David Mahdi, Chief Strategy Officer e CISO Advisor di Sectigo, esplora quello che potrebbe essere il prossimo grande compito del governo ed evita la trappola del calcolo quantistico
Per oltre cinquant’anni, quasi tutte le organizzazioni fanno affidamento sull’infrastruttura a chiave pubblica, o PKI, per fornire la spina dorsale crittografica che protegge i dispositivi e gli esseri umani che li utilizzano.
Relativamente sconosciuti al di fuori del settore tecnologico, i certificati digitali PKI forniscono la fiducia digitale necessaria per proteggere le infrastrutture nazionali critiche, dalle telecomunicazioni all’approvvigionamento energetico, al settore bancario e persino alla tecnologia fondamentale per la vita schierata dalle forze armate in tutto il mondo.
Senza PKI, l’accesso alla rete pubblica e privata non sarebbe sicuro o protetto. Solo con PKI possiamo garantire che i dispositivi, le persone, il software e le applicazioni che costituiscono l’infrastruttura nazionale critica rimangano sotto il controllo esclusivo di coloro che hanno fiducia nella loro sicurezza. PKI si basa principalmente su due algoritmi, che costituiscono la base della crittografia attuale: RSA 2048 (Rivest – Shamir – Adleman) ed ECC 256 (crittografia a curva ellittica).
Questi algoritmi sono alla base dei “timbri digitali” che verificano e proteggono le identità umane e non umane o di macchine utilizzate per accedere a dati sensibili in tutto il governo e in tutti i settori. Tuttavia, il cambiamento sta arrivando.
Quale potrebbe essere la trappola del calcolo quantistico?
Come la maggior parte delle cose, niente dura e le organizzazioni PKI di tutto il mondo su cui hanno fatto affidamento per mantenere la fiducia digitale rappresentano una minaccia emergente e molto reale. Siamo ora sull’orlo di una nuova era dell’informatica quantistica; un tipo avanzato di calcolo che si basa sulla fisica quantistica per eseguire più processi contemporaneamente. L’informatica quantistica renderà la PKI tradizionale, come la conosciamo, non più adatta allo scopo.
Ciò rappresenta una minaccia molto reale per i sistemi di sicurezza delle informazioni su cui tutti facciamo affidamento per proteggere la nostra libertà. Per rimanere al sicuro, le agenzie governative dovranno adottare nuove famiglie di crittografia quantistica.
Ora è il momento di prepararsi per questa transizione. Il cambiamento di passo che porterà il calcolo quantistico non può essere sottovalutato. Il computer medio che tenta di violare un messaggio crittografato con i nostri comuni algoritmi RSA ed ECC richiederebbe circa 300 trilioni di anni. Un computer quantistico, con la sua capacità di “indovinare” le chiavi in parallelo, avrebbe bisogno di circa una settimana.
Cosa accadrebbe quando il primo computer quantistico diventa abbastanza potente?
Gli effetti saranno terribili; quando il primo computer quantistico diventerà abbastanza potente, anche i dati con la crittografia più alta verranno facilmente decifrati da chiunque abbia accesso a un computer quantistico funzionale. In effetti, alcuni avversari stanno già salvando contenuti crittografati, che in seguito cercheranno di rompere con i computer quantistici (e forse altri metodi).
Potrebbe trattarsi di qualsiasi cosa, dai sistemi di controllo a sostegno della rete elettrica nazionale, ai dispositivi remoti che controllano l’approvvigionamento idrico, ai sistemi gestiti dalle forze armate o dai servizi segreti, persino il sistema bancario centrale. Gli scienziati considerano la prevista ricaduta dei computer quantistici così grave da essere chiamata Apocalisse Quantistica.
Dati i giganteschi passi avanti nella ricerca e nello sviluppo dei computer quantistici, con Google, Honeywell e in effetti la Cina in gara, è una questione di quando piuttosto che se i computer quantistici cambieranno il mondo digitale come lo conosciamo. Una cosa è certa: i governi devono implementare nuove alternative crittografiche il prima possibile.
Alternative quantistiche
Il lavoro è già in corso per superare questo problema incombente: il National Institute of Standards and Technology (NIST) degli Stati Uniti sta lavorando per trovare alternative quantistiche ai nostri attuali algoritmi. Organizzazioni di tutto il mondo, del mondo accademico, tecnologico e del settore pubblico, si sono unite per collaborare alla scoperta di nuovi algoritmi quantistici.
Il NIST coordina i loro sforzi e il suo progetto Post-Quantum Cryptography è sulla buona strada per identificare e verificare potenziali schemi crittografici di prossima generazione, cosa che prevede di fare entro il 2024. Anche prima che il NIST arrivi ai suoi candidati finali, le agenzie governative devono iniziare il passaggio a certificati PKI a sicurezza quantistica per resistere all’Apocalisse Quantistica.
Questo processo presenta la sfida principale: sostituire ognuno dei trilioni di certificati e chiavi in circolazione nei nostri sistemi digitali è un compito gigantesco data la varietà di tipi, fonti, emittenti, durata della vita e una miriade di altri fattori. Per ogni governo in tutto il mondo, questo è mission-critical: la mancata sostituzione anche di un solo certificato potrebbe portare a violazioni, esfiltrazione di dati o interruzioni operative.
Come possiamo evitare la trappola del calcolo quantistico?
Il primo passo è acquisire una piena comprensione di tutti i certificati e le chiavi presenti nell’ambiente pubblico e consentire all’IT governativo di sostituirli a piacimento, indipendentemente dalle loro specificità. L’unico modo per effettuare questo cambiamento in modo efficace e sicuro è sfruttare l’automazione cripto-agile.
Si tratta di un approccio cripto-agile, che prevede frequenti modifiche su, potenzialmente, milioni di certificati, chiavi e crittografia. Un esempio, per quanto riguarda i certificati, è con Certificate Lifecycle Management. Ciò consente alle organizzazioni di gestire contemporaneamente tutti i certificati nel sistema aziendale, rinnovandoli, implementandoli e revocandoli secondo necessità. L’implementazione di queste soluzioni CLM ora può facilitare il passaggio ai certificati resistenti ai quanti.
Le soluzioni CLM più avanzate possono gestire la transizione di tutti i certificati, indipendentemente dalle loro particolarità, inclusa l’Autorità di Certificazione che li ha originariamente emessi. Ciò rende il CLM estremamente efficace nella transizione dai certificati PKI esistenti a quelli quantistici, in quanto garantisce che nulla venga lasciato di intentato.
Mentre la comunità crittografica lavora per standardizzare gli algoritmi quantistici, i giocatori che hanno protetto i sistemi digitali sin dagli albori di Internet hanno pubblicato set gratuiti di risorse come Quantum Labs.
Le organizzazioni e i governi devono armarsi degli strumenti per migrare verso algoritmi resistenti ai quanti e prepararsi per l’era quantistica. In questo modo, affrontano l’era quantistica come un balzo in avanti, non un salto nel vuoto.