziosi, per navigare con successo in una nuova fase dell’Era dell’informazione, che comincia proprio oggi.

Supercalcolo e quantum computing: il futuro della ricerca computazionale è ibrido

Il quantum computing per la sicurezza delle informazioni

Il quantum computing è considerato nel cluster del Deep Tech e non è ancora un ecosistema tecnologico perfettamente maturo e consolidato. Se guardiamo agli ultimi anni, però, questa tecnologia è cresciuta a livelli senza precedenti: ci aspettiamo che l’indotto sarà tra i 450 e gli 850 miliardi di dollari nel corso dei prossimi 15-30 anni. Va detto che il quantum computing permetterà di risolvere problemi di una complessità tale che le tecnologie informatiche “tradizionali” non saranno in grado di affrontare. Ci aspettiamo che grazie alle possibilità che il quantum computing abiliterà, ci saranno notevoli applicazioni in molti ambiti che oggi sono assolutamente pressanti per la società, come ad esempio il cambiamento climatico, la biofarmaceutica, la medicina e l’economia.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity

Se prendiamo in considerazione la sfera della sicurezza delle informazioni online, infatti, vediamo che grazie al rapido avanzamento nella potenza di calcolo dei computer quantistici, i sistemi informatici del futuro consentiranno la decrittazione dei dati ad oggi protetti da algoritmi di crittografia tradizionali. A quel punto, le elevate prestazioni dei computer quantistici renderanno meno affidabili gli attuali standard di crittografia e di sicurezza online delle aziende, che diventeranno sempre più soggette al rischio di attacchi informatici che potrebbero compromettere la loro proprietà intellettuale e i dati più sensibili.

I rischi da affrontare subito

Tra i target principali dei criminali informatici del futuro rientrano gli attuali standard di crittografia a chiave pubblica (PKC), da cui dipendono più del 20% di tutte le applicazioni IT esistenti al mondo. Il rischio legato ai sistemi PKC è comprensibile anche guardando alla loro rilevanza nella nostra vita quotidiana. Questi sistemi consentono infatti a più di 4,5 miliardi di utenti di navigare sul web e di effettuare acquisti online in totale sicurezza su oltre 200 milioni di siti. Il mancato riconoscimento del rischio che il quantum computing comporta per la PKC potrebbe non solo compromettere i sistemi informatici su cui si basano le nostre attività online, me anche causare la potenziale perdita dell’ingente valore economico derivante da tali attività, pari a circa 3 trilioni di dollari ogni anno.

Se non consideriamo i rischi legati a questa trasformazione come imminenti, lo standard che per anni ha protetto le attività e le comunicazioni sul web potrebbe diventare progressivamente inaffidabile. È pertanto necessario che le aziende prendano atto sin da subito dei cambiamenti in corso nel settore informatico, per adeguare i propri sistemi di crittografia alle sfide del domani e prepararsi ai nuovi standard di sicurezza online che caratterizzeranno il “futuro quantistico”.

oltre lo standard di crittografia a chiave pubblica verso la crittografia post-quantistica

Per ovviare a questo problema e proteggere la sicurezza dei nostri dati online, sono in corso sperimentazioni per lo sviluppo di una nuova generazione di standard crittografici, la cosiddetta crittografia post-quantistica (PQC). La PQC si basa su complessi problemi matematici che presentano una difficoltà di risoluzione più elevata rispetto a quelli che caratterizzano gli attuali standard di crittografia di uso comune. Non disponendo di soluzioni attualmente note e quindi decifrabili, gli algoritmi PQC risulteranno meno vulnerabili e soggetti al rischio di futuri attacchi informatici.

A livello mondiale, il processo di creazione e di standardizzazione degli standard PQC è ancora in corso. A farsi portavoce di questa rivoluzione dal 2016 è il National Institute of Standards and Technology (NIST) con sede negli Stati Uniti, attualmente al lavoro per la definizione dei nuovi standard PQC che complementeranno e, infine, sostituiranno i sistemi di crittografia a chiave pubblica. La pubblicazione di questi standard è prevista proprio tra quest’anno e il 2024, lasciando alle aziende una finestra di tempo per l’integrazione dei nuovi standard di circa 7-9 anni, un lasso di tempo potenzialmente ancora troppo breve per il raggiungimento di un obiettivo così ambizioso (vedere Exhibit 1).

