Oggi condividiamo un articolo di Stormshield, noto produttore europeo di soluzioni di sicurezza informatica per infrastrutture critiche e industriali, sulla necessità di agire tempestivamente contro la potenziale minaccia dell’informatica quantistica. Il produttore suggerisce possibili approcci e sta lavorando intensamente a un approccio di sicurezza aggiuntivo per garantire a lungo termine la sicurezza dei sistemi digitali.
Buona lettura!
Stormshield: la sicurezza informatica nell’era post-quantistica
Grazie alla crittografia AES a 256 bit o RSA a 2048 bit e alle varie soluzioni di sicurezza informatica disponibili, come software antivirus e firewall, oggi riusciamo a proteggere in modo efficace i sistemi digitali impiegati comunemente dalle minacce informatiche. Tuttavia, per garantire che anche nei prossimi decenni le infrastrutture digitali continuino a essere difese con la medesima efficienza contro cybercriminali e minacce informatiche, occorre identificare precocemente nuovi approcci. Di fatto, alla luce dell’ascesa dell’informatica quantistica, le misure di sicurezza su cui finora abbiamo fatto affidamento saranno messe a dura prova.
La crittografia post-quantistica contro le minacce legate all’informatica quantistica
Mentre le architetture informatiche tradizionali operano in maniera binaria, riconoscendo solo i due stati 0 o 1, i qubit, unità elementari di informazione dei computer quantistici, possono trovarsi in entrambi gli stati fisici contemporaneamente, una caratteristica nota come “superposition”, che consente di accrescere smisuratamente la potenza di calcolo in particolari scenari applicativi.
Quella che di primo acchito sembra una rivoluzione utile e gradita comporta in realtà nuove sfide nell’ambito della sicurezza informatica. Ci si aspetta infatti che in futuro i computer quantistici, finora esistenti solo a livello sperimentale, saranno in grado di eseguire in pochi minuti calcoli che – con architetture convenzionali – richiederebbero decine o addirittura migliaia di anni. Ma se pensiamo agli attacchi di tipo brute force ai danni di password o banche dati criptate, la necessità di implementare al più presto soluzioni di sicurezza adeguate risulta evidente. Stando a studi recenti, la probabilità che i metodi di crittografia tradizionali possano essere violati con l’informatica quantistica è compresa tra il 2 e il 9 percento nei prossimi cinque anni. Il rischio aumenta al 17-33 percento entro i prossimi dieci anni.
Di fronte alle minacce legate all’informatica quantistica, Stormshield ha iniziato da tempo a implementare i primi processi proof of concept di algoritmi post-quantistici, il cui utilizzo è stato raccomandato già nel 2022 dall’Agenzia per la Sicurezza dei Sistemi Informativi francese (ANSSI). Tutelando in futuro sistemi e infrastrutture con la crittografia post-quantistica attraverso le soluzioni Stormshield, sarà possibile proteggerli da attacchi “store now, decrypt later” (noti anche come “harvest now, decrypt later”), una strategia adottata da cybercriminali, servizi segreti e altre organizzazioni che implica l’archiviazione del traffico crittografato attuale, in attesa che i computer quantistici possano decriptarlo fra qualche anno o decennio. I dati sensibili della sanità e del settore bancario, delle forze armate o di altre aree critiche potrebbero quindi essere divulgati a posteriori e utilizzati in modo illecito.
Così funziona il livello di sicurezza aggiuntivo di Stormshield
Per affrontare le minacce emergenti, le soluzioni di sicurezza informatica di Stormshield si baseranno su un approccio di crittografia ibrido. Da un lato, i dati e i sistemi continueranno a essere protetti mediante i protocolli di crittografia tradizionale, come AES o RSA, ma dall’altro – per fronteggiare i futuri scenari di attacco generati dai computer quantistici – essi godranno di un ulteriore livello di sicurezza con algoritmi sicuri post-quantistici, come Crystals-Kyber o FrodoKEM. Peraltro, il protocollo flessibile IKEv2 garantirà uno scambio di chiavi affidabile e protetto da accessi non autorizzati.
Mentre la nostra ACN ha aggiornato le proprie guide sulla crittografia post-quantum nel luglio dello scorso anno, senza però addentrarsi troppo in potenziali strategie di protezione, l’approccio ibrido viene raccomandato da tempo sia dall’ANSSI francese sia dal BSI tedesco (Ufficio Federale per la Sicurezza Informatica), per lo meno fino a quando la crittografia post-quantistica non sarà sufficientemente matura per essere utilizzata come unica soluzione universalmente valida.
Con Stormshield al fianco, autorità, aziende e istituzioni possono sempre contare su soluzioni di sicurezza informatica che si posizionano all’avanguardia della tecnologia e che vengono regolarmente potenziate per contrastare le minacce emergenti dell’informatica quantistica.
Dichiarazioni
Negli ambienti sensibili e con un elevato volume di dati, occorre quindi adottare urgentemente nuove contromisure, come spiega Andrea Scattina, Country Manager Italy di Stormshield: “Nel contesto bancario, i criminali informatici mireranno sempre a carpire i dati relativi ai termini e agli importi di determinate transazioni strategiche. Nel settore della difesa, alcuni dettagli relativi ai sottomarini sono validi per decenni. E che dire del settore dell’energia, dell’automotive, o in materia di segreti commerciali… Senza contare l’ambito sanitario: in Italia la circolare del Ministero della Sanità n.900 del 19 dicembre 1986 stabilisce che un istituto sanitario (pubblico o privato) debba conservare cartelle cliniche e referti illimitatamente. In modo sicuro, ovviamente”.