In passato, l’implementazione completa delle transizioni crittografiche ha impiegato infatti molto più tempo. A dimostrazione di ciò, il passaggio completo dagli standard di crittografia dei dati (DES e 3DES) agli algoritmi (SHA-1 e AES) ha richiesto infatti un lasso temporale di oltre 20 anni. In generale, gli esperti stimano che in media siano necessari circa 10 anni per effettuare una transizione completa dagli attuali standard di crittografia agli standard PQC.

Come evidenziato nel seguente grafico, lo studio BCG sottolinea l’importanza per le aziende di mettere in campo sin da subito misure per prepararsi all’implementazione dei nuovi standard PQC per rafforzare la propria infrastruttura informatica in vista dei rischi legati al quantum computing.

Le aziende dovranno diventare crypto-agili

Parallelamente alla necessità di attivarsi sin da subito per prepararsi al processo di integrazione dei futuri standard PQC, BCG sottolinea l’importanza di puntare sul fattore della crypto-agilità per affrontare le sfide imposte dal quantum computing. La crypto-agilità, anche definita come agilità crittografica, è la capacità di adottare rapidamente un nuovo standard crittografico e di passare tra più standard crittografici quando necessario. La capacità di essere “crypto-agili” giocherà un ruolo fondamentale nel ridurre i rischi ed i costi associati alla protezione dei dati in transito durante e subito dopo il processo di transizione crittografica da uno standard ad un altro.

Per affrontare al meglio la transizione verso i nuovi standard PQC, BCG suggerisce di seguire un approccio ibrido a fasi. Un processo a step, infatti, consentirà alle aziende di gestire individualmente i fattori che caratterizzano ciascuno standard, nonché di garantire la compatibilità dei nuovi standard con le versioni precedenti e di garantire un livello di sicurezza sia nei confronti dei computer tradizionali che di quelli quantistici.

Guardando più dettagliatamente al processo in sé, è possibile distinguere le attività che caratterizzeranno ogni fase (vedere Exhibit 2). Nella prima fase, diversi standard di sicurezza, tra cui quelli a chiave pubblica ed i nuovi standard PQC, verranno utilizzati simultaneamente. Nella fase intermedia, gli standard PQC verranno aggiornati in base alle contingenze del momento e continueranno ad essere implementati parallelamente a quelli a chiave pubblica. Nella fase finale, il sistema di crittografia a chiave pubblica verrà finalmente sostituito dai nuovi standard PQC.

Sulla base di queste premesse, le aziende con un elevato grado di cripto-agilità, ovvero in grado di spostarsi agevolmente tra i diversi standard, risulteranno maggiormente preparate a gestire le varie fasi del processo di transizione crittografica.

Affrontare il problema della standardizzazione della PQC con la crypto-agilità

La crypto-agilità sarà risulterà fondamentale anche per affrontare altri problemi legati alla diffusione degli standard a livello mondiale che complicheranno ulteriormente il quadro della sicurezza online. Tra i principali ostacoli segnalati da BCG vi è quello relativo alla difficoltà di implementare uniformemente i nuovi standard a livello internazionale. Mentre Paesi come la Cina hanno già completato la standardizzazione degli standard PQC nel gennaio 2020, infatti, altri sistemi come il sopraccitato NIST con sede negli Stati Uniti devono ancora portare a termine il processo di definizione degli standard. Oltre a ciò, le aziende dovranno prepararsi alla proliferazione e alla diversificazione degli standard provenienti da diversi soggetti, tra cui gli stessi organismi di standardizzazione come il NIST, la Chinese Association for Cryptologic Research e l’ETSI in Europa.

In un mondo sempre più iperconnesso, un processo di adozione degli standard così frammentato richiederà un elevato livello di adattabilità da parte delle aziende, che dovranno sin da subito sfruttare la propria cripto-agilità per adattarsi ai nuovi standard che emergono, investendo già adesso nella protezione dei dati più sensibili. In questo contesto, la crypto-agilità emergerà come fattore di differenziazione per le aziende, che sono ancora in tempo per cambiare rotta. La digitalizzazione, accelerata dalla pandemia da Covid-19, sta infatti spingendo sempre più aziende ad investire nel digitale. Nell’affrontare questo processo, oggi le imprese possono cogliere l’opportunità di integrare il concetto di crypto-agilità nella definizione di un nuovo approccio al digitale e alla sicurezza online.

La distribuzione a chiave quantistica offre una sicurezza a prova di futuro… per alcuni

La tecnologia quantistica non crea però solo i rischi elencati sopra, ma fornisce anche valide soluzioni per rispondere alle minacce nell’ambito della sicurezza online. In futuro sarà infatti possibile utilizzare strumenti basati sul quantum computing per rilevare la presenza di hacker durante i processi di distribuzione delle chiavi di crittografia tramite un sistema noto come distribuzione a chiave quantistica (QKD), che garantirà comunicazioni sicure e cifrature inviolabili. Tuttavia, l’implementazione di tale strumento richiederà l’adesione a requisiti molto stringenti, tra cui la completa riservatezza dei dati e l’uso di chiavi ingombranti e complicate da utilizzare. Questo sistema troverà maggiori applicazioni in settori obbligati a garantire elevati standard di sicurezza dei dati in futuro, come il settore pubblico e militare.

In virtù della sua natura poco accessibile, infatti, lo sviluppo del QKD è ancora principalmente finanziato dal settore pubblico e adottato solo limitatamente nel settore privato. Tuttavia, BCG identifica alcune innovazioni tecnologiche che in futuro porteranno a una diminuzione nel costo, nonché ad un aumento nelle prestazioni e nel tasso di adozione del QKD. Toshiba stima che il mercato globale della QKD raggiungerà i 12 miliardi di dollari nel giro di 10 anni, per poi toccare i 20 miliardi tra 15 anni.

Tra le principali innovazioni che potrebbero accelerare lo sviluppo della QKD rientrano le seguenti:

  • La creazione di soluzioni “quantum-safe”, ossia a prova di crittografia quantistica, sperimentate attualmente da Huawei, Telefonica, SK Telecom e ID Quantique, BT e Toshiba.
  • Sviluppo di reti di distribuzione nello spazio (per le quali si prevede la disponibilità di soluzioni commerciali già nel 2022).
  • Sviluppo di standard e certificazioni a livello globale per supportare l’adozione della QKD da parte delle aziende.

Cosa devono fare le aziende?

La capacità di utilizzare il quantum computing per decifrare i dati è destinata ad evolvere nel tempo. Le aziende che si prepareranno sin da ora a questo rischio saranno in grado di affrontare con successo i cambiamenti che caratterizzeranno il mondo post-quantistico.

Come primo passo, BCG suggerisce alle aziende di valutare attentamente l’importanza dei propri dati interni e identificare quelli più sensibili, dal momento in cui nessuna azienda sarà in grado proteggere tutti i dati interni. Pertanto, le aziende dovranno dare priorità ai dati più importanti e investire maggiormente nel preservare questi ultimi. Parallelamente, BCG consiglia di non spendere più del valore di un asset per garantire la sicurezza dell’asset stesso. L’obiettivo delle misure di sicurezza dovrà essere quello di rendere eccessivamente costoso il furto o la compromissione dei dati per gli hacker, spingendoli a spostare l’attenzione verso altri bersagli.

Sulla base di queste considerazioni, le aziende potranno adottare le misure necessarie per aumentare la propria crypto-agilità e proteggersi dai rischi legati agli sviluppi nella computazione quantistica, dove la crypto-agilità diventerà un requisito essenziale per le aziende. Infine, per prepararsi a un futuro quantistico, le aziende dovranno restare aggiornate sugli sviluppi nell’ambito del quantum computing e delle soluzioni “quantum-safe”, sviluppando una roadmap dei rischi legati alla sicurezza online.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3